Diversità nella sicurezza informatica: come essere inclusivi può aiutare a migliorare le difese di tutti contro gli attacchi Guarda ora
Le competenze in materia di sicurezza informatica sono molto richieste. Di fronte a minacce come phishing, ransomware e violazioni dei dati, le aziende hanno bisogno di personale addetto alla sicurezza delle informazioni nei loro team per proteggere le loro reti dagli attacchi.
Anche se l'intenzione di creare e migliorare i team di sicurezza informatica è presente, ricerche recenti dimostrano come le aziende spesso commettano errori durante l'assunzione, con conseguente difficoltà nel reclutamento e nel mantenimento del personale addetto alla sicurezza IT.
In alcuni casi, le aziende si pubblicizzano per ricoprire posizioni di tirocinio, cosa che in circostanze normali consente alle persone di apprendere sul posto di lavoro e allo stesso tempo aiutare l'azienda. Tuttavia, anche quando si tratta di pubblicità per stage in sicurezza informatica, ci sono annunci che richiedono che un candidato abbia cinque anni di lavoro nel campo. Alle persone con anni di esperienza professionale viene chiesto di accettare un lavoro per una retribuzione minima o addirittura nulla.
“Se hai cinque anni di esperienza nella sicurezza informatica, non sei più uno stagista, sei un professionista avanzato a quel punto – pensi che otterrai un veterano di cinque anni nella sicurezza informatica per la paga del tirocinante? No , ovviamente no”, afferma Miller.
VEDERE: La crisi dei posti di lavoro nella sicurezza informatica sta peggiorando e le aziende stanno commettendo errori di base con le assunzioni
La sicurezza informatica implica un particolare insieme di competenze, che le persone hanno impiegato tempo e sforzi per apprendere. La natura del settore significa che, quando si tratta di acquisire competenze, molti professionisti della sicurezza delle informazioni sono finiti nel percorso di carriera a causa di un vivo interesse per la sicurezza informatica – e alcuni sono autodidatti, mostrando l'attitudine necessaria per avere successo, anche se non hanno certificazioni specifiche.
Ciò può creare confusione per i dipartimenti delle risorse umane, che sono abituati a visualizzare e assumere candidati in base al fatto che il candidato abbia determinate qualifiche che gli addetti alla sicurezza delle informazioni potrebbero non avere. Qualcuno potrebbe avere anni di esperienza nel settore, ma se le risorse umane non vedono ciò che percepiscono come le qualifiche corrette, la loro domanda potrebbe essere scartata, nonostante l'esperienza pratica.
La sicurezza informatica, in breve, sta seguendo lo stesso schema di altre carriere nel campo dell'informatica e della tecnologia prima di essa. “Abbiamo affrontato tutto questo con l'ingegneria del software 10 anni fa e ora la sicurezza informatica è proprio a quel punto”, afferma Adam Enbar, CEO e co-fondatore di Flatiron School, che insegna nel campus e bootcamp online in ingegneria del software, scienza dei dati e sicurezza informatica.
“Ci sono datori di lavoro che stanno assumendo ma non sanno davvero per cosa stanno assumendo e non sanno nemmeno cosa cercare.”
Questo non si riduce solo all'aspettativa che professionisti esperti lavorino per poco o niente: alcune aziende hanno semplicemente aspettative non realistiche su ciò che è richiesto per il lavoro. Oltre a richiedere certificazioni, non è raro vedere annunci di lavoro che richiedono una lunga esperienza in discipline che esistono solo da pochi anni.
“Le descrizioni dei lavori devono migliorare. Devono essere concentrate sulle cose giuste: non possono chiedere 10 anni di esperienza Kubernetes quando Kubernetes esiste solo da sei anni. Ce ne sono molti di esempi di quelle descrizioni di posti di lavoro là fuori che fanno cose stupide del genere”, dice Miller.
Poi c'è il problema dei tempi. Alcune aziende subiranno grandi assunzioni a seguito di un grave incidente di sicurezza informatica o perché temono di diventare la prossima vittima di una massiccia violazione dei dati, di una campagna di ransomware o di altri attacchi informatici. In questo scenario, le società di assunzione vogliono risultati immediati da professionisti della sicurezza informatica con anni di esperienza in un centro operativo di sicurezza (SOC).
“La maggior parte dei post sono scritti per persone con 5-10 anni di esperienza. Questo accade perché i datori di lavoro iniziano spesso a investire e dedicare tempo all'assunzione di professionisti della sicurezza informatica quando stanno affrontando una crisi – a quel punto, non vuoi qualcuno con il minimo esperienza, hai bisogno di qualcuno con esperienza per venire a ripulire molto velocemente”, afferma Christine Izuakor, fondatrice e CEO di Cyber Pop-up, un'azienda che fornisce servizi di sicurezza informatica su richiesta e un istruttore di sicurezza informatica per Udacity.
