Research Findings
     
    Remove Translation Translation
    Original Text

    The Basic Facts

    Основные факты

    As in past years, ESG and ISSA got some baseline information regarding cybersecurity professionals’ careers. For example:

    Как и в прошлые годы, ESG и ISSA получили базовую информацию о карьере специалистов по кибербезопасности. Например:

    79% of cybersecurity professionals started their careers working in IT.

    79% специалистов по кибербезопасности начали свою карьеру в сфере ИТ.

    When asked which skills were most helpful in the move from IT to cybersecurity, the top responses were IT operations knowledge and skills (61%), analytics skills (53%), hands-on technology knowledge and skills (48%), and business skills (as they relate to IT technologies and processes) (42%).

    На вопрос о том, какие навыки наиболее полезны при переходе от ИТ к кибербезопасности, наиболее часто ответили: знания и навыки ИТ-операций (61%), навыки аналитики (53%), практические знания и навыки в области технологий (48%) и деловые навыки (применительно к ИТ-технологиям и процессам) (42%).

    When asked the reasons for becoming a cybersecurity professional, the top responses were the chance to use skills and curiosity to address technical challenges (43%), the opportunity to develop technical skills and knowledge (40%), it being a natural career move from IT (34%), and attraction to the morality of the profession (29%).

    На вопрос о причинах для того, чтобы стать профессионалом в области кибербезопасности, главными ответами были возможность использовать навыки и любопытство для решения технических проблем (43%), возможность развить технические навыки и знания (40%), естественный карьерный переход от ИТ (34%) и притяжение к морали профессия (29%).

    28% of survey respondents say that either they or other cybersecurity professionals they know have experienced significant personal issues because of stress associated with the cybersecurity profession (i.e., drug abuse, alcohol abuse, depression, etc.).

    28% респондентов опроса говорят, что либо они, либо другие специалисты по кибербезопасности, которых они знают, столкнулись с серьезными личными проблемами из-за стресса, связанного с профессией кибербезопасности (например, злоупотребление наркотиками, алкоголизмом, депрессия и т. д.).

    50% of cybersecurity professionals surveyed say that job stress levels increased this past year as a result of remote worker support due to the COVID-19 pandemic. To help alleviate stresses caused by the pandemic, 36% of organizations instituted more CISO “check-ins” with staff, 32% created online social meetings for the cybersecurity team, and 24% added formal stress management programs driven by HR.

    50% опрошенных специалистов по кибербезопасности говорят, что уровень стресса на работе вырос в прошлом году в результате поддержки удаленных сотрудников из-за пандемии COVID-19. Чтобы облегчить стресс, вызванный пандемией, 36% организаций установили больше «чек-инов» CISO с персоналом, 32% организовали социальные онлайн-встречи для команды кибербезопасности, а 24% добавили официальные программы управления стрессом, основанные на HR.

    Survey respondents were also asked whether their organization employed a CISO. Those that did were asked several other related questions. On this topic, the research revealed:

    Респондентам опроса также был задан вопрос о том, работает ли в их организации директор по информационной безопасности. Тем, кто это сделал, было задано несколько других связанных вопросов. По этой теме исследование показало:

    73% of survey respondents say that their organization employs a CISO while 5% say their organization employs a virtual CISO (vCISO).

    73% респондентов опроса говорят, что в их организации работает директор по информационной безопасности, а 5% говорят, что в их организации работает виртуальный директор по информационной безопасности (vCISO).

    Of those organizations that employ a CISO, 43% say that the CISO reports to the CIO, 29% say the CISO reports to the CEO, 9% say COO, 9% say “other,” and 10% don’t know.

    Из тех организаций, в которых работают директора по информационным технологиям, 43% говорят, что директор по информационным технологиям отчитывается перед директором, 29% считают, что директор по информационным технологиям подчиняется генеральному директору, 9% говорят, что директор по информационным технологиям отчитывается перед генеральным директором, 9% говорят, что «другие» и 10% не знают.

    61% of respondents say their CISO is an active participant with executive management and the board of directors (or similar oversight group), 14% say their CISO is not an active participant with executive management and the board of directors (or similar oversight group), and 24% don’t know. 51% think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, 23% do not think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, and 26% don’t know.

    61% респондентов заявили, что их директор по информационной безопасности является активным участником исполнительного руководства и совета директоров (или аналогичной надзорной группы), 14% считают, что их директор по информационной безопасности не является активным участником исполнительного руководства и совета директоров (или аналогичной надзорной группы), а 24% - не знают. 51% считают, что их уровень участия директора по информационной безопасности организации в исполнительном руководстве и совете директоров является адекватным, 23% считают, что уровень участия директора по информационной безопасности организации в исполнительном руководстве и совете директоров является адекватным, а 26% не знают об этом.

    43% believe their CISO has been very effective, 49% believe their CISO has been somewhat effective, 6% say their CISO hasn’t been very effective, and 2% claim their CISO has not been effective at all.

    43% считают, что их директор по информационной безопасности был очень эффективным, 49% считают, что их директор по информационной безопасности был в некоторой степени эффективным, 6% считают, что их директор по информационной безопасности не очень эффективен, а 2% считают, что их директор по информационной безопасности не был эффективным вообще.

    When asked to identify the most important qualities of a successful CISO, 39% said leadership skills while 30% said operational skills. The remaining 31% included business skills, technical skills, management skills, communications skills, and other.

    Отвечая на вопрос о наиболее важных качествах успешного директора по информационной безопасности, 39% ответили на лидерские качества, а 30% ответили на операционные навыки. Остальные 31% включали деловые навыки, технические навыки, навыки управления, коммуникационные навыки и другие.

    Survey respondents were asked which factors are likeliest to cause CISOs to leave one organization for another. The most popular answers were: CISOs are offered a higher compensation package at another organization (33%), the organization doesn’t have a culture that emphasizes cybersecurity (31%), and cybersecurity budgets are not commensurate with the organization’s size and industry (29%).

    Респондентам опроса был задан вопрос о том, какие факторы могут привести к тому, что директора по организации перейдут из одной организации в другую. Наиболее популярные ответы: ИТ-директорам предлагается более высокий пакет вознаграждения в другой организации (33%), в организации нет культуры, в которой основное внимание уделяется кибербезопасности (31%), а бюджеты на кибербезопасность не соизмеримы с размером организации и отраслью (29%).

