Diversiteit in cyberbeveiliging: hoe inclusief zijn kan helpen om ieders verdediging tegen aanvallen te verbeteren. Nu bekijken
Er is veel vraag naar expertise op het gebied van cyberbeveiliging. Geconfronteerd met bedreigingen zoals phishing, ransomware en datalekken, hebben bedrijven informatiebeveiligingspersoneel nodig in hun teams om hun netwerken te beschermen tegen aanvallen.
Hoewel het de bedoeling is om cyberbeveiligingsteams op te bouwen en te verbeteren, laat recent onderzoek zien hoe bedrijven vaak fouten maken bij het aannemen van personeel, wat leidt tot problemen bij het werven en behouden van IT-beveiligingspersoneel.
In sommige gevallen adverteren bedrijven om stageplaatsen in te vullen – iets dat mensen in normale omstandigheden in staat stelt om on-the-job te leren en tegelijkertijd het bedrijf te helpen. Maar zelfs als het gaat om advertenties voor stages in cyberbeveiliging, zijn er advertenties die vereisen dat een sollicitant vijf jaar in het veld heeft gewerkt. Mensen met jarenlange professionele ervaring worden gevraagd om banen aan te nemen voor weinig of zelfs geen loon.
“Als je vijf jaar ervaring hebt in cyberbeveiliging, ben je geen stagiair meer, maar op dat moment ben je een gevorderde professional – denk je dat je een vijfjarige veteraan in cyberbeveiliging krijgt voor het loon van een stagiair? Nee , natuurlijk niet”, zegt Miller.
ZIE: De banencrisis op het gebied van cyberbeveiliging wordt erger en bedrijven maken fundamentele fouten bij het aannemen van personeel
Cyberbeveiliging omvat een bepaalde reeks vaardigheden, die mensen in tijd en moeite hebben gestoken om te leren. De aard van de branche betekent dat veel informatiebeveiligingsprofessionals, als het gaat om het opleiden van vaardigheden, in het carrièrepad zijn beland vanwege een grote interesse in cyberbeveiliging. ze hebben geen specifieke certificeringen.
Dat kan verwarrend zijn voor personeelsafdelingen, die gewend zijn om sollicitanten te bekijken en aan te nemen op basis van de kandidaat met bepaalde kwalificaties die mensen met informatiebeveiliging misschien niet hebben. Iemand kan jarenlange ervaring in de branche hebben, maar als HR niet ziet wat zij als de juiste kwalificaties beschouwen, kan hun sollicitatie worden afgewezen, ondanks de praktische ervaring.
Kort gezegd volgt cyberbeveiliging hetzelfde patroon als andere carrières in informatica en technologie die eraan voorafgingen. “We hebben dat tien jaar geleden allemaal meegemaakt met software-engineering en nu is cybersecurity op dat punt terecht”, zegt Adam Enbar, CEO en mede-oprichter van Flatiron School, die lesgeeft op de campus en online bootcamps in software-engineering, datawetenschap en cyberbeveiliging.
“Je hebt werkgevers die mensen aannemen, maar die niet echt weten waarvoor ze mensen aannemen, en ze weten niet eens waar ze op moeten letten.”
Dit komt niet alleen neer op de verwachting dat ervaren professionals voor weinig of niets werken – sommige bedrijven hebben gewoon onrealistische verwachtingen over wat er nodig is voor het werk. Naast het vereisen van certificeringen, is het niet ongewoon om vacatures te zien waarin wordt gevraagd om langdurige ervaring in disciplines die nog maar een paar jaar bestaan.
“Functiebeschrijvingen moeten beter worden. Ze moeten op de juiste dingen gefocust zijn – ze kunnen niet om 10 jaar Kubernetes-ervaring vragen als Kubernetes pas zes jaar bestaat. Er zijn er genoeg van voorbeelden van die functiebeschrijvingen die zulke domme dingen doen”, zegt Miller.
Dan is er nog de kwestie van timing. Sommige bedrijven zullen grote wervingsacties ondernemen in de nasleep van een groot cyberbeveiligingsincident, of omdat ze bang zijn het volgende slachtoffer te worden van een massale datalek, ransomware-campagne of andere cyberaanval. In dit scenario willen de inlenende bedrijven onmiddellijke resultaten van cyberbeveiligingsprofessionals met jarenlange ervaring in een security operations center (SOC).
“De meeste berichten zijn geschreven voor mensen met vijf tot tien jaar ervaring. Dit gebeurt omdat werkgevers vaak beginnen te investeren en tijd besteden aan het inhuren van cyberbeveiligingsprofessionals wanneer ze met een crisis worden geconfronteerd – op dat moment wil je niet dat iemand met minimale ervaring hebt, heb je iemand met ervaring nodig die heel snel komt opruimen”, zegt Christine Izuakor, oprichter en CEO van Cyber Pop-up, een bedrijf dat on-demand cyberbeveiligingsdiensten levert, en een cyberbeveiligingsinstructeur voor Udacity.
