کمبود استعداد در حوزه امنیت سایبری
چالش های امروزی در خصوص امنیت و کمبود استعداد در حوزه امنیت سایبری ، منجر به فعالیت های بسیار زیادی شده است، اما در عین حال نتیجه ی رضایتبخشی به همراه نداشته. حداقل هفته ای یک بار شاهد مطالعات یا مقاله هایی هستیم که نگران این بحران هستند. آگهی های شغلی برای تازه کارها، الزامات دست نیافتنی و میزان حقوق پایین تری، نسبت به میانگین بازار برای آن ها تعریف می کنند. از طرفی متقاضیان، انتظاراتی غیر منطقی برای آنچه که قرار است در سال های اولیه پس از فارغ التحصیلی انجام دهند، دارند. تغییر زود به زود شغل و فرسودگی شغلی، دو موردی است که در پی گسترده تر شدن بازار کار فنی، شاهد آن خواهیم بود. در این بین کالج ها و موسسات از این فرصت استفاده کرده و استعدادهای هدفمندی را بیش از هر زمان دیگری به بازار کار، تزریق نموده و وعده هایی در خصوص افزایش تقاضا برای مهارت مربوطه به آن ها می دهند.
بازار کار استعدادها نیاز به اصلاحات فراوانی دارد، اما تاکنون هیچ اتفاق مثبتی رخ نداده است.
اساسا ماهیت بازار کار امنیت سایبری به صورتی است که این مشکل در آن دیده می شود، زیرا مادامی که تکنولوژی نقش مهمی در ارائه راهکارهای جدید و موثر برای برنامه های امنیتی ایفا می کند، توانایی یک برنامه ی امنیتی برای ارزیابی، سرمایه گذاری و عملیاتی کردن آن فناوری ها کاملا به در دسترس بودن افراد ماهر و شایسته در موقعیت های مناسب بستگی دارد. ارائه دهندگان خدمات فناوری و امنیت از دانش فنی متقاضیان این شغل، سبقت گرفته اند و هر ساله، پیشرفت های چشمگیری را ارائه می دهند که نیازمند سرمایه گذاری و آموزش های بیشتر از سوی مشتریانی است که در تلاش برای حفظ استعدادها و همگام شدن با فناوری های روز هستند. این امر با تصمیم گیری تامین کننده ها در ارائه خدمات امنیتیِ مدیریت شده به همراه محصولات شان کاهش یافته و تئوری های خود را برای بهره مندی مشتریان از خدمات فوق، عملیاتی می کنند. با این حال، هنوز هم کسب و کارها برای توجیه این سرمایه گذاری ها و ارزیابی مجدد محیط های در حال تکامل به وجود متخصصین نیاز دارند؛ حتی برای یک تیم امنیتی کوچک که متشکل از خدمات کاملِ مدیریت شده باشد.
در حالی که شوخی خوفناک ” unhealthily stressed security leader who never sleeps” خیلی هم دور از واقعیت نیست، باید گفت وجود مهاجمان سایبری به ندرت مانع آرامش می شوند. در اصل، سوالاتی از قبیل “آیا تیم درستی انتخاب کرده ام؟”، “آیا آنچه که مورد نیاز است در اختیارشان قرار گرفته؟”، “آیا نقش افراد به درستی به آن ها داده شده؟”، “کدام دسته از افراد و یا چه سمت های جدیدی مورد نیاز است؟” و غیره دلیل اصلی نگرانی ها هستند. در حقیقت این موارد، بر عهده ی رهبری گروه است، و نباید به رهبری امنیت محدود باشد. معمولا افراد این امر را بر خلاف اصل تجارت می دانند و بسیار متعجب می شوند وقتی این حقیقت را می شنوند که رهبران امنیت، کتاب های مدیریتی و تجاری را بیشتر از کتاب های امنیتی و فنی به یکدیگر توصیه می کنند. ممکن است بحث هایی در مورد آخرین نقض داده ها و یا نحوه حل مشکلات فنی توسط رقبا وجود داشته باشد، اما شور و هیجان یکسان و یا بیشتری در مورد به اشتراک گذاری یک فرایند جدید، ساختار تیم یا روش های موفقیت آمیز ارتباطی به چشم می خورد.