    Getting a Cybersecurity Job

    Получение работы по кибербезопасности

    For the first time, ESG and ISSA asked cybersecurity professionals how they found their current job (see Figure 1). The highest percentage (38%) say that they found their job by networking with industry contacts while 24% were contacted by an industry recruiter and 22% responded to a job posting at their company (see Figure 1). Not surprisingly, there is a slight correlation between methods used for finding a job and seniority. Senior cybersecurity professionals are more likely to find their jobs through industry contacts and recruiters while those with less experience are more likely to use job postings. This information should help guide CISOs and HR professionals as they compete to fill job requisitions.

    ESG и ISSA впервые спросили специалистов по кибербезопасности о том, как они нашли свою текущую работу (см. рис. 1). Самый высокий процент (38%) говорят, что они нашли свою работу, установив контакты с отраслевыми контактами, в то время как 24% рекрутеров связались с отраслевыми рекрутерами, а 22% ответили на вакансии в своей компании (см. рис. 1). Неудивительно, что существует незначительная корреляция между методами поиска работы и стажем работы. Старшие специалисты по кибербезопасности чаще найдут работу через отраслевые контакты и рекрутеры, в то время как те, у кого меньше опыта, чаще используют вакансии. Эта информация должна помочь руководителям по информационным технологиям и специалистам по персоналу в борьбе за заполнение заявок на вакансии.

    Figure 1. How Cybersecurity Professionals Found Their Current Jobs
    Figure 1. How Cybersecurity Professionals Found Their Current Jobs

    Despite the ongoing cybersecurity skills shortage, skilled candidates often complain that it can be very difficult to begin a cybersecurity career. When meeting entry-level candidates, ESG analysts and ISSA members are often asked for advice in this area. In 2021, ESG and ISSA addressed this issue directly by including a new survey question asking survey respondents for their recommendations for those seeking to enter the cybersecurity field. Nearly half (49%) of respondents suggested getting a basic cybersecurity certification, 42% proposed joining a professional industry organization, and 36% recommended finding a mentor who is willing to help develop skills and career plan (see Figure 2). This guidance will hopefully help entry-level candidates jumpstart their careers.

    Несмотря на постоянную нехватку навыков в области кибербезопасности, квалифицированные кандидаты часто жалуются на то, что начать карьеру в области кибербезопасности может быть очень сложно. При встречах с кандидатами начального уровня аналитики ESG и члены МАСО часто обращаются за советом в этой области. В 2021 году ESG и МАСО обратились к этой проблеме напрямую, включив новый вопрос опроса, в котором респондентам опроса предлагались рекомендации для тех, кто хочет войти в сферу кибербезопасности. Почти половина (49%) респондентов предложили получить базовый сертификат по кибербезопасности, 42% предложили присоединиться к профессиональной отраслевой организации, а 36% рекомендовали найти наставника, который готов помочь в развитии навыков и карьерном плане (см. рис. 2). Надеемся, что это руководство поможет кандидатам начального уровня начать свою карьеру.

    Figure 2. Advice for Individuals Who Want to Get into Cybersecurity
    Figure 2. Advice for Individuals Who Want to Get into Cybersecurity

    Cybersecurity Careers Depend upon Hands-on Experience and Some Certifications

    Карьера в сфере кибербезопасности зависит от практического опыта и некоторых сертификатов

    Cybersecurity is highlighted by a plethora of esoteric technical certifications, so ESG and ISSA have continually asked survey respondents to tell us which certifications they’ve achieved, and which are most important. As in past years, survey respondents were asked to write in the answer to this question, and the top responses are listed in Figure 3. Of those certifications achieved, the most useful ones for getting a job are graphed in Figure 4 . In both graphics, the certified information systems security professional (CISSP) from (ISC)2 stands out—it’s the most popular certification and the one that’s most important for getting a cybersecurity job. Other certifications may be important tactically but should be viewed as vehicles for career advancement (in some cases) or to help cybersecurity professionals gain general knowledge in a cybersecurity subdiscipline (for example, certified ethical hacker).

    Кибербезопасность подчёркивается множеством эзотерических технических сертификатов, поэтому ESG и ISSA постоянно просили респондентов опроса рассказать нам, какие сертификаты они получили, а какие — наиболее важные. Как и в прошлые годы, респондентам опроса было предложено написать ответ на этот вопрос, а лучшие ответы приведены на рис. 3. Из полученных сертификатов наиболее полезные для получения работы показаны на рис. 4. На обоих графиках выделяется сертифицированный специалист по безопасности информационных систем (CISSP) из (ISC) 2 — это самая популярная сертификация, которая наиболее важна для получения работы в сфере кибербезопасности. Другие сертификаты могут быть важны с тактической точки зрения, но их следует рассматривать как средство для карьерного роста (в некоторых случаях) или для того, чтобы помочь специалистам по кибербезопасности получить общие знания в области кибербезопасности (например, сертифицированный этический хакер).

    Cybersecurity professionals pursue a CISSP certification after accruing the requisite number of years of experience as this certification is a requirement for most available jobs. Beyond the CISSP, however, survey respondents take a more tactical approach to additional certifications based upon their skills, interests, and career plans. ESG and ISSA believe this is the right approach for certifications and career development. Rather than fill their resumes with acronyms, cybersecurity professionals should focus on hands-on training, mentoring, and professional networking as primary means for skills development. Rather, certifications should supplement these activities.

    Специалисты по кибербезопасности после накопления необходимого количества лет опыта проводят сертификацию CISSP, поскольку эта сертификация является обязательным условием для большинства доступных рабочих мест. Однако, помимо CISSP, респонденты опроса используют более тактический подход к дополнительным сертификатам, основываясь на своих навыках, интересах и карьерных планах. ESG и ISSA считают, что это правильный подход к сертификации и карьерному росту. Вместо того, чтобы заполнять резюме акронимами, профессионалам в области кибербезопасности следует сосредоточиться на практической подготовке, наставничеству и профессиональном обучении в качестве основного средства развития навыков. Скорее, сертификаты должны дополнять эти виды деятельности.

