پرونده: معضل نیروی کار و پست‌های خالی در امنیت سایبری (+ عکس و فیلم)

پرونده: معضل نیروی کار و پست‌های خالی در امنیت سایبری (+ عکس و فیلم)
تاریخ انتشار : ۱۷ تير ۱۴۰۰

با وجود گزارش‌های بسیار راجع به مسئله کمبود نیروی کار در امنیت سایبری توسط منابع مختلف، این موضوع هنوز برطرف نشده است.

به گزارش گرداب، نتایج نظرسنجی جهانی سالانه امنیت سایبری آیساکا (ISACA®) را در سه ماهه چهارم سال ۲۰۲۰ گزارش می‌دهد که این گزارش در بخش ۱ بر روند‌های فعلی توسعه نیروی کار، نحوه انتخاب کارکنان و بودجه‌های امنیت سایبری تمرکز دارد. یافته‌های این تحقیق، گزارش‌های گذشته را تقویت می‌کند و در موارد خاصی با وجود این که شرکت‌ها با یک بیماری همه‌گیر جهانی و مشکلات منابع و مسائل مالی مرتبط با آن درگیر هستند، داده‌هایی مشابه سال قبل را نشان می‌دهد. سطح کارکنان، سهولت استخدام و نگهداری، همچنان موارد مشکل‌ساز در سراسر جهان هستند و بودجه‌های امنیت سایبری روند نزولی خود را ادامه می‌دهند.

با وجود گزارش‌های بسیار راجع به مسئله کمبود نیروی کار در امنیت سایبری توسط منابع مختلف، این موضوع هنوز برطرف نشده است. این گزارش دارای تفسیر‌های تخصصی مقامات دولتی، نمایندگان صنعت و طرفداران کارآموزی برای کمک به شرکت‌هاست که برای درک مشکل و ارائه راه‌حل‌های ممکن آورده شده است.

خلاصه اجرایی
آیساکا (ISACA) یا انجمن حسابرسی و کنترل سامانه‌های اطلاعاتی، یکی از تأثیرگذارترین تشکل‌های حرفه‌ای و معیارگذار در زمینه حسابرسی و کنترل سامانه‌های اطلاعاتی و راهبری فناوری اطلاعات در آمریکا و جهان است. پرسشنامه جهانی امنیت سایبری آیساکا (ISACA) اکنون در هفتمین سال خود همچنان به شناسایی چالش‌ها و روند‌های موجود در حوزه امنیت سایبری ادامه می‌دهد.

وضعیت امنیت سایبری ۲۰۲۱، بخش ۱ نتایج نظرسنجی فعلی در مورد توسعه و تأمین منابع نیروی انسانی امنیت سایبری را تجزیه و تحلیل می‌کند. در بخش ۲ این گزارش، آیساکا نتایج نظرسنجی مربوط به عملیات‌های مرتبط با فناوری اطلاعات، آسیب‌های سایبری و بلوغ سایبری را بررسی می‌کند.

اهداف و عملکرد آیساکا
 
یافته‌های این نظرسنجی تا حد زیادی با یافته‌های سال‌های گذشته سازگار است: شرکت‌ها همچنان فاقد سطح مطلوب کارکنان برای مقابله با تهدیدات سایبری هستند. اگرچه تأثیر کووید-۱۹ بر روی بسیاری از مشاغل و شرکت‌ها منفی بوده است، اما داده‌های پاسخ‌دهندگان نشان می‌دهد که این بیماری همه‌گیر جهانی به حفظ موقعیت آن‌ها کمک کرده است.

بااین‌حال، استخدام افراد مستعد همچنان چالش‌برانگیز است. هم‌چنین، خوش‌بینی پیرامون بودجه‌های امنیت سایبری علی‌رغم گزارش‌های تعداد قابل توجهی از پاسخ‌دهندگان مبنی بر افزایش هزینه‌های امنیتی خاص در زمان همه‌گیری، همچنان رو به کاهش است.

ایساکا و بسیاری دیگر، کمبود نیروی کار در فضای مجازی را گزارش کرده‌اند که این وضعیت طی ۵ سال بهبود چشم‌گیری نداشته است. این گزارش دارای تفسیر‌های تخصصی برای شرکت‌های حوزه صنعت، ارگان‌های دولتی و کارآموزان است که به نهاد‌ها کمک خواهد کرد که دلیل کمبود نیروی کار در این حوزه را متوجه شوند. هنوز کار‌های زیادی برای بهبود وضعیت نیروی کار باید انجام شود، اما خبر خوب این است که بسیاری از سازمان‌ها در حال حل این مشکل هستند.

نبود عدالت و تنوع، موضوعاتی جهانی هستند که همه زمینه‌های مرتبط با فناوری را تحت تأثیر قرار می‌دهند. در سال ۲۰۲۰، آیساکا بنیاد One In Tech را راه‌اندازی کرد که به دنبال ساخت یک دنیای دیجیتال سالم، امن و قابل دسترس برای همگان است. برای کمک به ابتکارات مبتنی بر شواهد استراتژیک One In Tech، آیساکا تمام داده‌های مربوط به تنوع موضوعات را به این بنیاد منتقل کرد؛ بنابراین برخلاف گزارش‌های منتشرشده در سال‌های گذشته، وضعیت امنیت سایبری ۲۰۲۱ به مشکلات مربوط به تنوع نخواهد پرداخت.

