Wielu ekspertów ds. cyberbezpieczeństwa zdaje sobie sprawę, że w dziedzinie, którą się zajmują, istnieje luka kompetencyjna. Ma ona olbrzymi wpływ na zdolność przedsiębiorstw do ochrony swoich sieci i danych. Pandemia koronawirusa tylko pogłębiła ten problem, a jednocześnie ukazała problemy ekonomiczne, które zmusiły wiele firm do cięć budżetowych i zwolnień nawet wśród najważniejszych członków zespołu. Tymczasem dla cyberprzestępców pandemia stała się doskonałą okazją do przeprowadzania ataków, ponieważ znaczna liczba pracowników przeniosła się do pracy z domu. W niedawnym badaniu przeprowadzonym przez Fortinet okazało się, że 68% badanych firm miało problemy z rekrutacją, zatrudnianiem i utrzymaniem wykwalifikowanych pracowników zajmujących się cyberbezpieczeństwem. Dla tak ważnej dziedziny jest to alarmująca statystyka. W dodatku 73% respondentów doświadczyło w ciągu ostatniego roku co najmniej jednego przypadku naruszenia bezpieczeństwa, którego można byłoby uniknąć, gdyby pracownicy mieli większą świadomość zasad cyberhigieny.
– Brak odpowiednio wykwalifikowanego personelu ma daleko idące konsekwencje dla bezpieczeństwa środowiska IT i danych, a także dla środowisk technik operacyjnych (OT). Jednocześnie stale rośnie liczba i poziom zaawansowania cyberataków na firmy, które – w razie powodzenia – mogą być wyniszczające i powodować przestoje w pracy kosztujące setki tysięcy złotych – mówi Jolanta Malak, dyrektor Fortinet w Polsce.
Jak znaleźć najlepszego kandydata?
Jednym z największych problemów podczas rekrutacji specjalisty ds. bezpieczeństwa są oczekiwania zarządów firm co do kompetencji i doświadczenia kandydata. Z reguły znacznie przekraczają one to, co można osiągnąć w ciągu 5, 7 a nawet 10 lat kariery zawodowej. Co więcej, zawężanie możliwości zatrudnienia do tylko tych, którzy spełnialiby określone wymagania dotyczące doświadczenia i stażu pracy, często wyklucza najzdolniejszych i utalentowanych absolwentów. Tymczasem to oni zazwyczaj są chętni do nauki i ciekawi możliwości, jakie daje praca w obszarze cyberbezpieczeństwa.
Polityka zatrudnienia powinna więc skupiać się na rzeczywistych umiejętnościach i wrodzonych atutach kandydatów, a nie tylko na „x-letniemu” doświadczeniu. Rozmowy kwalifikacyjne mogą dotyczyć takich kwestii jak umiejętności komunikacyjne i przywódcze, zdolności analityczne i matematyczne, rozumienie abstrakcyjnych pomysłów czy zakres niezależności i autonomii. Powie to znacznie więcej na temat kandydata, niż jego „suche” CV.
Następnie zarządy przedsiębiorstw powinny wdrożyć programy szkoleń okresowych, w ramach których nowi pracownicy mogą zdobyć umiejętności potrzebne do monitorowania sieci, wykrywania zagrożeń i niwelowania ich skutków. Podobnymi szkoleniami warto objąć także dotychczasowych pracowników. Może się okazać, że któryś z nich wniesie nową perspektywę do spraw związanych z bezpieczeństwem IT.