    Figure 3. Top Five Cybersecurity Certifications Achieved
    Figure 3. Top Five Cybersecurity Certifications Achieved
    Figure 4. Top Five Most Important Certification Necessary to Get a Job
    Figure 4. Top Five Most Important Certification Necessary to Get a Job

    ESG and ISSA have long held the belief that hands-on experience is the most important factor in cybersecurity career development, but this assumption was based on anecdotal data. In 2021, ESG and ISSA tested the hypothesis in the survey.

    ESG и ISSA давно считают, что практический опыт является важнейшим фактором карьерного роста в сфере кибербезопасности, но это предположение было основано на недостоверных данных. В 2021 году ESG и МАСО проверили гипотезу в опросе.

    The data supports this long-held belief again. Only 1% of respondents believe security certifications are more important than hands-on experience. Alternatively, 52% believe that hands-on experience is more important than certifications while 46% place equal value on hands-on experience and certification achievement (see Figure 5). Based on the research, ESG and ISSA believe that those who believe that hands-on experience and achieving security certifications are equally important have the CISSP certification in mind, as this is considered a foundational requirement for a cybersecurity career.

    Данные снова подтверждают это давнее убеждение. Только 1% респондентов считают, что сертификаты безопасности важнее практического опыта. С другой стороны, 52% считают, что практический опыт важнее сертификации, в то время как 46% оценивают практический опыт и сертификационные достижения (см. рис. 5). Основываясь на результатах исследования, ESG и ISSA считают, что те, кто считает, что практический опыт и получение сертификатов безопасности одинаково важны, имеют в виду сертификацию CISSP, поскольку это считается основополагающим требованием для карьеры в области кибербезопасности.

    Based upon this data, aspiring and advancing cybersecurity professionals should take a balanced approach to skills development. As previously stated, hands-on experience should be supplemented with the appropriate security certifications on an as-needed basis.

    Основываясь на этих данных, начинающие и продвинутые специалисты по кибербезопасности должны применять сбалансированный подход к развитию навыков. Как уже говорилось ранее, практический опыт должен быть дополнен соответствующими сертификатами безопасности по мере необходимости.

    Figure 5. Hands-on Experience versus Cybersecurity Certifications for Skills Development
    Figure 5. Hands-on Experience versus Cybersecurity Certifications for Skills Development

    Cybersecurity Professionals: A 360 Degree View

    Профессионалы в области кибербезопасности: взгляд на 360 градусов

    What are the most important factors that distinguish a satisfactory and unsatisfactory cybersecurity job? This question has been a constant in the ESG/ISSA research study for five years. Interestingly, the results have been fairly consistent. The top three priorities in 2021 are business management’s commitment to strong cybersecurity, competitive or industry-leading financial compensation, and the ability to work with highly skilled and talented cybersecurity staff (see Figure 6).

    Каковы наиболее важные факторы, которые определяют удовлетворительную и неудовлетворительную работу в области кибербезопасности? Этот вопрос был постоянным в исследовательском исследовании ESG/ISSA в течение пяти лет. Интересно, что результаты были довольно последовательными. Тремя главными приоритетами в 2021 году являются приверженность руководства бизнесом надежной кибербезопасности, конкурентное или лидирующее в отрасли финансовое вознаграждение, а также способность работать с высококвалифицированными и талантливыми сотрудниками по кибербезопасности (см. рис. 6).

    CISOs and HR executives take note, as this data represents what it will take to hire and retain cybersecurity professionals.

    Руководители ИТ-отделов и HR принимают на это внимание, поскольку эти данные отражают то, что потребуется для найма и удержания специалистов по кибербезопасности.

    Figure 6. Factors Determining Job Satisfaction
    Figure 6. Factors Determining Job Satisfaction

    With job satisfaction in mind, ESG and ISSA also wanted insight into the most stressful aspects of a cybersecurity job. Nearly two-thirds (32%) of survey respondents claim it is finding out about IT/initiatives/projects that were started by other teams (within the organization) with no security oversight (see Figure 7). This makes sense. Security professionals want to be engaged in projects from the start so they can “bake in” rather than “bolt on” security. Similarly, nearly one-third (31%) of respondents believe it is stressful working with disinterested business managers while another 31% point to the overwhelming workload. Similar to the top response, 24% of security professionals believe it is stressful keeping up with the security needs of new IT initiatives. Clearly, cybersecurity professionals want to be involved in projects from the start and want to see cybersecurity commitment from business and IT associates. When these conditions are absent, organizations will likely face high employee burnout and staff attrition.

    Учитывая удовлетворенность работой, ESG и ISSA также хотели получить представление о самых стрессовых аспектах работы в сфере кибербезопасности. Почти две трети (32%) респондентов опроса утверждают, что они узнают об IT/инициативах/проектах, которые были начаты другими командами (внутри организации) без надзора за безопасностью (см. рис. 7). В этом есть смысл. Профессионалы в области безопасности хотят участвовать в проектах с самого начала, чтобы они могли «запекать», а не «прижиматься» к безопасности. Аналогичным образом, почти треть (31%) респондентов считают, что работа с незаинтересованными руководителями бизнеса вызывает стресс, в то время как еще 31% респондентов указывают на чрезмерную нагрузку. Как и в случае с высшим ответом, 24% специалистов в области безопасности считают, что удовлетворение потребностей в области безопасности, связанных с новыми ИТ-инициативами, вызывает стресс. Очевидно, что профессионалы в области кибербезопасности хотят участвовать в проектах с самого начала и хотят видеть приверженность кибербезопасности со стороны деловых и ИТ-специалистов. Когда эти условия отсутствуют, организации, скорее всего, столкнутся с высоким выгоранием сотрудников и выкидом персонала.

    Figure 7. Most Stressful Aspects of Cybersecurity Jobs
    Figure 7. Most Stressful Aspects of Cybersecurity Jobs

    As in the past, security professionals were asked their opinions on several topics (see Figure 8). A few stats stand out:

    Как и в прошлом, специалистам по безопасности задавали свои мнения по нескольким темам (см. рис. 8). Несколько статистических данных выделяются:

    Conflict between the need for training and time allocated to training remains a critical issue: 91% of respondents agree that cybersecurity professionals must keep up with their skills or their organizations are at a significant disadvantage, yet 59% agree that while they try to keep up on cybersecurity skills, it is hard to do given the demands of their jobs. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note and make sure to convince the organization that ample training time and resources are an absolute requirement.

