Diversité dans la cybersécurité : comment être inclusif peut aider à améliorer les défenses de chacun contre les attaques Regardez maintenant
L'expertise en cybersécurité est très demandée. Face à des menaces telles que le phishing, les ransomwares et les violations de données, les entreprises ont besoin de personnel de sécurité des informations dans leurs équipes pour aider à protéger leurs réseaux contre les attaques.
Bien que l'intention de créer et d'améliorer des équipes de cybersécurité existe, des recherches récentes montrent que les entreprises commettent souvent des erreurs lors de l'embauche, ce qui entraîne des difficultés pour recruter et fidéliser le personnel de sécurité informatique.
Dans certains cas, les entreprises font de la publicité pour pourvoir des postes de stagiaires, ce qui, dans des circonstances habituelles, permet aux gens d'apprendre sur le tas tout en aidant l'entreprise. Cependant, même lorsqu'il s'agit d'annoncer des stages en cybersécurité, il existe des annonces qui exigent qu'un candidat ait cinq ans de travail dans le domaine. Les personnes ayant des années d'expérience professionnelle sont invitées à accepter des emplois pour peu ou même pas de salaire.
« Si vous avez cinq ans d'expérience en cybersécurité, vous n'êtes plus un stagiaire, vous êtes un professionnel avancé à ce stade – pensez-vous que vous allez obtenir un vétéran de cinq ans en cybersécurité pour une rémunération de stagiaire ? Non , bien sûr que non », dit Miller.
VOIR : La crise de l'emploi en matière de cybersécurité s'aggrave et les entreprises commettent des erreurs fondamentales en matière d'embauche
La cybersécurité implique un ensemble particulier de compétences, que les gens ont mis du temps et des efforts pour apprendre. La nature de l'industrie signifie que, lorsqu'il s'agit de se perfectionner, de nombreux professionnels de la sécurité de l'information se sont retrouvés dans le cheminement de carrière en raison d'un vif intérêt pour la cybersécurité – et certains sont autodidactes, démontrant les aptitudes requises pour réussir, même si ils n'ont pas de certifications spécifiques.
Cela peut être déroutant pour les services des ressources humaines, qui ont l'habitude de consulter et d'embaucher des candidats en fonction du candidat possédant certaines qualifications que les responsables de la sécurité de l'information pourraient ne pas avoir. Quelqu'un peut avoir des années d'expérience dans l'industrie, mais si les RH ne voient pas ce qu'ils perçoivent comme les qualifications correctes, leur candidature pourrait être rejetée, malgré l'expérience pratique.
La cybersécurité, en bref, suit le même schéma que les autres carrières dans l'informatique et la technologie avant elle. “Nous avons traversé tout cela avec l'ingénierie logicielle il y a 10 ans et maintenant la cybersécurité est juste à ce stade”, déclare Adam Enbar, PDG et co-fondateur de la Flatiron School, qui enseigne des bootcamps sur le campus et en ligne en génie logiciel, science des données et la cybersécurité.
“Vous avez des employeurs qui embauchent, mais ils ne savent pas vraiment pourquoi ils embauchent, et ils ne savent même pas quoi chercher.”
Cela ne se résume pas seulement à s'attendre à ce que des professionnels expérimentés travaillent pour peu ou rien – certaines entreprises ont simplement des attentes irréalistes quant à ce qui est requis pour le travail. En plus d'exiger des certifications, il n'est pas rare de voir des offres d'emploi demandant une longue expérience dans des disciplines qui n'existent que depuis quelques années.
“Les descriptions de poste doivent s'améliorer. Elles doivent se concentrer sur les bonnes choses – elles ne peuvent pas demander 10 ans d'expérience Kubernetes alors que Kubernetes n'existe que depuis six ans. Il y en a beaucoup d'exemples de ces descriptions de poste qui font des choses idiotes comme ça », dit Miller.
Ensuite, il y a la question du timing. Certaines entreprises se lancent dans d'importantes campagnes d'embauche à la suite d'un incident majeur de cybersécurité, ou parce qu'elles craignent de devenir la prochaine victime d'une violation massive de données, d'une campagne de ransomware ou d'une autre cyberattaque. Dans ce scénario, les entreprises qui recrutent veulent des résultats instantanés de la part de professionnels de la cybersécurité ayant des années d'expérience dans un centre d'opérations de sécurité (SOC).
« La plupart des offres d'emploi sont destinées à des personnes ayant entre cinq et 10 ans d'expérience. Cela se produit parce que les employeurs commencent souvent à investir et à consacrer du temps à l'embauche de professionnels de la cybersécurité lorsqu'ils sont confrontés à une crise. expérience, vous avez besoin de quelqu'un d'expérimenté pour venir nettoyer très rapidement », explique Christine Izuakor, fondatrice et PDG de Cyber Pop-up, une entreprise qui fournit des services de cybersécurité à la demande, et formatrice en cybersécurité pour Udacity.