پارامتر های رهبری و مهارتی در مواجه با کمبود استعداد در حوزه امنیت سایبری
در حقیقت ما با کمبود رهبری و مهارت های امنیتی مواجه هستیم؛ نه کمبود استعدادهای امنیتی. این امر موجب کند شدن روند اصلاح بازارِ استعدادهای امنیتی می گردد. روندی که برای افزایش انعطاف پذیری تمامی کسب و کارها مورد نیاز است. به عنوان مثال:
- سرعت رشد استعدادهای امنیتی که در سطوح ابتدایی قرار دارند، تنها در صورتی با بازدهی مثبت همراه خواهد بود که رهبران بتوانند تشخیص صحیحی داشته باشند و موجب رشد استعداد گردند. این امر زمانی از اهمیت ویژه برخوردار می گردد که بسیاری از متخصصان با تجربه ی ابتدایی تا متوسط، تمایل پیدا می کنند در زمینه های یکسان، شغل خود را به سمت امنیت سوق دهند و استعدادهای بیشتر و کامل تری را در محل کار خود ارائه دهند.
- یک برنامه امنیتی باید تنها زمانی اجازه رشد داشته باشد که خود را در زمینه کسب و کار مربوطه، به طور منطقی پیش ببرد تا بتواند موفقیت را تجربه کند. به درک بیشتر و مهارت های ارتباطی مطلوب تر از آنچه که انتظار می رود، نیاز است. در غیر این صورت و بدون این توانایی ها، بهره وری کاهش می یابد.
- به طور معمول کاربرانِ سطح ارشد و متوسط، جذب یک رهبر دلسوزی می شوند که در تلاش برای ایجاد برنامه ای با چشم انداز موفقیت در کسب و کار است. اجرای کار تیمی مستلزم مسئولیت های مختلف است؛ اما در عین حال رشد استعدادهای جوان نیز، مورد نیاز می باشد. یک رهبر امنیتی نباید این مورد را به تنهایی انجام دهد، به خصوص زمانی که بحث مقیاس برنامه ها مطرح باشد.
- زمانی که سازمان های امنیتی، اقدام به حفظ استعدادهای سطوح مختلف اعم از ابتدایی، متوسط و ارشد می کنند، فرصت های جدیدی نیز پدیدار می شوند. یک سازمان می تواند به صورت فرصت طلبانه استعدادها را با مهارت های پیشرفته و تخصصی هدف قرار دهد.
در 5 سال گذشته ما شاهد پیشرفت هایی در نقش اجرایی رهبران امنیتی بودیم که توسط قانون و مقررات هدایت می شد. علاوه بر آن تغییر روند سازمانی در استفاده از تکنولوژی هایی مانند استفاده از open sourceها، فضای ابری و استفاده از تجهیزات شخصی در محیط کار منجر به رونق بازار باج افزاری و همین طور سوء استفاده از داده ها شده است. این امر یادآور پیشرفت هایی است که مشاغل از طریق رهبران مالی خود و پس از تصویب قانون Sarbanes-Oxley (SOX) در پی رسوایی های مالی شرکت های بزرگ به دست آوردند. لازم به ذکر است اقدامات اعمال شده در حوزه امنیت هنوز سخت گیری های SOX را اعمال نکرده است.
در دو سال آینده مشخص می شود که آیا پیشرفت رهبران امنیتی با پشتیبانی مداوم از گسترش جهانی مقررات امنیتی و مقررات حفظ حریم خصوصی ادامه می یابد یا با توجه به شرایط اقتصاد کلان که مشاغل را وادار به ارزیابی مجدد فناوری و امنیت می کنند، باعث کاهش سرعت و کمبود استعداد در حوزه امنیت سایبری می شود.
اگر تاریخ دوباره تکرار شود، احتمال کاهش سرعت وجود دارد، زیرا سرمایه گذاری های امنیتی و ایمنیِ کسب و کارها به طور معمول با شرایط بازار مرتبط است. در عین حال تاثیرات آن ها ممکن است به هم ارتباطی نداشته باشند. این یک واقعیت بدیهی است که تعریف نقش رهبران امنیتی، مسئولیت پذیری سازمانی و مسئولیت های شخصی به طور عمومی مورد بررسی قرار می گیرند. و این انتظار که درصدی از رهبران امنیتی، در صورت کاهش سرعت، سازمان و یا نقش شان را کنار بگذارند منطقی به نظر می رسد و کمبود رهبری امنیت را تشدید می کند. بهتر است در حال حاضر رهبران امنیتی و سازمان هایشان به این چالش ها بپردازند، نه زمانی که بادهای مخالف، بسیار قدرتمند هستند. در این صورت است که می توان به نقش رهبری امنیتی و نحوه تکامل سازمان ها پی برد.
دفتر تهران