    Конфликт между потребностью в обучении и временем, выделенным на обучение, остается критической проблемой: 91% респондентов согласны с тем, что профессионалы в области кибербезопасности должны не отставать от своих навыков или организации находятся в невыгодном положении, однако 59% согласны с тем, что, хотя они пытаются не отставать от навыков кибербезопасности, это трудно сделать, учитывая требования, предъявляемые к их работе. ESG и МАСО называют эту ситуацию парадоксом обучения кибербезопасности. CISO обращают внимание на это и убеждают организацию в том, что достаточное количество времени и ресурсов для обучения является абсолютным требованием.

    Cybersecurity professionals tend to pride themselves on their endurance and competitiveness, masking the personal price these jobs can have. The research supports this as 60% agree that a cybersecurity career can be taxing on one’s work/life balance, and 38% agree that they often feel an unhealthy level of stress with their jobs. Accordingly, CISOs should constantly monitor the mental health of team members while establishing programs for stress relief.

    Профессионалы в области кибербезопасности, как правило, гордятся своей выносливостью и конкурентоспособностью, скрывая личную цену за эти рабочие места. Исследование подтверждает это, поскольку 60% согласны с тем, что карьера в сфере кибербезопасности может привести к нарушению баланса между работой и личной жизнью, а 38% согласны с тем, что они часто испытывают нездоровый уровень стресса на работе. Соответственно, CISO должны постоянно следить за психическим здоровьем членов команды при разработке программ для снятия стресса.

    58% of survey respondents agree that security professionals spend too much time on the technical aspects of cybersecurity and not enough time on how cybersecurity aligns with the corporate mission. ESG and ISSA believe this is a fundamental industry dilemma, sometimes called the “shiny object problem.” To address this, CISOs must always reinforce the business focus of cybersecurity within the security team.

    58% респондентов опроса согласны с тем, что специалисты по безопасности тратят слишком много времени на технические аспекты кибербезопасности и недостаточно времени на то, как кибербезопасность соответствует корпоративной миссии. ESG и ISSA считают, что это фундаментальная отраслевая дилемма, которую иногда называют «проблемой блестящих объектов». Чтобы решить эту проблему, руководители ИТ-служб должны всегда уделять больше внимания кибербезопасности в команде безопасности.

    Interestingly, despite the personal challenges represented in this data, 79% of cybersecurity professionals agree that they are happy as cybersecurity professionals. ESG and ISSA believe that this commitment to the mission regardless of the challenges is what makes cybersecurity professionals special. Rather than business or technical professionals, cybersecurity professionals behave like dedicated public servants, with a focus tilting toward the greater good rather than personal accolades.

    Интересно, что, несмотря на личные проблемы, связанные с этими данными, 79% специалистов по кибербезопасности согласны с тем, что они довольны как профессионалы в области кибербезопасности. ESG и ISSA считают, что именно эта приверженность миссии, независимо от проблем, делает профессионалов в области кибербезопасности особенными. Вместо деловых или технических специалистов специалисты в области кибербезопасности ведут себя как преданные своему делу государственные служащие, ориентированные на большее благо, а не на личные похвалы.

    Figure 8. Respondents’ Sentiments on Cybersecurity Careers
    Figure 8. Respondents’ Sentiments on Cybersecurity Careers

    In another opinion question, survey respondents were asked how long it takes a cybersecurity professional to become proficient at their job. The plurality of respondents (35%) believe it takes anywhere from 3 to 5 years to develop real cybersecurity proficiency, while 25% say 2 to 3 years and 17% claim it takes more than 5 years (see Figure 9). Three to 5 years is a long time. CISOs should do everything they can to accelerate staff skills development and retain employees with this level of experience.

    В другом мнении респондентам опроса был задан вопрос о том, сколько времени требуется специалисту по кибербезопасности, чтобы освоиться на своей работе. Множество респондентов (35%) считают, что для развития реальных навыков кибербезопасности требуется от 3 до 5 лет, в то время как 25% считают, что требуется от 2 до 3 лет, а 17% утверждают, что для этого требуется более 5 лет (см. рис. 9). От трех до пяти лет — это большой срок. CISO должны сделать все возможное, чтобы ускорить развитие навыков сотрудников и удержать сотрудников с таким уровнем опыта.

    Figure 9. Length of Time Required to Develop Cybersecurity Proficiency
    Figure 9. Length of Time Required to Develop Cybersecurity Proficiency

    It is often said that cybersecurity is a “team sport.” In other words, an organization’s cybersecurity program success goes beyond the information security team alone and depends upon commitment and cooperation across the entire organization. With this collaborative ideal in mind, survey respondents were asked to characterize the working relationship between their organization’s cybersecurity team and other departments (see Figure 10). The data indicates that the best relationships are with IT, executives, legal, and operations teams, but ESG and ISSA believe a few points are noteworthy:

    Часто говорят, что кибербезопасность — это «командный вид спорта». Другими словами, успех программы кибербезопасности организации зависит не только от команды информационной безопасности, но и от приверженности и сотрудничества всей организации. Исходя из этого идеала совместной работы, респондентам опроса было предложено охарактеризовать рабочие отношения между командой кибербезопасности организации и другими отделами (см. рис. 10). Данные показывают, что наилучшие отношения — это отношения с ИТ-отделом, руководителями, юридическими и оперативными группами, но ESG и МАСО считают, что некоторые моменты заслуживают внимания:

    16% of respondents said the relationship between security and IT teams is fair or poor. This is somewhat alarming since these teams must work together constantly on tasks like technology deployment, configuration management, and risk mitigation.

    16% респондентов отметили, что отношения между командами безопасности и ИТ являются справедливыми или плохими. Это вызывает тревогу, поскольку этим командам приходится постоянно работать вместе над такими задачами, как развертывание технологий, управление конфигурацией и снижение рисков.

    21% of respondents said the relationship between security and executives was fair or poor. Similarly, 27% said the relationship between security and the board of directors was fair or poor. These are likely organizations that still believe that security is related to technology and not the business. It’s likely that these firms still equate security with regulatory compliance.