متدولوژی پرسشنامه
در سه ماهه آخر سال ۲۰۲۰، آیساکا دعوت‌نامه‌های نظرسنجی آنلاین را به جمعیتی متشکل از متخصصان امنیت سایبری ارسال کرد که دارای گواهینامه مدیریت امنیت اطلاعات آیساکا (CISM) بوده و یا عناوین شغلی مربوط به امنیت اطلاعات را برعهده دارند. داده‌های نظرسنجی به‌صورت ناشناس از طریق وب‌سایت سوروی‌جانکی جمع‌آوری شد. در مجموع ۳۶۵۹ پاسخ‌دهنده، نظرسنجی را به‌طور کامل انجام دادند و پاسخ‌های آن‌ها در نتایج گنجانده شده است.

این پرسشنامه که از قالب‌های چهارگزینه‌ای و مقیاس لیکرت در آن استفاده شده بود، شامل پنج بخش عمده بود:
• استخدام و مهارت‌ها
• عملیات‌های امنیتی
• بودجه‌های امنیت سایبری
• تهدیدات و حملات سایبری
• حاکمیت سازمانی و مدیریت ریسک
جامعه هدف پرسشنامه شامل افرادی است که مسئولیت شغلی مربوط به امنیت سایبری دارند. از بین ۳۶۵۹ شرکت‌کننده، ۱۷۲۱ اشاره دارند که امنیت سایبری، حوزه اصلی مسئولیت حرفه‌ای آنهاست.

شکل ۱، اطلاعات جمعیت‌شناسی مربوط به پاسخ‌دهندگان را نشان می‌دهد که از بیش از ۱۲۰ کشور جهان در این تحقیق شرکت کرده‌اند. شکل ۲، دامنه ورودی‌های پرسشنامه را دقیق‌تر به تصویر کشیده و نشان می‌دهد که پاسخ‌دهندگان، نمایندگان بیش از ۱۷ صنعت مختلف هستند.

امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                        نمودار جمعیت‌شناسی پاسخ‌دهندگان



امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                              صنایع نشان داده‌شده

شک و تردید‌ها در زمان یک همه‌گیری جهانی
در بسیاری از شرکت‌ها در سال ۲۰۲۰، بیماری همه‌گیر کووید-۱۹ مدیران را مجبور کرد تا نحوه تفکر و بازخورد خود را تغییر دهند. روسای تجاری که زمانی اهمیت کار از راه دور را نادیده می‌گرفتند، دریافتند که باید یا ذهنیت خود را تغییر دهند یا خطر خسارت مالی را بپذیرند. اگرچه هر صنعت یا شغلی برای دورکاری مناسب نیست، اما بیماری همه‌گیر ثابت کرد که کار‌های زیادی را می‌توان در خارج از دفتر انجام داد که این کار اغلب ضربه چندانی نیز بر تجارت وارد نمی‌کند.

برخی از شرکت‌ها به این موضوع پی برده‌اند که دورکاریِ کارمندان در طی همه‌گیری، باعث افزایش بهره‌وری آن‌ها شده است که ممکن است برای همیشه ذهنیت عقب‌افتاده موجود را که شامل تخصیص بودجه‌های گزاف برای رفت‌وآمد‌ها و هزینه‌های مالی دیگر می‌شد، تغییر دهد.

قانون بقای تجارت به نفع افرادی است که از قبل آماده باشند و گزارش‌های حوزه صنعت حاکی از آن است که حرفه امنیت سایبری، هرچند که با کمبود نیروی انسانی و فرصت شغلی زیادی مواجه است، موفقیت خود را نشان داده و به کارکنان شرکت‌های مختلف دنیا این امکان را می‌دهد که به‌سرعت به یک نیروی دورکار تبدیل شوند.

از آنجا که سال ۲۰۲۰ دچار وضعیت نامعمولی بود، از خوانندگان انتظار می‌رود نسبت به تفسیر هرگونه تغییر قابل توجه در تخمین نیروی کار در این دوره خودداری کنند. موقعیت و دستورات دولتی بر این که چه کاری مجاز بوده و چگونه این کار انجام می‌شود، بسیار تأثیرگذار است.

پاسخ دولت‌ها به این بیماری همه‌گیر متناسب با کشور، منطقه و شرایط جغرافیایی متفاوت است. به‌عنوان مثال، بسیاری از مشاغل در آمریکای شمالی به‌ویژه شرکت‌های کوچک و متوسط، غیرضروری قلمداد شدند و قادر به انجام کامل کار‌های تجاری خود نیستند. به همین ترتیب، برنامه‌های اجراشده به واکنش در برابر این بیماری همه‌گیر باعث تعطیل شدن برخی صنایع مانند صنایع خدمات و گردشگری شد. شرکت‌هایی که مجاز به فعالیت بودند نیز ممکن است مجبور به توقف استخدام نیرو‌های جدید و به حداقل رساندن ضرر‌های مالی بوده باشند. گزارش‌های مربوط به کاهش کار و کاهش حقوق در صنعت امنیت سایبری نشان می‌دهد که این تجارت نیز از تعدیلات عملیاتی کسب‌وکار در امان نبوده است.