Une stratégie qui serait meilleure que d'essayer d'embaucher du personnel de cybersécurité à la suite d'un incident serait de les avoir dans le personnel pour commencer – des personnes qui connaissent bien l'entreprise et peuvent aider à empêcher les incidents de se produire en premier lieu, ou peuvent réagir en la bonne façon si quelque chose ne va pas.
“La solution consiste pour les organisations à être plus proactives dans la recherche de ces personnes pour constituer une équipe de cybersécurité, au lieu d'attendre simplement qu'une cyberattaque ou une autre crise de sécurité se produise. Ce faisant, les employés ont le temps d'apprendre et devenir des rôles », explique Izuakor.
Cela va nécessiter un changement d'attitude à l'égard de l'embauche. Les entreprises ne peuvent pas simplement s'attendre à ce que des professionnels expérimentés de la cybersécurité se matérialisent de nulle part et acceptent de travailler avec un salaire d'entrée de gamme. Les entreprises doivent accepter qu'elles doivent commencer à embaucher des gens au tout début de leur carrière. Même s'ils ont moins d'expérience, ils peuvent apprendre sur le tas et, s'ils sont pris en charge, ils peuvent être un investissement positif pour une organisation, même s'ils n'ont aucune qualification technique au départ.
VOIR : Cybersécurité : Soyons tactiques(Dossier spécial ZDNet)
Dans sa conférence TED, Miller explique comment quelqu'un comme un barista pourrait avoir les compétences nécessaires pour prospérer dans une carrière en cybersécurité. Ils peuvent faire beaucoup de choses différentes à la fois pour préparer et servir du café, alors comment dire qu'ils ne peuvent pas profiter de cette expérience et l'utiliser dans un rôle d'analyste de sécurité ?
“Je recherche quelqu'un qui est vraiment doué pour prendre ces multiples entrées, comme un barista – ils peuvent prendre cette myriade de choses qui leur viennent, et les synthétiser en tâches, puis hiérarchiser et exécuter ces tâches. C'est ce que je demande un analyste SOC à faire », dit-elle.
En élargissant la recherche de personnel de cybersécurité de cette manière, les organisations ont une meilleure chance de diversifier la main-d'œuvre, ce qui peut aider à améliorer la cybersécurité pour tout le monde en apportant différents points de vue et considérations dans la salle, ainsi qu'en étant en mesure pour mieux répondre aux nouvelles menaces et problèmes.
« Les organisations doivent chercher à recruter des personnes issues d'horizons divers et capables de s'adapter au paysage croissant des menaces et aux nouveaux défis. Une main-d'œuvre polyvalente aidera à lutter contre les cybermenaces et à développer les cybercapacités actuelles », déclare Izuakor, qui ajoute qu'investir dans la formation de ces employés est également essentiel.
« En raison du rythme auquel la technologie évolue, le développement constant des talents est essentiel. En mettant en œuvre un programme de formation et de perfectionnement solide, les individus ont la possibilité d'apprendre et de progresser dans leur propre carrière tandis que les organisations peuvent devancer la concurrence croissante dans l'industrie en développant les talents internes.”
La cybersécurité est un élément essentiel des entreprises modernes. Les entreprises doivent donc investir dans l'embauche des bonnes personnes. Exiger cinq années d'expérience pour un poste de débutant ne fonctionnera pas, pas plus qu'un exercice à cocher consistant à exiger des qualifications particulières dans une industrie réputée pour les personnes qui se joignent de manière non conventionnelle, et où de nouvelles menaces signifient toujours de nouvelles compétences. obligatoire.
Dans ce cas, les entreprises doivent anticiper en matière d'embauche en matière de cybersécurité. Le recrutement n'est pas quelque chose à faire juste pour arranger les choses après un incident – c'est une partie importante de la gestion d'une entreprise et doit être traité comme tel. C'est pourquoi il est nécessaire d'embaucher les bonnes personnes et de les traiter avec respect et attention. Si vous vous trompez, votre équipe de cybersécurité existante pourrait s'épuiser et s'en aller – et les seules personnes qui en bénéficieront sont les cybercriminels.
EN SAVOIR PLUS SUR LA CYBERSÉCURITÉ
Pourquoi l'amélioration de la diversité dans la cybersécurité est vitale pour tout le mondeEmplois en cybersécurité : ce nouveau « guichet unique » vise à créer une feuille de route pour les carrières en sécurité< /strong>Travailler à domicile vous rend vulnérable aux pirates. Voici comment rester en sécuritéMeilleure certification de cybersécurité 2021 : approfondissez vos connaissancesLes responsables informatiques déclarent que le financement de la cybersécurité est gaspillé pour l'assistance au travail à distance : enquête
Sujets connexes :
Sécurité Gestion des données TV Centres de données CXO 