Дефицит квалифицированных кадров в индустрии информационной безопасности — проблема, мягко говоря, не новая. Однако в последние годы она встала особенно остро. Триггером тут послужила эпидемия коронавируса, из-за которой произошла стремительная цифровизация всего на свете и не менее стремительный рост количества атак. Из-за этого быстро растет и спрос на профессионалов в сфере кибербезопасности. А вот предложение за ним категорически не поспевает.
Одна из ведущих организаций, занимающихся сертификацией специалистов в области ИБ, — ISC2 — публикует ежегодные отчеты о состоянии дел с трудовыми ресурсами в кибербезопасности. Согласно последнему отчету, за период с 2022 по 2023 год количество специалистов в ИБ выросло на 8,7%. Звучит вроде бы внушительно. Однако проблема в том, что дефицит таких специалистов за тот же период вырос аж на 12,6%. Таким образом, на момент публикации отчета общемировая нехватка кадров в индустрии кибербезопасности достигала 4 миллионов сотрудников. Почему же так происходит?
Кибербезопасность в высшем образовании
Чтобы получить ответ на этот вопрос, мы провели масштабное исследование, в ходе которого опросили более 1000 профессионалов в сфере ИТ и кибербезопасности из 29 стран мира. Мы опрашивали сотрудников разного уровня — от начинающих специалистов до директоров и руководителей SOC.
В результате выяснилось несколько интересных фактов. В частности, далеко не все специалисты, работающие в данной сфере, изучали информационную безопасность в рамках своего высшего образования. Цифры разнятся по регионам, но в среднем соответствующие курсы были лишь у каждого второго. При этом большинство респондентов считает, что доступность специализированных курсов по информационной безопасности в рамках высшего образования недостаточна.
В целом полезность высшего образования для карьеры в информационной безопасности опрошенные оценили невысоко: лишь половина респондентов считает, что оно крайне полезно или очень полезно, четверть оценивает его полезность нейтрально, а еще четверть и вовсе полагает, что оно полностью бесполезно.
Основная проблема формального образования в сфере кибербезопасности состоит в том, что оно категорически не успевает за теми изменениями, которые происходят в реальном мире. Технологии, инструменты и ландшафт угроз сейчас меняются настолько быстро, что за время обучения полученные в процессе знания успевают устареть.
Также во многих регионах мира ИБ-профессионалы отмечают, что высшее образование часто не предоставляет достаточного практического опыта работы и не развивает нужные для реальной карьеры навыки. Поэтому часто начинающие специалисты оказываются не подготовлены к тому, что их ждет после трудоустройства.
Последствия для бизнеса
Как результат, из-за недостатка практического опыта многие начинающие специалисты совершают неправильные действия, которые могут иметь значительные последствия для организации. Как отметила почти половина опрошенных (46%), для того чтобы освоиться на первом месте работе, им потребовалось более года.
При этом в ходе опроса более половины ИБ-профессионалов (51%) признались в том, что делали серьезные ошибки в первые годы своей работы. Вот пять самых популярных ошибок, которые упоминают респонденты:
Не устанавливали вовремя обновления и патчи (43%).
Использовали слабые, легко угадываемые пароли (42%).
Не делали вовремя резервные копии важных данных (40%).
Использовали устаревшие меры безопасности (29%).
Попадались на фишинг (29%).
Часто ИБ-специалисты имеют гораздо более высокие привилегии и доступ к значительному количеству систем, которые недоступны рядовым сотрудникам. Поэтому подобные ошибки могут иметь катастрофические последствия для организации, от компрометации корпоративной инфраструктуры и заражения шифровальщиками-вымогателями до успешных операций промышленного шпионажа и утечек данных.
Решение проблемы дефицита кадров в ИБ
Разумеется, проблема недостатка кадров в сфере кибербезопасности слишком масштабна, чтобы для нее существовало какое-то простое и быстрое решение. Бороться с дефицитом квалифицированных специалистов придется долго, и решение должно быть комплексным.
Мы в «Лаборатории Касперского» выделяем два приоритетных направления. Во-первых, необходимо наладить более эффективное сотрудничество между бизнесом и академической средой. Чтобы качество полученного студентами образования соответствовало тем требованиям, которые предъявляют организации при трудоустройстве, следует помогать высшим учебным заведениям адаптировать программы к тому, что происходит в реальном мире, делать их более гибкими.
Мы уже достаточно давно сотрудничаем со многими образовательными учреждениями. В частности, с помощью нашей партнерской программы Kaspersky Academy Alliance высшие учебные заведения получают доступ к знаниям, лекциям, тренингам и технологиям мирового уровня и могут интегрировать в свои учебные программы отраслевую экспертизу, соответствующую самым современным трендам.
Во-вторых, бизнесу следует заботиться о том, чтобы сотрудники их отделов ИБ, особенно начинающие специалисты, могли восполнить пробелы в теоретических знаниях и, главное, в практических навыках, которые необходимы им для успешного выполнения рабочих задач. В условиях быстрого развития технологий и постоянного изменения ландшафта угроз профессионалам требуется постоянно учиться, чтобы поддерживать свою квалификацию на должном уровне.
Эффективными инструментами для профессионального обучения являются наша программа корпоративного образования в рамках Kaspersky Academy, а также онлайн-курсы Kaspersky Expert Training, доступные не только организациям, но и частным лицам. В рамках этих программ мы предлагаем курсы и тренинги, основанные на многолетнем опыте ведущих экспертов в различных областях кибербезопасности.
Митигация
Напоследок несколько советов, которые не помогут непосредственно решить проблему общемирового дефицита кадров в информационной безопасности, но позволят сделать ее менее острой в рамках вашей организации:
Чтобы разгрузить отдел ИБ, обучайте рядовых сотрудников компании основам информационной безопасности — например, с помощью нашей автоматизированной образовательной платформы Kaspersky Automated Security Awareness Platform.
Снизить нагрузку на ИБ также поможет наличие у службы ИТ практических навыков распознавания признаков атаки. Получить такие навыки можно, например, пройдя наш тренинг для ИТ-специалистов общего профиля.
Также сгладить дефицит кадров поможет использование автоматизированных инструментов, которые экономят время сотрудников ИБ-отдела, в частности Kaspersky Symphony.
При нехватке собственных высококвалифицированных специалистов имеет смысл пользоваться услугами внешних ИБ-сервисов, таких как Managed Detection and Response и Incident Response.