تقاضا برای نیروی کار در امنیت سایبری سال‌ها به‌طور پیوسته افزایش یافته است که برای علاقه‌مندان به این حوزه و افرادی که مایل به تغییر شغل هستند، امیدوارکننده است. متأسفانه، اولویت‌های نیروی کار اغلب جایگاه شغلی بسیار کمی برای افراد بدون تجربه فراهم می‌کند.


یافته‌های نظرسنجی امسال در مورد مسائل مربوط به کارکنان تقریباً مشابه نتایج سال گذشته است؛ به جز افزایش اندک سه درصدی در شرکت‌هایی که میزان مناسبی از کارکنان را گزارش کرده‌اند (شکل ۳). با توجه به عدم اطمینان گسترده در طول بیماری همه‌گیر کووید-۱۹، خوانندگان باید فعلاً خوش‌بینی خود را کنار بگذارند. بااین‌حال، موضوع امیدوارکننده این است که تعداد پاسخ‌های نظرسنجی امسال ۴۴ درصد نسبت به سال گذشته افزایش یافته و از تمام مشارکت‌های قبلی بیشتر بوده است.

اگرچه صنعت امنیت سایبری همچنان تجارت نسبتاً نابسامانی است، اما به نظر می‌رسد این همه‌گیری جهانی بر تلاش‌های انجام‌شده برای حفظ کارکنان امنیت سایبری تأثیر مثبت گذاشته است. همان‌طور که بررسی سال گذشته نشان داد، سطح کارکنان، میزان نگهداری کارکنان و حملات سایبری تا حدودی با هم مرتبط هستند.

نه تنها ۶۸ درصد از پاسخ‌دهندگانی که سازمان‌های آن‌ها حملات سایبری بیشتری را در سال گذشته تجربه کرده‌اند تا حدودی با کمبود نیرو مواجه هستند، بلکه ۶۳ درصد از پاسخ‌دهندگانی که سازمان‌هایشان حملات بیشتری را تجربه کرده‌اند، نشان می‌دهند که برای حفظ متخصصان واجد شرایط امنیت سایبری با مشکل روبرو شده‌اند.

علاوه بر این، ۶۵ درصد از پاسخ‌دهندگانی که تیم‌های امنیت سایبری آن‌ها به‌طور قابل توجهی با کمبود نیرو مواجه‌اند، می‌گویند که در حفظ متخصصان واجد شرایط امنیت سایبری با مشکلات روبرو شده‌اند؛ که دلیل آن احتمالاً وجود فرصت‌های شغلی بسیار بوده است.


پست‌های خالی
۵۵ درصد از پاسخ‌دهندگان نظرسنجی اشاره داشتند که دارای موقعیت‌های امنیتی سایبری تکمیل‌نشده هستند (شکل ۴) که بسیار شبیه به داده‌های سال گذشته است (۵۷ درصد). نتایج این نظرسنجی نشان‌دهنده کاهش دورقمی درصد پاسخ‌دهندگانی است که تشکیلات آن‌ها بیش از ۶ ماه طول می‌کشد تا موقعیت‌های خالی را پر کنند. این موضوع حاکی از بهبود قابل توجهی در مدت‌زمان مورد نیاز برای پر کردن موقعیت شغلی امنیت سایبری است (شکل ۵).

امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                                   کارکنان امنیت سایبری

امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                              جایگاه‌های پرنشده

موقعیت‌های امنیت سایبری فنی مجدداً مهم‌ترین پست‌های خالی گزارش‌شده در سال جاری بوده‌اند (شکل ۶). بااین‌حال، درصد شرکت‌های پاسخ‌گو با موقعیت‌های تکمیل‌نشده در امسال، برای هر پست، بین دو تا پنج درصد افزایش یافته است.
اخبار مثبت این است که مدیران و مسئولانی که در حال جست‌وجو برای فرصت‌های جدید هستند، به پست‌های تکمیل‌نشده بیشتری برخورده‌اند. شکل ۷ داده‌های گزارش سال‌به‌سال موقعیت‌های پر نشده را نشان می‌دهد.

هنگامی که از تقاضای نیروی کار در آینده سؤال شد (شکل ۸)، پاسخ‌دهندگان هیچ تغییر معنی‌داری نسبت به نتایج نظرسنجی سال گذشته در پنج گروه پست‌های موجود نشان ندادند. شکل ۹ روند چهارساله تقاضای آینده را نشان می‌دهد که به نظر می‌رسد در حال هم‌تراز شدن است.