Een strategie die beter zou zijn dan te proberen cyberbeveiligingspersoneel in paniek aan te nemen na een incident, zou zijn om hen in het begin personeel te hebben – mensen die het bedrijf goed kennen en kunnen helpen voorkomen dat incidenten zich voordoen, of die kunnen reageren in de eerste plaats de juiste manier als er iets misgaat.
“De oplossing is dat organisaties proactiever zijn bij het vinden van deze personen om een cyberbeveiligingsteam op te bouwen, in plaats van te wachten tot er een cyberaanval of andere beveiligingscrisis plaatsvindt. Door dit te doen, hebben werknemers de tijd om te leren en groeien naar rollen”, zegt Izuakor.
Dat zal een verandering in de houding ten opzichte van het aannemen van personeel vereisen. Bedrijven kunnen niet zomaar verwachten dat ervaren cybersecurityprofessionals uit het niets opduiken en accepteren dat ze werken tegen een instaploon. Bedrijven moeten accepteren dat ze aan het begin van hun carrière mensen moeten aannemen. Hoewel ze misschien minder ervaring hebben, kunnen ze tijdens het werk leren en, indien verzorgd, een positieve investering voor een organisatie zijn – zelfs als ze om te beginnen geen technische kwalificaties hebben.
ZIE: Cyberbeveiliging: laten we tactisch worden(Speciale functie van ZDNet)
In haar TED-talk legt Miller uit hoe iemand als een barista over de nodige vaardigheden kan beschikken om te gedijen in een carrière op het gebied van cyberbeveiliging. Ze kunnen veel verschillende dingen tegelijk doen, koffie zetten en serveren, dus wat moet je ervan zeggen dat ze die ervaring niet kunnen gebruiken in de rol van beveiligingsanalist?
“Ik ben op zoek naar iemand die heel goed is in het nemen van die meerdere inputs, zoals een barista – ze kunnen die talloze dingen die op hen afkomen nemen en dat in taken synthetiseren en vervolgens prioriteiten stellen en die taken uitvoeren. Dat is wat ik vraag een SOC-analist te doen”, zegt ze.
Door op deze manier de zoektocht naar cyberbeveiligingspersoneel uit te breiden, hebben organisaties een betere kans om het personeelsbestand te diversifiëren, wat kan helpen de cyberbeveiliging voor iedereen te verbeteren door verschillende gezichtspunten en overwegingen in de kamer te brengen, en door in staat te zijn om beter te reageren op nieuwe bedreigingen en problemen.
“Organisaties moeten kijken naar het werven van individuen met verschillende achtergronden en die zich kunnen aanpassen aan het groeiende dreigingslandschap en nieuwe uitdagingen. Een veelzijdig personeelsbestand zal helpen bij het bestrijden van cyberdreigingen en het ontwikkelen van de huidige cybercapaciteiten”, zegt Izuakor, die eraan toevoegt dat investeren in het opleiden van deze medewerkers ook essentieel is.
“Vanwege het tempo waarin technologie evolueert, is constante ontwikkeling van talent van cruciaal belang. Door een robuust training- en bijscholingsprogramma te implementeren, krijgen individuen de kans om te leren en vooruitgang te boeken in hun eigen loopbaan, terwijl organisaties de groeiende concurrentie op het gebied van de industrie door intern talent op te bouwen.”
Cyberbeveiliging is een essentieel onderdeel van het moderne bedrijfsleven, dus bedrijven moeten investeren in het aannemen van de juiste mensen. Vijf jaar ervaring eisen voor een rol op instapniveau gaat niet werken, evenmin als het afvinken van bepaalde kwalificaties in een branche die bekend staat om mensen die op onconventionele manieren meedoen, en waar nieuwe bedreigingen betekenen dat er altijd nieuwe vaardigheden nodig zijn verplicht.
In dat geval moeten bedrijven vooruit denken als het gaat om het inhuren van cyberbeveiliging. Werving is niet iets wat je alleen moet doen om de zaken na een incident op te lossen – het is een belangrijk onderdeel van het runnen van een bedrijf en moet als zodanig worden behandeld. Daarom is het noodzakelijk de juiste mensen aan te nemen en hen met respect en zorg te behandelen. Als u het verkeerd doet, kan uw bestaande cyberbeveiligingsteam opgebrand raken en weglopen – en de enige mensen die hiervan profiteren zijn cybercriminelen.
MEER OVER CYBERVEILIGHEID
Waarom het verbeteren van diversiteit in cyberbeveiliging van vitaal belang is voor iedereenCyberbeveiligingsbanen: deze nieuwe 'one-stop-shop' heeft tot doel een routekaart voor beveiligingscarrières te creëren< /strong>Thuiswerken maakt je kwetsbaar voor hackers. Zo blijf je veiligBeste cyberbeveiligingscertificering 2021: verdiep je kennisIT-leiders zeggen dat er geld voor cyberbeveiliging wordt verspild aan ondersteuning op afstand: enquête
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 