    21% респондентов отметили, что отношения между безопасностью и руководителями были справедливыми или плохими. Аналогичным образом, 27% отметили, что отношения между безопасностью и советом директоров были справедливыми или плохими. Вероятно, это организации, которые по-прежнему считают, что безопасность связана с технологиями, а не с бизнесом. Вероятно, эти компании по-прежнему приравнивают безопасность к нормативным требованиям.

    29% of respondents said the relationship between security and HR was fair or poor. This is of concern since the two groups work together on projects like security awareness training, recruitment, and hiring. These tasks are probably managed sub-optimally at organizations with fair or poor security/HR working relationships.

    29% респондентов отметили, что отношения между безопасностью и персоналом были справедливыми или плохими. Это вызывает беспокойство, поскольку обе группы работают вместе над такими проектами, как обучение безопасности, набор и наем. Эти задачи, вероятно, решаются неоптимально в организациях с честными или плохими рабочими отношениями в области безопасности и управления персоналом.

    Figure 10. Relationship Status between Cybersecurity and Other Functional Organizations
    Figure 10. Relationship Status between Cybersecurity and Other Functional Organizations

    What can organizations do to improve some of these relationships? Survey respondents were asked this question directly about the relationships between security, IT, and business management teams. With regard to improving the security/IT relationship, security professionals suggest making sure security staff is included in all IT projects from the beginning, embedding cybersecurity staff within functional technology groups, and increasing cybersecurity training for all IT staff (see Figure 11).

    Что могут сделать организации, чтобы улучшить некоторые из этих взаимоотношений? Респондентам опроса был задан этот вопрос непосредственно о взаимоотношениях между командами по безопасности, ИТ и бизнес-менеджменту. Что касается улучшения взаимоотношений между безопасностью и ИТ, специалисты по безопасности предлагают обеспечить участие сотрудников безопасности во всех ИТ-проектах с самого начала, включить сотрудников по кибербезопасности в функциональные технологические группы и повысить уровень обучения кибербезопасности для всего ИТ-персонала (см. рис. 11).

    These suggestions are especially interesting. Recall that the most stressful aspect of a security job identified previously relates to IT projects/initiatives lacking security oversight. Alleviating this issue will not only decrease employee stress but also improve the working relationship between security and IT as well as overall security protection. Embedding cybersecurity staff members into functional technology groups is happening with activities such as DevSecOps focused on cloud-native application development. Along with additional security training (especially for software developers), organizations are fusing security into more aspects of IT people, processes, and technologies.

    Эти предложения особенно интересны. Напомним, что наиболее стрессовым аспектом работы по обеспечению безопасности, выявленным ранее, являются ИТ-проекты/инициативы, которым не хватает надзора за безопасностью. Устранение этой проблемы не только снизит стресс сотрудников, но и улучшит рабочие отношения между безопасностью и ИТ, а также общую защиту безопасности. Встраивание сотрудников по кибербезопасности в группы функциональных технологий происходит с помощью таких мероприятий, как DevSecOps, ориентированных на разработку облачных приложений. Наряду с дополнительными тренингами по безопасности (особенно для разработчиков программного обеспечения) организации внедряют вопросы безопасности в другие аспекты ИТ-специалистов, процессов и технологий.

    Figure 11. Suggestions for Improving the Relationship between Security and IT
    Figure 11. Suggestions for Improving the Relationship between Security and IT

    In terms of the relationship between security and business management, survey respondents suggest encouraging cybersecurity participation in business planning and strategy, improving cyber-risk identification/quantification, and focusing cybersecurity resources and investments on business-critical assets (see Figure 12). Like the IT relationship, cybersecurity pros believe that working closer and earlier with business teams can be beneficial. As this happens, security teams must be prepared with the right communications, reports, and metrics that present cybersecurity in a business context.

    Что касается взаимосвязи между безопасностью и управлением бизнесом, респонденты опроса предлагают поощрять участие кибербезопасности в бизнес-планировании и стратегии, улучшать идентификацию/количественную оценку киберрисков и сосредоточить ресурсы и инвестиции в области кибербезопасности на критически важные для бизнеса активы (см. Рисунок 12). Как и в отношениях с ИТ, специалисты по кибербезопасности считают, что более тесное и раннее сотрудничество с бизнес-командами может принести пользу. В этом случае группы безопасности должны быть подготовлены правильные коммуникации, отчеты и показатели, которые представляют кибербезопасность в бизнес-контексте.

    Figure 12. Suggestions for Improving the Relationship between Security and Business Management
    Figure 12. Suggestions for Improving the Relationship between Security and Business Management

    The Cybersecurity Skills Shortage Persists, and in Many Cases, Continues to Worsen

    Нехватка навыков кибербезопасности сохраняется и во многих случаях продолжает ухудшаться

    ESG and ISSA believe the cybersecurity skills shortage has two major implications. The most obvious is a shortage of talented cybersecurity professionals, with simply more cybersecurity job openings than qualified candidates to fill them. The other implication isn’t as widely discussed but is at least as important: Many members of the current cybersecurity workforce lack the advanced skills necessary to safeguard critical business assets or counteract sophisticated cyber-adversaries.

    ESG и ISSA считают, что нехватка навыков кибербезопасности имеет два основных последствия. Наиболее очевидным является нехватка талантливых специалистов в области кибербезопасности, на которых вакансий в сфере кибербезопасности просто больше, чем квалифицированных кандидатов. Другой вывод не так широко обсуждается, но, по крайней мере, столь же важен: многие из нынешних сотрудников по кибербезопасности не обладают продвинутыми навыками, необходимыми для защиты критически важных бизнес-активов или противодействия изощренным кибер-злоумышленникам.

    After researching the cybersecurity skills shortage for five years, ESG and ISSA are convinced that it is real and impactful, yet each report on the subject receives a fair amount of negative feedback, questioning its existence. Comments include theories that there are plenty of cybersecurity professionals to go around, if only organizations knew how and where to recruit them.

    Исследуя дефицит навыков кибербезопасности в течение пяти лет, ESG и МАСО убеждены, что это реально и эффективен, но каждый доклад на эту тему получает большое количество негативных отзывов, ставящих под сомнение его существование. Комментарии включают теории о том, что существует множество профессионалов в области кибербезопасности, если бы только организации знали, как и где их нанимать.

