Hiába a hatalmas szakemberhiány, a sokéves rendszeradminisztrációs és hálózatüzemeltetői gyakorlat önmagában még nem teszi IT- és kiberbiztonsági szakértővé az embert. A munkáltatók nemigen állnak szóba olyan jelentkezővel, akinek nincs kockázatkezelési tapasztalata és CISA vagy CISSP vizsgája. Akkor sem, ha égető szükség volna az utánpótlásra.
A kaliforniai központú Robert Half Technology munkaerő-közvetítő felmérésében a megkérdezett CIO-k 41 százaléka állította, hogy vállalatuknál főként a kibervédelmi szakértelem hiányzik. Ugyanakkor az SSCP, CCSP és CISSP okleveleket kiadó (ISC)2 friss előrejelzése szerint 2022-re világszerte 1,8 millió fős hiány lesz kiberbiztonsági szakértőből - ez 20 százalékkal több, mint amennyit 2015-ben jósoltak.
Elvárások az egekben
Nem könnyíti meg a tehetségek felkutatását az sem - emlékeztet a Gartner -, hogy a felvételi követelmények megfogalmazásakor sok vállalatnál túllőnek a célon. Elvárják a jelentkezőktől, hogy nyolc-tíz éves IT-biztonsági gyakorlattal, széles körű tapasztalattal és megfelelő papírokkal rendelkezzenek. Ily módon azok a dolgozóik sem rúghatnak labdába, akiknek gyakorlatuk ugyan nincs, de belülről ismerik a céges folyamatokat, és megvannak a szakmai ismereteik ahhoz, hogy jó kiberbiztonsági szakértő váljon belőlük.
Egyes vezetői posztokon természetesen nélkülözhetetlen a megfelelő rutin és tapasztalat, ám a Radware legutóbbi globális felmérése szerint a kibertámadások elhárítását elsősorban a szakemberhiány nehezíti meg. A Gartner ezért a toborzást illetően mértékletességre inti a vállalatokat. Véleményük szerint nem a tökéletes jelölteket kellene hajkurászniuk a HR-eseknek, hanem sok-sok jó szakembert toborozniuk, ilyen pedig minden szervezetnél akad. Amennyiben az IT-biztonsági végzettség a kiírás szerint nem kötelező, hanem csupán előnyt jelent, máris sokkal nagyobb lesz a merítés, a pályázókat pedig később be lehet íratni továbbképzésre, tanfolyamokra. Sokkal egyszerűbb egy Unix-adminisztrátorból jó biztonsági felelőst képezni, mint felhajtani valakit, aki rendelkezik néhány évnyi IT-biztonsági tapasztalattal - vélik a Gartnernél.
Túl a fiatal koron, túl a férfiakon
Nem szabad lemondani az öreg rókákról, az idősebb szakikról sem. Attól, hogy valaki évtizedek óta a cégnél van, még nem feltétlenül betonozódott be a silókba, tapasztalatai még jól jöhetnek a biztonsági oldalon. A Forrester a Nike példáját említi azon vállalatok egyikeként, amelyek egykori, nyugdíjas IT-munkatársaik tudását hasznosítják időszakos munkában. Arra is van példa, hogy más vállalattól nyugdíjba vonult szakembert vegyenek fel. A Gartner elemzője által hozott példában szereplő férfi unalmában adott fel hirdetést. Eredetileg security architect projektre jelentkezett, végül azonban főállásban kötött ki. Új munkaadója nagyra értékeli minőségi munkáját, szakértelmét, alázatos hozzáállását és a fiatalokhoz képest igen alkalmazkodó természetét.
Nem szabad megfeledkezni a női szakértőkről sem. Az (ISC)2 nemzetközi felmérése szerint az információbiztonsági pályán mozgóknak mindössze 11 százaléka nő. Ugyanakkor a hölgyek a férfiakénál magasabb szintű képesítéssel lépnek ki a porondra: 50 százalékuk mesterszintű diplomával rendelkezik, míg a férfiaknak csak a 45 százaléka. A tanulmány szerint az IT-biztonság és kockázatkezelés iránt érdeklődő informatikus hölgyeknek több szakmai támogatást és mentori segítséget kellene adni.
Számos vállalat kínál gyakorlati képzést végzős diákoknak, a kiberbiztonsági érdeklődésű, vagy ilyen képességekkel rendelkező fiatalokat azonban minél előbb fel kell kutatni. Akiben megvan a szikra, azt jó mentor közreműködésével be lehet vonni izgalmas projektekbe, és ha azokban megállja a helyét, értékes junior tagból jó eséllyel lesz idővel az informatikai biztonsági team egyik vezetője. Ám akiben nincs meg az érdeklődés, azt akarata ellenére nem lehet IT-biztonsági specialistává képezni; ha egy év múlva sem érzi magát boldognak a rá osztott szerepben, másikat fog keresni magának.