بااین‌حال، برای بررسی تأثیر نهایی کووید-۱۹ و ابتکارات حوزه توسعه نیروی کار بر کارمندان بخش امنیت سایبری باید منتظر داده‌های جدید به‌دست‌آمده پس از این بیماری همه‌گیر باشیم.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                         زمان موردنیاز برای پر کردن یک پست در امنیت سایبری

امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                               درصد پست‌های پرنشده در سطوح مختلف سازمانی


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                          گزارش‌های مربوط به موقعیت‌های پرنشده در ۲۰۱۸-۲۰۲۱
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                            تقاضای استخدام در آینده


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                     روند تقاضای استخدام (۲۰۱۸-۲۰۲۱)

چالش‌های استخدام
داده‌های نظرسنجی بیشتر به گزارش قبلی که مربوط به اعتماد کم مدیران به استخدام متقاضیان امنیت سایبری است، می‌پردازد. شکل ۱۰ نشان می‌دهد که ۵۰ درصد از افراد مورد بررسی عموماً معتقدند که متقاضیان آن‌ها از صلاحیت بالایی برخوردار نیستند و ۱۶ درصد دیگر نیز یا قادر به تصمیم‌گیری نیستند و یا این کار اذیتشان می‌کند.

مانند سال گذشته، این داده‌ها به معنی تأخیر در پر کردن موقعیت‌های شغلی است. ۷۲ درصد از کسانی که گزارش داده بودند که کم‌تر از ۲۵ درصد از متقاضیان خود، واجد شرایط هستند، موقعیت‌های پر نشده به مدت بیش از سه ماه دارند.

تجربه عملی در حوزه امنیت سایبری همچنان عامل اصلی تعیین صلاحیت یک کاندیدا است (شکل ۱۱). همان‌طور که سال گذشته گزارش شده است، با چهار درصد افزایش نسبت به سال قبل، بیشترین فاصله مهارتی در بین متخصصان امنیت سایبری، مربوط به مهارت‌های نرم از جمله ارتباطات، انعطاف‌پذیری و رهبری است (شکل ۱۲). احتمال این که افزایش دورکاری موجب ایجاد این تغییرات شده باشد را نیز باید در نظر گرفت.

دومین فاصله بزرگ مهارتی، مربوط به اجرای کنترل‌های امنیتی بود که با ۲۰ درصد فاصله با مهارت‌های نرم، در رتبه دوم قرار دارد. سایر شکاف‌های قابل توجه شامل موضوعات مرتبط با توسعه نرم‌افزار (زبان‌ها، کدنویسی، آزمایش و استقرار)، موضوعات مربوط به داده‌ها (ویژگی‌ها، طبقه‌بندی، جمع‌آوری، پردازش و ساختار)، مهارت‌های کدگذاری و موضوعات مرتبط با شبکه (مؤلفه‌های معماری، آدرس‌دهی و شبکه) هستند.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                            درصد متقاضیان واجد شرایط برای امنیت سایبری


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                          صلاحیت‌های کاندیدا


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                           شکاف کمی مهارت‌ها

اقدامات کارفرمایان
اقداماتی که شرکت‌ها برای رفع شکاف‌های مهارتی موجود انجام می‌دهند، تقریباً مشابه گزارش‌های سال گذشته است


آموزش متقابل کارکنان سازمانی و افزایش استفاده از پیمانکاران و مشاوران هنوز نیز مثال‌های اصلی این نوع اقدامات هستند.

میزان آموزش نسبت به سال گذشته ۳ درصد افزایش داشته است، در حالی که تعداد پیمانکاران و مشاوران ۳ درصد کاهش یافته است. هوش مصنوعی به ۲۲ درصد افزایش یافته (از ۲۰ درصد) و اعتماد به اعتبار، ۲ درصد نسبت به سال گذشته کاهش پیدا کرده است.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                          راه‌های مقابله با کمبود‌ها
تحصیلات در مقابل تمرین
تحصیلات دانشگاهی هم‌چنین یکی از راه‌های معمول، البته ناکافی برای تأمین استعداد‌های جدید برای شرکت‌هاست. پاسخ‌دهندگان هم‌چنین در مورد این که آیا یک مدرک دانشگاهی، فارغ‌التحصیلان را برای چالش‌های امنیت سایبری پیش روی شرکت‌ها آماده می‌کند یا خیر، اختلاف‌نظر دارند .

با وجود این اختلافات، ۵۸ درصد از پاسخ‌دهندگان گزارش می‌دهند که سازمان‌های آن‌ها به مدرک تحصیلی نیاز دارند؛ اگرچه این شرایط به لحاظ منطقه جغرافیایی بسیار متفاوت است. شکل ۱۶، مقدار درصد منطقه‌ای شرکت‌هایی را نشان می‌دهد که برای موقعیت‌های امنیتی سایبری سطح ابتدایی، بر اساس داده‌های گزارش ۲۰۲۰ و ۲۰۲۱، نیاز به مدرک دانشگاهی دارند و نحوه روند هرکدام مشخص است.

