3 стъпки за по-умно наемане на специалисти по киберсигурност

Това е идея, изложена в доклад от Международния консорциум за сертифициране на сигурността на информационните системи, организация с идеална цел, или (ISC)2. Проучването на специалистите по киберсигурност за 2021 г. разкрива стъпките за набиране на персонал за балансирани и диверсифицирани екипи, основани на идеи на повече от 200 специалисти, които работят в тази област или търсят кариерно развитие в нея в САЩ и Канада.

"Реалността, пред която са изправени организациите днес, е, че просто няма достатъчно квалифицирани професионалисти по киберсигурност, които да дефинират адекватно критичните им активи", пише в доклада от проучването. "Следователно повече организации трябва да променят мисленето си, когато става дума за наемане за позиции в сферата на киберсигурността." Във връзка с това докладът излага план от 10 точки за по-умно изграждане на екипи по киберсигурност, очертавайки ключовите фактори, които фирмите трябва да имат предвид.

Същевременно икономическото министерство на Северна Ирландия обяви нов проект в партньорство с компанията за обучения Immersive Labs, като предоставя свободен достъп до платформа за развитие на киберуменията от корпоративен клас за млади хора на възраст от 16 до 25 години, които иначе не биха могли да си позволят специално обучение или образование. Целта е да се инжектират необходимите умения в групи, които преди това не са били достатъчно представени, така че те да бъдат подготвени за възможности за работа в областта на киберсигурността и да помогнат на организациите в Северна Ирландия да наемат кадри по-ефективно.

"Програми за развитие като тези позволяват на младите хора с различен произход и биография възможността да се изкачват по кариерната стълба в киберсигурността, което в крайна сметка ще подпомогне наемането, ще затвори хроничната пропаст на уменията и ще направи по-светло бъдещето на киберсигурността", казва Джеймс Хадли, главен изпълнителен директор и основател на Immersive Labs.

Очевидно се предприемат действия във и извън световната индустрия на киберсигурността в посока решаване на проблема с уменията чрез прилагане на по-умни подходи за наемане и изграждане на екипи. Какво обаче наистина означава по-умната стратегия за наемане и задържане на членовете на екипите и какво въздействие може действително да има това върху компаниите и по-широкия сектор?

1. Елиминирайте изискванията за научни степени и квалификации в областта на киберсигурността

Кунджал Танна, директор на компанията за наемане на персонал по киберсигурност LT Harper, препоръчва в процеса на наемане и изграждане на екипи да се елиминират изискванията за научни степени и квалификации по киберсигурност и дори предишен опит. Това е нещо, което задържа сектора твърде дълго, смята тя.

"По времето, когато някой се включи в екипа, това, което е учил по време на следването си, е остаряло, така че все пак трябва да инвестирате време и усилия да им помогнете да влязат в крак с това, което е актуално сега, казва Танна. Освен това изискването за притежаване на научна степен или квалификация може да изключи хора, които са повече от способни и квалифицирани да изпълняват задълженията, изисквани за вашата позиция, но не са избрали път на следващо обучение вероятно поради свързаните с това разходи или защото са невродивергентни и не се представят достатъчно добре в традиционната училищна система, за да бъдат приети в университет."

В тази връзка Танна също така предупреждава за свръхфокусиране върху умения, свързани само с киберсигурността в процеса на подбор, като отбелязва, че има голямо търсене за повечето умения, особено при сигурността в облака и инженеринга на сигурност. "Обикновено кандидати с такива умения могат да бъдат интервюирани от три или четири компании и често един и същ кандидат ще си осигури предложения от всички. В най-добрия случай това ви дава шанс едно към три да бъдете работодателят, когото те избират", казва тя.

В най-добрия за вас сценарий вероятно ще успеете да наемете кандидата, който е вашият втори избор. В най-лошия случай ще изпуснете всички кандидати и ще сте прекарали седмици в интервюиране само за да започнете процеса отново, казва Танна. "Това може да бъде скъпо не само по отношение на времето, прекарано в интервюта, но и може да бъде невероятно изнервящо."

"Наемането трябва да бъде основано преди всичко на способности и правилно мислене, допълва Хадли. Мениджърите по наемане трябва да оценяват кандидатите по това как подхождат към сложни проблеми и техните методологии за учене и развитие на уменията им, а не най-лъскавите автобиографии. В ядрото си това е подход, който хакерите отдавна са предприели, и ние трябва да възприемем същата нагласа, ако се надяваме да защитим нашите организации от тях."

Клар Росо, CEO на (ISC)2, се съгласява: "Много организации поставят твърде силно ударение да имат една или две "световни звезди" по киберсигурност, вместо да разпределят отговорността върху по-голям екип. Този "звезден" подход е не само неустойчив в момент, когато трябва да развием база от таланти, но и увеличава риска, тъй като твърде много политики и процеси зависят от малко вместо от много. Ако продължим да се фокусираме само върху наемане на тесен кръг от професионалисти с висока квалификация и богат опит, това ще изостри недостига на умения, вместо да го разреши."

Ако решите, че научна степен или квалификация е предварително условие за новонает, гледайте сред онези, които не са от техническо естество, предлага Танна. "Например може да търсите някого с добри умения в разпознаване на схеми за някои киберпозиции. Това е основно каквото се учи в съвременните курсове по езикова граматика и тези умения са абсолютно възможни за прехвърляне, така че си струва да погледнете в различни места от конкурентите си."