Una strategia che sarebbe migliore del tentativo di assumere nel panico personale addetto alla sicurezza informatica a seguito di un incidente sarebbe quella di averli nel personale per cominciare: persone che conoscono bene l'azienda e possono aiutare a proteggere gli incidenti dal verificarsi in primo luogo, o possono reagire in nel modo giusto se qualcosa va storto.
“La soluzione è che le organizzazioni siano più proattive nel trovare queste persone per creare un team di sicurezza informatica, invece di aspettare solo che si verifichi un attacco informatico o altre crisi di sicurezza. In tal modo, i dipendenti hanno tempo per imparare e crescere in ruoli”, afferma Izuakor.
Ciò richiederà un cambiamento di atteggiamento riguardo alle assunzioni. Le aziende non possono semplicemente aspettarsi che professionisti esperti di sicurezza informatica si materializzino dal nulla e accettino di lavorare con uno stipendio base. Le aziende devono accettare di dover iniziare ad assumere persone all'inizio della loro carriera. Anche se possono avere meno esperienza, possono imparare sul posto di lavoro e, se curati, possono essere un investimento positivo per un'organizzazione, anche se non hanno qualifiche tecniche per cominciare.
VEDERE: Cybersecurity: passiamo alla tattica(Speciale ZDNet)
Nel suo discorso TED, Miller spiega come qualcuno come un barista potrebbe avere le competenze necessarie per avere successo in una carriera nella sicurezza informatica. Possono fare molte cose diverse contemporaneamente preparare e servire il caffè, quindi cosa c'è da dire che non possono prendere quell'esperienza e usarla in un ruolo di analista della sicurezza?
“Sto cercando qualcuno che sia davvero bravo a prendere questi molteplici input, come un barista: può prendere quella miriade di cose che gli si presentano e sintetizzarle in attività e poi dare priorità ed eseguire quelle attività. Questo è quello che chiedo un analista SOC da fare”, dice.
Espandendo in questo modo la ricerca di personale addetto alla sicurezza informatica, le organizzazioni hanno maggiori possibilità di diversificare la forza lavoro, il che può contribuire a migliorare la sicurezza informatica per tutti portando in sala punti di vista e considerazioni diversi, oltre a essere in grado di per rispondere meglio a nuove minacce e problemi.
“Le organizzazioni devono cercare di reclutare persone che provengono da una varietà di background e possono adattarsi al crescente panorama delle minacce e alle nuove sfide. Una forza lavoro versatile aiuterà a combattere qualsiasi minaccia cibernetica e a far maturare le attuali capacità informatiche”, afferma Izuakor, che aggiunge che anche investire nella formazione di questi dipendenti è fondamentale.
“A causa del ritmo con cui la tecnologia si evolve, lo sviluppo costante del talento è fondamentale. Implementando un solido programma di formazione e miglioramento delle competenze, agli individui viene data l'opportunità di apprendere e progredire nelle proprie carriere mentre le organizzazioni possono superare la crescente concorrenza in l'industria costruendo talenti interni.”
La sicurezza informatica è una parte vitale del business moderno, quindi le aziende dovrebbero investire nell'assunzione delle persone giuste. Richiedere cinque anni di esperienza per un ruolo di livello base non funzionerà, né un esercizio da spuntare per richiedere qualifiche particolari in un settore famoso per le persone che si uniscono in modi non convenzionali e dove nuove minacce significano che nuove competenze sono sempre necessario.
In tal caso, le aziende devono pensare in anticipo quando si tratta di assumere la sicurezza informatica. Il reclutamento non è qualcosa da fare solo per sistemare le cose dopo un incidente: è una parte importante della gestione di un'impresa e dovrebbe essere trattato come tale. Ecco perché è necessario assumere le persone giuste e trattarle con rispetto e cura. Se sbagli, il tuo team di sicurezza informatica esistente potrebbe esaurirsi e andarsene, e le uniche persone che ne trarranno beneficio sono i criminali informatici.
MAGGIORI INFORMAZIONI SULLA CYBERSECURITY
Perché migliorare la diversità nella sicurezza informatica è vitale per tuttiLavori nella sicurezza informatica: questo nuovo “sportello unico” mira a creare una tabella di marcia per le carriere nel settore della sicurezza< /strong>Lavorare da casa ti rende vulnerabile agli hacker. Ecco come stare al sicuroMigliore certificazione di sicurezza informatica 2021: approfondisci le tue conoscenzeI leader IT affermano che i fondi per la sicurezza informatica vengono sprecati per il supporto del lavoro a distanza: sondaggio
Argomenti correlati:
Gestione dati TV di sicurezza CXO Data Center 