    Based on this feedback, ESG and ISSA asked survey respondents a basic question in the 2021 survey: Has the cybersecurity skills shortage been overstated? As it turns out, one-third of respondents share the opinion that the skills shortage has been greatly or somewhat overstated, but the highest percentage of cybersecurity professionals (44%) believe it has received the right amount of attention, while 23% claim it has been understated (see Figure 13).

    Основываясь на этих отзывах, ESG и МАСО задали респондентам опроса основной вопрос в опросе 2021 года: не завышена ли нехватка навыков кибербезопасности? Оказывается, треть респондентов разделяют мнение о том, что нехватка навыков была сильно или несколько завышена, но самый высокий процент специалистов в области кибербезопасности (44%) считают, что ей было уделено должное внимание, в то время как 23% утверждают, что она была занижена (см. рис. 13).

    Figure 13. Opinions on Industry Discussions of the Cybersecurity Skills Shortage
    Figure 13. Opinions on Industry Discussions of the Cybersecurity Skills Shortage

    As further research clearly indicates, the cybersecurity skills shortage is real, leading to lots of problems for organizations. At the same time however, the research points to the fact that some organizations may be experiencing self-inflicted wounds and truly don’t recruit well, provide the right level of training, or address the skills shortage with the right strategies. In essence, both groups are right: The skills shortage is real, but organizations could and should be doing more.

    Как ясно показывают дальнейшие исследования, нехватка навыков кибербезопасности реальна, что приводит к множеству проблем для организаций. В то же время исследование указывает на тот факт, что некоторые организации могут испытывать раны, нанесенные самим собой, и действительно плохо набирают сотрудников, обеспечивают необходимый уровень подготовки или решают проблему нехватки навыков с помощью правильных стратегий. По сути, обе группы правы: нехватка навыков реальна, но организации могут и должны делать больше.

    As in past years, ESG and ISSA wanted to understand the implications of the global cybersecurity skills shortage and how it is affecting organizations. For the first time, the data improved slightly. This year, 57% of organizations claim they’ve been impacted by the cybersecurity skills shortage, compared to 70% in 2020 and 73% in 2019 (see Figure 14).

    Как и в прошлые годы, ESG и МАСО хотели понять последствия глобальной нехватки навыков в области кибербезопасности и как она влияет на организации. Впервые данные немного улучшились. В этом году 57% организаций заявили, что на них повлияла нехватка навыков кибербезопасности, по сравнению с 70% в 2020 году и 73% в 2019 году (см. рис. 14).

    Figure 14. Level of Impact of the Cybersecurity Skills Shortage
    Figure 14. Level of Impact of the Cybersecurity Skills Shortage

    While this data point seems to represent an encouraging trend, additional data paints a different picture. Last year, ESG and ISSA added a question asking cybersecurity professionals whether they believe the cybersecurity skills shortage is improving or getting worse. This year’s results are distressing as 44% believe the cybersecurity skills shortage (and its impact) have gotten worse over the past few years while 51% say it’s about the same today as it was over the past few years (see Figure 15). Sadly, only 5% believe the situation has gotten better.

    Хотя эти данные, по-видимому, отражают обнадеживающую тенденцию, дополнительные данные рисуют иную картину. В прошлом году ESG и МАСО добавили вопрос специалистам по кибербезопасности, считают ли они, что нехватка навыков в области кибербезопасности улучшается или ухудшается. Результаты этого года ужасают, поскольку 44% считают, что дефицит навыков в области кибербезопасности (и его влияние) за последние несколько лет усугубился, а 51% считают, что сегодня ситуация примерно такая же, как и в последние несколько лет (см. рис. 15). К сожалению, только 5% считают, что ситуация улучшилась.

    Based upon years of research, ESG and ISSA firmly believe that the cybersecurity skills shortage is a long-term reality where the industry has achieved little progress. While education and recruitment programs may be worthwhile, CISOs must craft enterprise security programs that accommodate and plan for perpetual skills shortages.

    Основываясь на многолетних исследованиях, ESG и МАСО твердо убеждены в том, что нехватка навыков в области кибербезопасности — это долгосрочная реальность, в которой отрасль не достигла значительного прогресса. Хотя программы обучения и найма могут быть достойными, руководители ИТ-служб должны разработать программы корпоративной безопасности, которые учитывают и планируют постоянную нехватку навыков.

    Figure 15. The Cybersecurity Skills Shortage Is Not Improving
    Figure 15. The Cybersecurity Skills Shortage Is Not Improving

    As in the past, survey respondents working at organizations impacted by the cybersecurity skills shortage were asked about the ramifications experienced (see Figure 16). Once again, the top response (62%) was that it has increased the workload on existing staff (similar to last year’s results, 58%). This is the biggest consequence of the skills shortage by far. Additionally, 38% of respondents indicated that the skills shortage has led to new security jobs remaining open for weeks or months (this may be one reason why 29% of organizations must hire and train junior employees rather than experienced candidates). Consistent with the mental health theme described previously, 38% of respondents said that the skills shortage has led to employee burnout and employee attrition.

    Как и в прошлом, респондентам опроса, работающим в организациях, на которых сказывается нехватка навыков в области кибербезопасности, был задан вопрос о последствиях этого (см. рис. 16). Опять же, наивысший отклик (62%) заключался в том, что он увеличил нагрузку на существующий персонал (аналогично прошлогодним результатам, 58%). Это самое серьезное последствие нехватки навыков на сегодняшний день. Кроме того, 38% респондентов указали, что нехватка навыков привела к тому, что новые рабочие места в сфере безопасности остаются открытыми в течение нескольких недель или месяцев (это может быть одной из причин, по которой 29% организаций должны нанимать и обучать младших сотрудников, а не опытных кандидатов). В соответствии с темой психического здоровья, описанной ранее, 38% респондентов заявили, что нехватка навыков привела к выгоранию сотрудников и их выкиданию.

    It is also noteworthy that one-third of respondents say that the skills shortage has led to a situation where the cybersecurity team is unable to learn or utilize some security technologies to their full potential. Think about that for a moment: Organizations determine they need some new security technology for threat prevention, detection, or response. They go through the rigor of researching, purchasing, testing, configuring, deploying, and operating the product as well as training staff. After all this work, they still lack the staff or skills to operate the product correctly. Given this situation, CISOs must reassess their priorities, only purchasing technologies that can be used appropriately. In other cases, organizations should consider managed services as an alternative to underutilized security technologies.