Не се страхувайте да наемате хора, които сменят кариерата си, съветва Танна. "Едно от най-големите предизвикателства, пред които се изправят работодателите, когато наемат кандидати от ниско ниво (във и извън киберобластта), е, че новите служители нямат комерсиален нюх. Хората, които сменят кариерата си, са работили във фирма преди това и вероятно ще имат по-добро разбиране на това къде се намира ролята на киберекипа в по-голямата картина и важността на добрата киберхигиена в дадена организация, а също така могат да бъдат също толкова надеждни за клиентите, колкото експертите с диплома по киберсигурност."

2. Приемете дългосрочна концепция за обучение и развитие на екипа по сигурност

По-интелигентното наемане и създаване на екип е свързано с приемане на дългосрочна концепция, казва Росо. "Всяка стратегия за наемане трябва да бъде фокусирана върху начина, по-който могат да се развият с времето, а не върху незабавното изграждане на способности и техния принос, което е често срещана практика при повечето подходи за наемане."

Танна е съгласна с аргумента, че това е особено важно, когато наемащите гледат отвъд свързаните с киберсигурността квалификации и опит. "Ръководителите, които възприемат този подход, трябва да инвестират време и пари в обучението и развитието на хората, които довеждат в екипа, казва тя. Би било нереалистично да се наеме някой, който се нуждае от развитие на уменията, и да се очаква от него да даде същите резултати като някой, който е работил този вид работа преди."

В замяна на това е по-малко вероятно организациите да загубят наетите от тях хора при конкурентите, когато те се появят с обещанието за повече пари. На практика служителят ще се е възползвал от инвестицията за развиване на уменията си и ще изпитва чувство на лоялност към наелия го мениджър, който му е дал възможността да се усъвършенства и така да го накара да се почувства оценен, казва Танна. "Професионалното развитие се нарежда сред най-важните причини хората да останат в дадена компания, така че наемането на някого, който има по-дълъг кариерен път пред себе си, би могло наистина да се отплати в смисъл на запазване на уменията в екипа ви."

Освен това, допълва Хадли, уменията, необходими за професионалистите по сигурност, се променят и затова обучението трябва да се актуализира периодично, за да остане адекватно на съвременната картина на заплахите, която се разраства с почти толкова бързо темпо, колкото и в мащаб. "По тази причина уменията трябва да се поддържат актуални, така че да не бъдат изпреварени от хакерите и флуидното естество на риска. Това означава постоянна итерация на способностите на хората, което им позволява да останат адекватни на развитието на хакерите."

Последен важен елемент на дългосрочния подход към изграждането на екип по киберсигурност е да се признае възможността да се включи талант, който вече е в по-широкия бизнес, казва Росо. "Отново това се свежда до търсенето на правилната дарба и умения, които могат да се прехвърлят от една област в друга, вместо само фокусиране върху вече съществуващи практика и квалификации.

3. Създайте приобщаващи, разнообразни екипи по киберсигурност

Основна цел на по-интелигентното наемане на специалисти по киберсигурност е да създадете култура на разнообразие в екипите по сигурност. Разнообразие от мисли, мнения и опит може да се окаже безценно при справянето със сложната, вариативна природа на модерните киберзаплахи.

"Не е тайна, че разнообразните екипи се представят по-добре от хомогенните, каза Танна. Ако имате екип, пълен с хора, които мислят едно и също, има голям шанс да пропуснете да разберете как мисли хакерът. И обратно, ако имате екип, пълен с хора с разнообразен житейски и професионален опит, имате шанс да сте с една крачка преди дори най-изтънчените атаки поради разнообразието на начините, по които екипът ви ще достигне до разбирането на поведението на даден хакер, така че да може да предотврати атаките му."

Но култивирането на разнообразие изисква повече от това само да се направят по-достъпни и привлекателни изборът и развитието в сферата на сигурността. Освен това трябва да съществува ясна философия за приобщаване. "Всичко това да се наемат хора с различни биографии е много добре, но ще трябва да разполагате с инфраструктура, която да позволи на тези служители да се разгърнат, казва Танна. "Хората се представят по най-добрия начин, когато имат свободата да извършат висококачествена работа в среда, където те са оценявани единствено на базата на техния принос, а не според тяхното образование и квалификация. Като ръководители работете за създаването на среда, където сътрудничеството се насърчава и идеите се разглеждат, където качествената работа печели признание, а хората и екипите получават похвали публично и често."

Недостигът на умения по киберсигурност е голям, но той просто няма да се компенсира от само себе си. Както твърди Хадли: "Традиционният подход към наемане и екипиране на хората с уменията по киберсигурност, от които се нуждаят, е грешен." Следователно е повече от крайно време компаниите да се откажат от традиционните изисквания за киберквалификации или многогодишен опит в сектора в полза на по-напредничаво мислене и в крайна сметка ефикасни методи за наемане и екипно развитие. Това не само ще помогне да се реши проблемът с работната сила, но и ще послужи да направи самия сектор на киберсигурността по-достъпен и привлекателен за новите служители с разнообразни умения и качества. Не на последно място по този начин организациите ще станат по-сигурни чрез многообразието от качества за решаване на проблеми.

Превод и редакция Мариана Апостолова

Материалът е публикуван в бр. 5 на сп. CIO България, който може да откриете тук.