وقتی از پاسخ‌دهندگان در مورد فاصله مهارتی فارغ‌التحصیلان دانشگاهی سؤال شد، آن‌ها دوباره به مهارت‌های نرم اشاره کردند. با توجه به تعداد زیادی از سازمان‌هایی که برای موقعیت‌های ابتدایی نیاز به مدرک دانشگاهی دارند، کمبود در حوزه مهارت‌های نرم نگران‌کننده است و باید برطرف شود. مهارت‌های فنی که به نظر پاسخ‌دهندگان، فارغ‌التحصیلان جدید فاقد آن هستند (شکل ۱۷) حاکی از ناکافی بودن برنامه‌های دانشگاه در مورد شبکه‌سازی و مقاوم‌سازی است.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار
                            اعتماد به مدرک تحصیلی امنیت سایبری


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                                     ملزومات دانشگاهی


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار         ۲۰۲۰-۲۰۲۱ درصد نیاز به مدرک برای موقعیت سطح ابتدایی بر اساس منطقه



امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                   شکاف مهارتی بین فارغ‌التحصیلان اخیر 


مسئله استخدام برای بسیاری از شرکت‌ها همچنان یک چالش است. داده‌های نظرسنجی شکل ۱۸ نشان‌دهنده عدم ارتباط مدیران بخش استخدام با افرادی است که مسئول معرفی افراد مستعد هستند و فقط ۳۱ درصد از آن‌ها احساس می‌کنند که بخش منابع انسانی‌شان (HR) کاملاً نیاز‌های استخدامی آن‌ها را درک می‌کند. پر کردن این فاصله به کوتاه شدن زمان پر کردن موقعیت‌های آزاد بستگی دارد. از میان پاسخ‌دهندگانی که گزارش می‌کنند، منابع انسانی همیشه یا به‌طورمعمول نیاز‌های استخدام در امنیت سایبری خود را درک می‌کنند، ۳۰ درصدشان در کم‌تر از دو ماه نیرو استخدام می‌کنند که با داده‌های نظرسنجی سال گذشته مطابقت دارد.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                   درک نیاز‌های منابع انسانی
حفظ روند مثبت
اگرچه کووید-۱۹ طیف گسترده‌ای از چالش‌ها را به وجود می‌آورد، اما داده‌های نظرسنجی نشان می‌دهد که این بیماری در سال ۲۰۲۰ مشکلات حفظ نیرو را کاهش داده است. فقط ۵۳ درصد از پاسخ‌دهندگان نظرسنجی به نظر در حفظ استعداد‌ها مشکل دارند که این میزان نسبت به سال قبل حدود ۴ درصد کاهش داشته است.

عواملی که پاسخ‌دهندگان به دلایل ترک موقعیت‌های فعلی توسط متخصصان امنیت سایبری نسبت می‌دهند (شکل ۱۹)، با چند مورد استثنا تا حد زیادی شبیه به موارد یک سال پیش است.

عامل انگیزه‌های مالی (به‌عنوان مثال، حقوق یا پاداش) از ۵۰ درصد در سال گذشته به ۴۵ درصد در سال جاری کاهش می‌یابد که نشان می‌دهد پاسخ‌دهندگان از عدم شرایط قاطع مالی کارفرمایان کاملاً آگاه هستند. به دلیل مجوز‌های دولتی که بر کارفرمایان تأثیر می‌گذارد، امکان دورکاری در طول این بیماری همه‌گیر افزایش یافته است.

درصد پاسخ‌دهندگانی که فکر می‌کنند محدودیت امکانات دورکاری عاملی برای ترک موقعیت‌های امنیتی سایبری توسط کارمندان است، با ۶ درصد کاهش نسبت به سال قبل به ۴۵ درصد می‌رسد. دو عامل نسبت به نتایج نظرسنجی سال گذشته سه درصد افزایش یافتند؛ ترک شغل و بازنشستگی. در نهایت زمان، تأثیر این بیماری همه‌گیر را در این تغییرات ذکرشده نشان می‌دهد.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار
                              دلایل ترک شغل متخصصان امنیت سایبری

آیا بودجه حوزه امنیت سایبری به اوج خود رسیده است؟
طبق نتایج نظرسنجی سال گذشته، انتظار می‌رفت پیش‌بینی بودجه امنیت سایبری با موفقیت بیشتری روبرو شود. بااین‌حال، وقتی از پاسخ‌دهندگان در مورد سطح بودجه فعلی سؤال شد، آن‌ها هیچ بهبودی در بودجه اختصاص داده‌شده به امنیت سایبری نمی‌بینند. بااین‌حال، این بدان معنا نیست که به‌طور سالانه سود خالصی حاصل نشده است، زیرا داده‌ها، کاهشی مداوم در گروه کمبود بودجه قابل توجه (شکل ۲۰) نشان می‌دهد. به نظر می‌رسد پاسخ‌دهندگان به نظرسنجی از چشم‌انداز بودجه سال آینده دلسرد شده‌اند، زیرا ۲۰ درصد از آن‌ها انتظار کاهش بودجه را دارند. با تأثیر بالقوه کووید-۱۹ بر پاسخ‌ها، نظرسنجی امسال شامل یک سؤال اضافی در مورد هزینه‌های این بیماری همه‌گیر نیز بود.