    Примечательно также, что треть респондентов считают, что нехватка навыков привела к тому, что команда по кибербезопасности не в состоянии изучить или использовать некоторые технологии безопасности в полной мере. Задумайтесь на мгновение: организации считают, что им нужны новые технологии безопасности для предотвращения угроз, обнаружения и реагирования на них. Они проходят тщательное исследование, приобретение, тестирование, настройку, развертывание и эксплуатацию продукта, а также обучение персонала. После всей этой работы им по-прежнему не хватает персонала или навыков для правильной работы с продуктом. В этой ситуации CISO должны пересмотреть свои приоритеты, приобретая только те технологии, которые могут быть использованы надлежащим образом. В других случаях организациям следует рассматривать управляемые услуги как альтернативу недостаточно используемым технологиям безопасности.

    Figure 16. How the Cybersecurity Skills Shortage Has Impacted Organizations
    Figure 16. How the Cybersecurity Skills Shortage Has Impacted Organizations

    For the first time, organizations claiming to be impacted by the cybersecurity skills shortage were asked to identify contributing factors. The three top responses included issues related to compensation, HR’s understanding of cybersecurity skills, and working in an industry that may be unattractive to cybersecurity professionals (see Figure 17). It is also worth noting that 25% pointed to unrealistic job postings (i.e., asking for skills that were not commensurate with compensation offered, real job requirements, etc.). To some extent, this data supports the theory that the cybersecurity skills shortage is related to mismanagement rather than a dearth of qualified candidates or advanced skills.

    Впервые организациям, утверждающим, что на них повлияла нехватка навыков в области кибербезопасности, было предложено определить факторы, способствующие этому. Три главных ответа включали вопросы, связанные с компенсацией, пониманием персоналом навыков кибербезопасности и работой в отрасли, которая может оказаться непривлекательной для специалистов по кибербезопасности (см. рис. 17). Стоит также отметить, что 25% указали на нереалистичные вакансии (то есть, запрашивали навыки, которые не были соизмеримы с предлагаемой компенсацией, реальные требования к работе и т.д.). В некоторой степени эти данные подтверждают теорию о том, что нехватка навыков кибербезопасности связана с бесхозяйственности, а не с нехваткой квалифицированных кандидатов или продвинутых навыков.

    Compensation is a binary issue—either an organization offers competitive compensation, or it does not. The same could be said of an organization’s industry. If compensation or industry is unappealing, the hiring company is at a distinct disadvantage and will only be successful at recruiting if other job attributes are especially attractive (i.e., working hours, training opportunities, benefits, etc.). With regard to compensation, CISOs must lobby HR, finance, and other departments to offer competitive salaries, or they face a perpetual losing battle for staff recruitment and retention. As for other factors mentioned, CISOs must ensure that HR departments and recruiters are well versed in cybersecurity needs and put together accurate and realistic job postings as part of their recruitment process.

    Компенсация — это бинарная проблема, либо организация предлагает конкурентоспособную компенсацию, либо нет. То же самое можно сказать и о отрасли организации. Если компенсация или отрасль непривлекательны, нанимающая компания находится в явно невыгодном положении и добьется успеха в найме только в том случае, если другие характеристики работы будут особенно привлекательными (например, рабочее время, возможности обучения, льготы и т. Д.). Что касается вознаграждения, руководители ИТ-отделов должны лоббировать кадровые, финансовые и другие отделы, чтобы предлагать конкурентоспособные зарплаты, иначе они будут постоянно проигрывать в битве за набор и удержание персонала. Что касается других упомянутых факторов, руководители ИТ-отделов должны убедиться, что HR-отделы и рекрутеры хорошо разбираются в потребностях кибербезопасности и составлять точные и реалистичные вакансии в рамках процесса найма.

    Figure 17. Factors Contributing to How the Cybersecurity Skills Shortage Has Impacted Organizations
    Figure 17. Factors Contributing to How the Cybersecurity Skills Shortage Has Impacted Organizations

    Additional data from this year’s survey results add further evidence to the extent of the cybersecurity skills shortage. According to Figure 18, when asked how difficult it is to recruit cybersecurity professionals, 76% of security professionals say it is either extremely (18%) or somewhat difficult (58%).

    Дополнительные данные из результатов опроса этого года еще больше подтверждают масштабы нехватки навыков в области кибербезопасности. Согласно диаграмме 18, на вопрос о том, насколько сложно нанять специалистов по кибербезопасности, 76% специалистов в области безопасности отвещают, что это чрезвычайно (18%) или несколько сложно (58%).

    Figure 18. Difficulties in Recruiting for Cybersecurity
    Figure 18. Difficulties in Recruiting for Cybersecurity

    Survey respondents were asked to identify areas with the most acute skills shortages. Nearly four in ten (39%) cite cloud computing security, followed by nearly a third (30%) who identify application security and/or security analysis and investigations as areas of personnel deficiency (see  Figure 19).

    Респондентам опроса было предложено определить области с наиболее острым дефицитом навыков. Почти четыре из десяти (39%) указывают на безопасность облачных вычислений, за ними следуют почти треть (30%), которые определяют безопасность приложений и/или анализ безопасности и расследования как области нехватки персонала (см. рис. 19).

    CISOs must understand the level of competition for candidates with these skill sets. It may be worthwhile to craft backup plans if recruitment efforts languish or fail completely. Examples include training software developers and DevOps personnel on application security, recruiting and training server virtualization administrators as cloud computing security specialists, and working with experienced managed services providers.

    CISO должны понимать уровень конкуренции для кандидатов с такими навыками. Возможно, стоит разработать резервные планы, если усилия по набору персонала будут слабеть или полностью потерпеть неудачу. Примеры включают обучение разработчиков программного обеспечения и DevOps безопасности приложений, набор и обучение администраторов виртуализации серверов в качестве специалистов по безопасности облачных вычислений, а также работу с опытными поставщиками управляемых услуг.

