In che modo il divario di competenze di sicurezza informatica minaccia il tuo business

Il deficit di personale qualificato per la sicurezza informatica sta ora influenzando direttamente la capacità delle aziende di rimanere al sicuro. Il World Economic Forum ha affermato che il 60% “troverebbe difficile rispondere a un incidente di sicurezza informatica a causa della carenza di competenze all’interno del proprio team” e l’ente del settore ISACA ha rilevato che il 69% di quelle aziende che hanno subito un attacco informatico in passato anno erano alquanto o significativamente a corto di personale.

Gli impatti possono essere devastanti. Lo studio sulla forza lavoro sulla sicurezza informatica dell’organismo di accreditamento ISC(2) ha rilevato che la carenza di personale stava portando a sistemi configurati in modo errato, patch tardive dei sistemi, mancanza di supervisione, valutazione del rischio insufficiente, mancanza di consapevolezza delle minacce e implementazioni affrettate. Con queste carenze che ora mettono a repentaglio la capacità delle aziende di funzionare, la funzione di assunzione è sottoposta a una pressione significativa per migliorare il proprio gioco.

A peggiorare le cose, si prevede che queste carenze si intensificheranno. L’anno scorso il Dipartimento per la cultura, i media e lo sport (DCMS) aveva previsto che ci sarebbe stato un calo annuale di 10.000 nuovi ingressi nel mercato della sicurezza informatica, ma nel suo ultimo rapporto, pubblicato a maggio, è stato rivisto a 14.000 ogni anno. Ciò significa che, nel tempo, possiamo aspettarci che le difese aziendali diventino ancora più deboli ed esposte.

Perché la tecnologia non è la risposta

Alle aziende è stata venduta l’idea di poter automatizzare la via d’uscita dal problema, ma il sondaggio ISACA mostra che solo il 17% ora pensa che l’intelligenza artificiale e l’apprendimento automatico possano aiutare a colmare il divario di competenze. Semmai, la tecnologia sembra aver esacerbato il problema; l’azienda media ora ha in genere tra 20 e 70 soluzioni di sicurezza, secondo il rapporto sulla sicurezza dei pagamenti di Verizon, creando una pila di software gonfia. Ciascuno di questi strumenti proprietari richiede una formazione specifica, che porta a competenze che spesso non sono trasferibili, e la loro gestione può creare affaticamento di allerta, portando a un maggiore turnover del personale (il 45% degli intervistati nel rapporto ISACA cita lo stress come motivo principale dell’abbandono ).

Il breve lasso di tempo che molti addetti alla sicurezza informatica trascorrono nelle loro posizioni sta indebolendo ulteriormente la sicurezza. Nell’ultimo decennio, il mandato medio per un Chief Information Security Officer (CISO) è stato di soli due anni, secondo il rapporto Verizon. Prima del Covid, ci sono voluti dai tre ai sei mesi per ricoprire queste posizioni e sei mesi perché il nuovo CISO si mettesse al passo, così che il 35% di tutti i CISO erano nuovi al lavoro. Ciò ha un impatto diretto sulla capacità dell’organizzazione di impegnarsi in piani di sicurezza che in genere si estendono da cinque a 10 anni.

Quindi, come possono i team delle risorse umane reclutare e trattenere meglio i professionisti della sicurezza informatica? Le strategie principali oggi sono la formazione del personale non di sicurezza all’interno dell’azienda; utilizzando appaltatori e consulenti, AI e automazione; e il miglioramento delle competenze del personale esistente, ha rilevato l’indagine ISACA. Ma il problema con questi approcci è che dipendono tutti da un budget di sicurezza sano. Man mano che le aziende iniziano a sentirsi sotto pressione da costi più elevati, inflazione e una recessione imminente, è probabile che questi budget si riducano.

Ripensare il reclutamento

Andare sul mercato è, quindi, l’unico modo praticabile per affrontare il problema, ma questo significa risolvere le sfide della pipeline. Ad oggi, c’è stata un’enfasi schiacciante sull’esperienza e sulle certificazioni, con il 95% che considera la prima come essenziale e l’88 per cento la seconda. È un approccio paraocchi che riduce drasticamente i potenziali candidati, con la maggior parte dei responsabili delle assunzioni che pensa che solo il 26-49% dei candidati sia adatto al ruolo per il quale si stanno candidando, afferma ISACA.

Ci sono anche prove che suggeriscono che le risorse umane siano in parte responsabili di non essere al passo con i responsabili delle assunzioni. Un rapporto DCMS e Ipsos MORI ha rilevato che molti reclutatori ritenevano che i candidati idonei fossero esclusi a causa del filtraggio eseguito dalle risorse umane. Allo stesso modo, i responsabili delle assunzioni si sono lamentati del fatto che le offerte di lavoro non soddisfano i criteri necessari per svolgere determinati ruoli. Ciò può portare a cosiddetti annunci di lavoro “unicorno” in cui vengono richieste esperienze o qualifiche incongrue nel tentativo di assicurarsi un candidato multi-qualificato.

Per aiutare a migliorare le pratiche di assunzione, dobbiamo cercare di attirare più candidati nella professione, comprendere il valore dell’attitudine e delle competenze trasversali e cercare di migliorare la comunicazione tra le risorse umane e il responsabile delle assunzioni. Per fortuna, vengono fatti progressi che promettono di aiutare tutti i soggetti coinvolti.

Il Cyber ​​Security Council del Regno Unito sta ideando percorsi di carriera informatica in 16 aree di specializzazione da qui al 2025 che mapperanno le certificazioni e l’esperienza per ciascun ruolo. Ciò renderà più facile per le risorse umane vedere per cosa dovrebbe essere la pubblicità e consentirà ai candidati di dotarsi delle giuste competenze. Il Chartered Institute of Information Security (CIISec) ha anche sviluppato un framework per le competenze informatiche che mira ad aiutare con il reclutamento e il mantenimento di professionisti della sicurezza informatica.

Tali iniziative porteranno un po’ di chiarezza tanto necessaria, rendendo più facile per i gruppi precedentemente emarginati di entrare nella professione, quelli all’interno del settore a progredire e l’azienda per aumentare la fidelizzazione, che è la chiave per migliorare la posizione di sicurezza.

Jamal Elmellas è direttore operativo di Focus-on-Security

Leave a Comment

Your email address will not be published. Required fields are marked *