یک سوم از پاسخ‌دهندگان اظهار داشتند که سازمان‌های آن‌ها برای برنامه‌های امنیتی جدید، پول برنامه‌ریزی نشده‌ای خرج کرده‌اند. بااین‌حال، داده‌های چندساله (شکل ۲۳) نشان می‌دهد که سطح خوش‌بینی برای افزایش بودجه در پایین‌ترین سطح سه ساله قرار داشته و بعد از داده‌های سال ۲۰۱۷ قرار گرفته است. سال گذشته، آیساکا احتمال هم‌سطح کردن بودجه را گزارش داد که با داده‌های سال جاری و با نبود هرگونه هزینه قابل توجه امنیتی در طی کووید-۱۹ هم‌خوانی دارد.
امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                  درک بودجه‌بندی امنیت سایبری


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                  چشم‌انداز بودجه امنیت سازمان



امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                                  هزینه فن‌آوری‌های مخصوص پاندمی


امنیت سایبری در سال ۲۰۲۱:به‌روزرسانی جهانی اقدامات، منابع و بودجه نیروی کار                              افزایش پیش‌بینی‌شده بودجه امنیتی (۵ ساله)
وضع فعلی

چندین سال است که آیساکا و دیگر نهاد‌ها در مورد عدم تعادل بین عرضه و تقاضا برای استعداد‌های موجود در حوزه امنیت سایبری گزارش داده‌اند. نظرسنجی‌های سالانه آیساکا نشان نمی‌دهد که تلاش‌های دولت‌ها، دانشگاه‌ها و صنعت برای اصلاح این عدم تعادل واقعاً پیشرفتی داشته باشد. چرا وقتی که سال‌ها کمبود استعداد در امنیت سایبری به‌عنوان یک مشکل بزرگ شناخته شده است، پیشرفت چندانی در این زمینه صورت نگرفته است؟ چرا جامعه با توجه به اهمیت آن در زندگی قرن بیست و یکم، با هدایت و بودجه بیشتری به حل این مشکل نمی‌پردازد؟ این بخش به این سؤالات پاسخ می‌دهد.

                                             مدرک آیساکا چه کاربردی دارد



پاسخ‌دهندگان هرساله تأیید می‌کنند که تجربه پیشین در زمینه امنیت سایبری نسبت به برنامه‌های دانشگاهی اهمیت بیشتری دارد (شکل ۱۱)، با این وجود، شرطِ داشتنِ مدرک دانشگاهی برای داوطلبان واجد شرایط همچنان رتبه بالایی دارد. در نهایت، برنامه‌های دانشگاهی و سایر اقدامات ابتکاری توسعه نیروی کار، بدون افزایش قابل توجه در تعداد موقعیت‌های سطح ابتدایی یا حداقل، توصیف درست موقعیت‌های حقوقی که شرکت‌ها برای تأمین بهترین نامزد‌ها به آن احتیاج دارند، فقط نکات مثبت بسیار محدودی ارائه می‌دهند.

رادنی پیترسون، مدیر بخش ابتکارات ملی آموزشی امنیت سایبری موسسه ملی استاندارد و فناوری وزارت بازرگانی ایالات متحده، با استفاده از تشبیهات بیس‌بالی، کارفرمایان را تشویق کرد تا برای داشتن چشم‌انداز بهتر، توسعه تیم تمرینی را جدی بگیرند که این نکته برای تربیت رهبران آینده امنیت سایبری بسیار مهم است. هیچ راه‌حل سریعی برای جبران این کمبود وجود ندارد و باید کل روند را در نظر گرفت؛ از یادگیری اولیه گرفته تا حفظ مهارت‌های حین کار.

ابتکار عمل ملی برای آموزش امنیت سایبری
دفتر برنامه ابتکار عمل ملی آموزش امنیت سایبری (NICE) به دولت، دانشگاه‌ها، صنایع آمریکا و هم‌چنین به افراد و شرکت‌های متمرکز بر رشد و پایداری نیروی کار امنیت سایبری آمریکا خدمت‌رسانی می‌کند.

NICE اخیراً برنامه استراتژیک و چارچوب نیروی کار برای امنیت سایبری خود را به‌روزرسانی کرده است. صلاحیت‌های پیش‌نویس چارچوب NICE در دست بررسی است. NICE همچنان از طریق ابتکارات بی‌شماری با تعلیم‌دهندگان K-۱۲ ایالات متحده، نیروی کار صنعتی و فدرال همکاری می‌کند.

به گفته پیترسون «تأکید بیش از حدی بر موقعیت‌ها یا توانایی‌های سطح متوسط و ارشد وجود دارد، در حالی که فرصت‌های کافی در سطح ابتدایی برای ورودی‌های جدید یا افراد مایل به تغییر مهارت وجود ندارد.»

NICE اخیراً چارچوب همکاری خود را با استفاده از استراتژی‌های جدید بازسازی کرده است. در نوامبر سال ۲۰۲۰، NICE گروه کاری سابق خود را به شورای هماهنگی جامعه NICE منتقل کرد و متعاقباً گروه‌های زیرمجموعه خود را تعطیل کرد که این شورا شامل نهاد‌های دولتی، نهاد‌های صدور گواهینامه، دانشگاه‌ها و ارائه‌دهندگان خدمات آموزشی می‌شد.

این تغییر ساختار منجر به پیدایش سه گروه کاری NICE و چهار جامعه هدف شد. گروه‌های کاری شامل مدیریت استعداد مدرن، ارتقا کشف شغل و تغییر روند یادگیری هستند. جوامع هدف نیز شامل کارآموزی در امنیت سایبری، مسابقات مهارت‌های امنیت سایبری، آموزش امنیت سایبری K۱۲ هستند.