    Figure 19. Area(s) with Biggest Shortage of Cybersecurity Skills by Technology Category
    Figure 19. Area(s) with Biggest Shortage of Cybersecurity Skills by Technology Category

    The research also points out that it is most difficult to recruit mid-career and senior cybersecurity professionals while fewer organizations have trouble recruiting entry-level security staff or cybersecurity leadership (see Figure 20).

    Исследование также указывает на то, что труднее всего нанять специалистов среднего и старшего звена по кибербезопасности, в то время как меньшее число организаций испытывают трудности с наймом сотрудников по безопасности начального уровня или руководителей в области кибербезопасности (см. рис. 20).

    Figure 20. Area(s) with Biggest Shortage of Cybersecurity Skills by Experience Levels
    Figure 20. Area(s) with Biggest Shortage of Cybersecurity Skills by Experience Levels

    While organizations find it difficult to recruit and hire cybersecurity staff, security professionals are constantly being recruited for new positions with promises of higher pay, better benefits, and an assortment of perks. In fact, 70% of the cybersecurity professionals surveyed are solicited to consider other job opportunities at least once per month (see Figure 21). Furthermore, 71% of survey respondents believe that the frequency/volume of job solicitations has increased over the past few years. Cybersecurity truly remains a seller’s market.

    В то время как организациям трудно нанимать и нанимать сотрудников по кибербезопасности, специалисты по безопасности постоянно набираются на новые должности, обещая более высокую зарплату, лучшие льготы и различные льготы. Более того, 70% опрошенных специалистов по кибербезопасности должны рассматривать другие вакансии не реже одного раза в месяц (см. рис. 21). Кроме того, 71% респондентов опроса считают, что частота/объем вакансий увеличился за последние несколько лет. Кибербезопасность действительно остается рынком сбыта.

    Figure 21. Frequency of Solicitations for Cybersecurity Jobs
    Figure 21. Frequency of Solicitations for Cybersecurity Jobs

    In 2021, survey respondents were once again asked to identify who is responsible for addressing the cybersecurity skills shortage. Respondents indicate that CISOs/CSOs really own this problem (see Figure 22). Are these individuals and the organizations they work for doing enough to address the cybersecurity skills shortage? Not according to survey respondents, as 27% believe their organization could be doing somewhat more to address the skills shortage while nearly one-third (32%) say their organizations could be doing much more here (see Figure 23).

    В 2021 году респондентов опроса еще раз попросили определить, кто несет ответственность за решение проблемы нехватки навыков в области кибербезопасности. Респонденты указывают, что CISO/ОГО действительно владеют этой проблемой (см. рис. 22). Достаточно ли этих людей и организаций, над которыми они работают, чтобы решить проблему нехватки навыков в области кибербезопасности? По мнению респондентов опроса, 27% опрошенных считают, что их организация могла бы сделать больше для решения проблемы нехватки навыков, а почти треть (32%) считают, что их организации могли бы сделать здесь гораздо больше (см. рис. 23).

    As previously stated, this data reinforces the need for CISOs/CSOs and the organizations they work for to plan for staff and skills shortages by including plans for additional use of professional/managed services and process automation. Organizations should also research, test, and pilot “smart” security solutions based on advanced analytics. These technologies vary widely in terms of efficacy and should be approached cautiously, but their potential to augment human skills in the future is worth pursuing.

    Как уже говорилось ранее, эти данные усиливают потребность в том, чтобы CISO/ОГО и организации, в которых они работают, планировали нехватку персонала и навыков, включая планы дополнительного использования профессиональных/управляемых услуг и автоматизации процессов. Организациям также следует исследовать, тестировать и опробовать «умные» решения безопасности, основанные на расширенной аналитике. Эффективность этих технологий сильно различается, и к ним следует подходить осторожно, но их потенциал для повышения человеческих навыков в будущем заслуживает внимания.

    Figure 22. Responsibilities for Addressing the Impact of the Cybersecurity Skills Shortage
    Figure 22. Responsibilities for Addressing the Impact of the Cybersecurity Skills Shortage
    Figure 23. Organizational Response to the Cybersecurity Skills Shortage
    Figure 23. Organizational Response to the Cybersecurity Skills Shortage

    With most respondents believing that their organizations could do more to address the skills shortage, ESG and ISSA asked them for some specific recommendations (see Figure 24). Cybersecurity professionals suggested actions like increasing the commitment to cybersecurity training, increasing compensation, providing additional perks, and creating or improving a cybersecurity internship program.

    Поскольку большинство респондентов считают, что их организации могут сделать больше для решения проблемы нехватки навыков, ESG и МАСО попросили их дать некоторые конкретные рекомендации (см. рис. 24). Специалисты по кибербезопасности предложили такие действия, как повышение приверженности обучению кибербезопасности, увеличение вознаграждения, предоставление дополнительных льгот, а также создание или улучшение программы стажировок по кибербезопасности.

    The top three recommendations are clear; organizations need to offer competitive compensation, benefits, and training opportunities to attract top cybersecurity talent. Aside from these basics, survey respondents have some additional advice such as looking beyond security and IT for talent, working more closely with cybersecurity professional organizations, and increasing work with local colleges and universities. In summary, successful cybersecurity recruiting requires a bit of experimentation and creativity. Organizations should take chances with the goal of creating programs that are attractive to the cybersecurity community. CISOs should gather further feedback and enlist the HR department’s help to create this type of environment.

    Три главных рекомендации ясны: организациям необходимо предлагать конкурентоспособные вознаграждения, льготы и возможности обучения для привлечения лучших специалистов в области кибербезопасности. Помимо этих основ, респонденты опроса могут получить дополнительные советы, такие как не только безопасность и ИТ для талантов, более тесное сотрудничество с профессиональными организациями в области кибербезопасности и расширение сотрудничества с местными колледжами и университетами. Таким образом, успешный набор сотрудников в области кибербезопасности требует немного экспериментов и творчества. Организации должны рисковать с целью создания программ, привлекательных для сообщества кибербезопасности. CISO должны собрать дополнительную обратную связь и заполучить помощь отдела кадров для создания такой среды.

    Figure 24. Actions that Could Be Used to Address the Cybersecurity Skills Shortage
    Figure 24. Actions that Could Be Used to Address the Cybersecurity Skills Shortage