آژانس امنیت سایبری اتحادیه اروپا
آژانس امنیت سایبری اتحادیه اروپا (ENISA) به شهروندان، دانشجویان و سازمان‌های اتحادیه اروپا (EU) در سراسر کشور‌های عضو، خدمات ارائه می‌دهد و به سیاست امنیت سایبری، آمادگی و انعطاف‌پذیری کمک می‌کند. ENISA کتابچه توسعه مهارت‌های امنیت سایبری در اتحادیه اروپا را تألیف کرده و پایگاه آموزش عالی امنیت سایبری (CyberHEAD) را تحت مدیریت خود دارد و در حال حاضر بر روی یک چارچوب مهارتی کار می‌کند.

به گفته فابیو دی فرانکو، کارشناس ملی اعزامی ENISA، در حال حاضر CyberHEAD بزرگ‌ترین پایگاه آموزش عالی امنیت سایبری معتبر در کشور‌های اتحادیه اروپا و انجمن تجارت آزاد اروپا (EFTA) بوده و مرجع اصلی برای افرادی است که به دنبال افزایش مهارت خود هستند.

ENISA اذعان کرده است که «اروپا در ایجاد یک رویکرد جامع برای تعیین مجموعه‌ای از نقش‌ها و مهارت‌های مربوط به حوزه امنیت سایبری همچنان عقب مانده است». اتحادیه اروپا توسعه چارچوب مهارت‌های امنیت سایبری اروپا را برای پرداختن به مسائل رشد اقتصادی و امنیت ملی که ناشی از کمبود مهارت در حوزه امنیت سایبری در کشور‌های عضو بوده است را، در اولویت قرار داده است.

یک کارگروه ویژه (AHWG) مسئولیت هماهنگی آموزش امنیت سایبری، تمرین‌دهی و اکوسیستم‌های توسعه نیروی کار را به همراه برنامه‌های قابل ارائه زیر به عهده گرفته است:
• طبقه‌بندی بدون ابهام مهارت‌ها، شایستگی‌ها و مشاغل موجود در نیروی کار امنیت سایبری
• لیست پروفایل‌های امنیت سایبری و مهارت‌ها، شایستگی‌ها، مسئولیت‌ها، پاسخگویی‌ها و وظایف مرتبط به آن
• تجزیه و تحلیل دقیق بازار کار امنیت سایبری در اروپا
• ارائه مهارت‌های معمول امنیت سایبری برای اروپا
به گفته دی فرانکو، این مسائل AHWG را ملزم به اقدامات زیر می‌کند:
• ایجاد چارچوب تخصصی نقش‌ها و مهارت‌های شغلی برای متخصصان امنیت سایبری
• ایجاد فهرستی از نیروی کار فعلی موجود در حوزه امنیت سایبری
• مشاوره دادن راجع به چگونگی ظرفیت‌سازی در میان نیروی کار امنیت سایبری اروپا
• طرح پیشنهادات مربوط به چگونگی شناسایی و کاهش کمبود مهارت‌های بالقوه امنیت سایبری از طریق مشخص کردن شایستگی‌ها و ویژگی‌ها
آیساکا مشتاق مشاهده مقایسه‌های موجود میان چارچوب مهارت‌های امنیت سایبری اروپا و چارچوب نیروی کار NICE است.

دیدگاه توسعه نیروی کار
کارآموزی در ایالات متحده بدون محدودیت برای قشر‌های مختلف و علی‌رغم قابلیت مقیاس‌پذیری در حال افزایش است.
CyberUp یکی از تأمین‌کنندگان استعداد‌های جدید در آمریکاست که با هدف ایجاد اشتغال برای بزرگسالان و جوانان مهارت‌های امنیت سایبری را آموزش می‌دهد. این طرح شامل ۱۶ هفته دوره پاره‌وقت پیش‌کارآموزی است که به افراد در دستیابی به گواهینامه سطح ابتدایی و فرصت کار زیردست یک کارفرما به مدت یکسال کمک می‌کند. CyberUp بر این باور است که دانش‌آموزان باید در سال‌های جوانی برای کار آماده شوند. یکی از کار‌های انجام‌شده برای تحقق این هدف، برگزاری مسابقات ماهانه امنیت سایبری برای سنین ۱۱ تا ۱۸ سال است.

طبق گفته‌های تونی برایان، مدیر اجرایی CyberUp، بزرگ‌ترین مشکل موجود در صنعت این است که به جای حل کردن مسئله استخدام استعداد‌های جدید، مواجهه با شکاف مهارتی را مشکل اصلی بدانیم. کارفرمایان همچنان از روش‌های استخدامی ۲۰ سال پیش برای کارآموزی و همکاری استفاده می‌کنند و باید این دیدگاه خود را تغییر بدهند. راه‌هایی مانند کارآموزی، پاسخ کم‌هزینه، کم‌خطر و سریع‌تری برای رسیدگی به مشکل نیروی کار هستند.

دیدگاه صنعت
شرکت‌ها همچنان از طریق مشارکت، ائتلاف و یا برنامه‌های اطلاع‌رسانی به حل این مشکل می‌پردازند. به‌عنوان مثال، HCL Technologies با مؤسسات آموزش دوره متوسطه / مهندسی و فروشندگان پیشرو در صنعت جهت‌گیری و فعال‌سازی فنی شراکت دارد. HCL Technologies، مانند برخی شرکت‌های دیگر، برنامه‌های آموزش یا بازآموزی برای افزایش جذب افراد مستعد ایجاد کرده است. مسابقات امنیت سایبری یکی از روش‌های محبوب برای جذب متقاضیانی است که در حال حاضر در مشاغل رسمی امنیت سایبری فعالیت نمی‌کنند.

رنجو وارگیز، همکار و ارشد معمار در خدمات CyberSecurity و GRC، HCL Technologies، در رابطه با سخن پاسخگویان در زمینه کاستی در برنامه‌های دانشگاه تأکید می‌کند. هنگامی که در مورد بزرگ‌ترین موانع کاهش شکاف بین عرضه و تقاضای امنیت سایبری سؤال شد، وارگیز به عدم مهارت فن‌آوری در میان متقاضیان و کمبود افرادی که بتوانند سیستم‌های ایمن طراحی کنند، کد رایانه‌ای امن بنویسند و اقدامات مخرب را تشخیص دهند، اشاره می‌کند.

نتیجه‌گیری: تجارت به روش سابق دیگر کارساز نیست
کمبود نیروی کار در حوزه امنیت سایبری همچنان پابرجاست و تا زمانی که تحلیل صادقانه‌ای از باید‌ها و نباید‌ها ارائه نشود، ادامه خواهد داشت. علی‌رغم سال‌ها تلاش دولت، صنعت و دانشگاه و علی‌رغم هزینه‌های زیادی که از جیب مالیات‌دهندگان پرداخت شد، تغییرات کمی صورت گرفته است.

برنامه‌های رسمی آموزشی و برنامه‌های آموزش امنیت سایبری صنعتی هرگز تجربه امنیت سایبری گذشته را تکرار نخواهند کرد و کارفرمایان باید مایل باشند که از نقش خود در توسعه رهبران امنیت سایبری آینده استقبال کنند؛ پیشنهادی که همیشه خطر استعفای کارمندان را به همراه دارد. بااین‌حال، کارفرمایان به تنهایی نمی‌توانند از عهده این مسئولیت بربیایند. به‌ویژه هنگامی که شکاف مهارتی در حوزه فنی نیست بلکه در حیطه مهارت‌های نرم است.

مثال‌های برجسته مهارت‌های نرم شامل مهارت‌های ارتباطی، رهبری، تفکر انتقادی، کار گروهی، اخلاق کاری و نگرش مثبت است. از میان این مهارت‌ها، مهارت‌های ارتباطی - کلامی و کتبی - قابل آموزش است، اما غالباً به تمرین نیاز دارد. تجزیه و تحلیل غیررسمی برنامه‌ها نشان می‌دهد که دانشگاه‌ها بر این موضوعات کم‌تر تمرکز کرده‌اند. تفکر انتقادی که مورد توجه ویژه متخصصان امنیت سایبری است، شامل تجزیه و تحلیل، تفسیر، استنتاج، توضیح، خودتنظیمی، ذهن باز و حل مسئله است که همه از مهارت‌های ضروری برای متخصصان امنیت سایبری به شمار می‌آیند.

اگرچه این مهارت‌ها قابل آموزش هستند، اما بیشتر فرآیند محور هستند و بنابراین با گذشت زمان پیشرفت می‌کنند. اگرچه آمار و ارقام نگهداری و پر کردن موقعیت‌های شغلی با پیشرفت همراه بوده‌اند، اما این نتایج نظرسنجی نیاز به مدت‌زمان بیشتری دارد تا مشخص شود آیا این پیشرفت‌ها به دلیل این بیماری همه‌گیر بوده است یا به دلیل تغییر شرایط بازار (به‌عنوان مثال، انتظارات و جبران خسارت کارفرما) ایجاد شده است. بهتر است کارفرمایان عوامل علیتی را شناسایی کرده و آن‌ها را کاهش دهند. چون حفظ کارکنان معمولاً مقرون به صرفه‌تر از استخدام و آموزش کارمندان جدید است.

آیساکا امیدوار است که ۲۰۲۱ سالی باشد که میزان قابل توجهی از مشکلات مربوط به زمان استخدام و کمبود نیرو حل شود. به نظر می‌رسد که وقایع امنیتی سایبری بسیار مورد توجه دولت و صنعت قرار گرفته است و سرانجام ممکن است تقویت لازم برای ایجاد تغییرات مثبت اتفاق بیفتد. با این وجود، میزان آگاهی و آمادگی شغلی در حوزه امنیت سایبری ممکن است در مناطقی از سراسر جهان که فاقد اتصال پهنای باند هستند، ناکافی باشد. درعین‌حال، از تأثیر فناوری بر کلاس‌های درسی دانش‌آموزان ۱۱ تا ۱۸ ساله نیز نباید چشم‌پوشی کرد. زیرا مهارت‌های نرم همچنان جزو کمبود‌های موجود در محل کار مدرن محسوب می‌شود.