5 راهکار برای افزایش نیروی کار متخصص در حوزه امنیت سایبری در سال 2022

تقاضا برای متخصصان امنیت سایبری طی یک دهه گذشته افزایش یافته است، با این‌حال، در اوایل سال 2020 شکاف بزرگی در این زمینه به وجود آمده است، به‌طوری که بیشتر کشورها و به ویژه ایالات متحده به دنبال نیروهای متخصصی هستند که دانش و مهارت آن‌ها همسو با تحولات دیجیتالی باشد. با شیوع همه‌گیری کووید در مارس 2020، دنیای امنیت سایبری با یک شوک جدید روبرو شد، زیرا میلیون‌ها کارگر ناگهان دفتر را ترک کردند و از راه دور شروع به کار کردند. برخی از شرکت‌ها به معنای واقعی کلمه یک شبه این جهش را انجام دادند و بسیاری از متخصصان امنیت سایبری را مجبور کردند در کوتاه‌ترین زمان اقدام به ایمن‌سازی مکانیزم‌های ارتباطی راه دور ابرمحور کنند، اما در شرایط که تهدیدات نوظهور جدیدی پیرامون این زیرساخت‌ها قرار داشت.

با این حال، یک سال بعد، کمبود نیروی کار در حوزه امنیت سایبری و عدم وجود افرادی که مهارت‌های مرتبط داشته باشند به شکل جدی‌تری خود را نشان داد. بر اساس مطالعات انجام شده توسط موسسه ISC مشاهده می‌کنیم که آمار جذب نیروی کار در حوزه امنیت سایبری در مقیاس جهانی روند نزولی به خود گرفته از رقم از 4 میلیون نفر به 3.1 میلیون نفر رسیده است. به بیان دقیق‌تر تنها در ایالات متحده نزدیک به 400000 موقعیت باز امنیت سایبری وجود دارد. با این‌حال، در مقیاس جهانی سازمان‌ها به میلیون‌ها متخصص امنیت سایبری نیاز دارند تا به‌طور موثر از دارایی‌های حیاتی سازمان‌ها دفاع کنند. 

ارین وایس کایا، متخصص استراتژی و استعدادیابی شرکت Booz Allen که وظیفه جذب نیروهای متخصص برای سازمان‌های سایبری را دارد در این ارتباط می‌گوید: «دنیای امنیت، صنعتی است که همواره با تهدیدات نوظهور روبرو می‌شود و همه چیز در آن دائما در حال تغییر است. از جمله عوامل تهدیدکننده جدید باید به فناوری‌هایی مثل 5G و اینترنت اشیا اشاره کرد. با این حال، ما همچنان با نرخ بیکاری 0 درصد در این حوزه روبرو هستیم، در حالی که تقاضا برای این متخصصان همچنان روند صعودی دارد.»

اوندری کرهل، مدیرعامل و موسس شرکت امنیت سایبری LIFARS می‌گوید: «صنایع و ریسک‌های مرتبط با آن‌ها در سال 2022 بزرگ‌تر می‌شوند، بنابراین ضروری است که از هم اکنون استراتژی‌های راهبردی برای جذب استعدادها را آغاز کنیم تا شکاف مهارت‌ها را از بین ببریم. کارشناس جرایم دیجیتالی و هک اخلاقی در بخشی از صحبت‌های خود به این نکته اشاره دارد که هکرها باهوش‌تر و سریع‌تر شده‌اند، به این معنی که تیم‌های دفاعی باید همین کار را انجام دهند تا یک تیم امنیت سایبری قوی ایجاد کنند و اطمینان حاصل کنند که مشکلی از بابت کمبود نیروی انسانی ندارند.»

مهارت‌های مناسب به سختی پیدا می‌شوند

با این حال‌، یافتن و جذب استعدادها با مهارت‌های مناسب امنیت سایبری کار ساده‌ای نیست، زیرا اگر به دنبال آماده‌سازی فهرستی از  مهارت‌های فنی موردنیاز باشیم، در همان اوایل آماده‌سازی فهرست نیز به سختی قادر به پیدا کردن گزینه‌های مناسب هستیم. کرهل خاطرنشان می‌کند که شرح شغل امنیت سایبری به دلیل گستردگی صنعت امنیت و وجود گواهی‌های بین‌المللی مختلف کار سختی است. 

علاوه بر این، در هنگام استخدام نیروهای متخصص باید به این نکته نیز توجه داشته باشیم که این افراد به غیر از مهارت‌های غیرفنی با مباحث مثل متدولوژی‌های اسکرام و چابک آشنایی دارند و انعطاف‌پذیری خوبی در رویارویی با مشکلات دارند که همین مسئله استخدام چنین افرادی را سخت‌تر می‌کند. او توضیح می‌دهد: «در این‌جا منظور ما مجموعه مهارت‌های لازم و نه ابزارهای فنی است. به بیان دقیق‌تر، این افراد باید توانایی لازم برای استقرار مناسب ابزارها و تفسیر واقعی داده‌ها را داشته باشند.»

مارکوس فاولر، مدیر تهدید استراتژیک شرکت Darktrace که در زمینه به‌کارگیری هوش مصنوعی در صنعت سایبری مشغول به کار است در این خصوص می‌گوید: «سازمان‌ها باید بفهمند چگونه از تیم‌های امنیتی موجود بهترین سود را ببرند. بدون پر کردن شکاف کار برای کارگر، تلاش برای حل مشکل مهارت‌های استخدامی تنها بخش کوچکی از بحران امنیت سایبری است. علاوه بر این، نیروهای متخصص باید خود را با ابزارها خودمختار و الگوریتم‌های هوشمند هماهنگ کنند تا چابکی بیشتری پیدا کرده و چالش‌های امنیتی را هوشمندانه‌تر حل کنند.»

او می‌گوید: «قدرت هوش مصنوعی و یادگیری ماشین برای انجام آزمایش‌های اولیه مرتبط با حوادث امنیتی به تیم‌های امنیتی کمک می‌کند تا به سرعت کنترل أوضاع را به دست گیرند. پژوهشی که توسط هوش مصنوعی و به شکل مستقل انجام می‌شود به تیم‌ها اجازه می‌دهد با صرف کمترین وقت آزمایشات اولیه را انجام داده و مواردی که اهمیت بیشتری دارند را اولویت‌بندی کنند. رویکرد فوق باعث می‌شود تا کارشناسان امنیتی برای انجام تحقیقات استراتژیک و شناخت دقیق‌تر ابعاد حمله وقت بیشتری داشته باشند.»

1. آگهی‌های شغلی را برای جذب استعداد‌های برتر جذاب‌تر کنید

به گفته دکتر Pam Rowland، استادیار امنیت سایبری در دانشگاه ایالتی داکوتا و یکی از بنیان‌گذاران سازمان توسعه CybHER، بسیاری از سازمان‌ها باید آگهی‌های شغلی خود را اصلاح کنند تا توانایی جذب استعدادهای برتر را داشته باشند. او می‌گوید: «تیم‌های استخدام کننده باید به جای استفاده از استراتژی‌های مشابه ده سال گذشته از رویکردهای انتقادی استفاده کرده و به بازطراحی آگهی‌های استخدامی بپردازند. شرکت‌ها باید آگهی‌هایی که هدفشان بیشتر جذب نیروهای متخصص مرد است را کنار گذاشته و به سراغ آماده‌سازی فهرست‌هایی طولانی از نیازها که هیچ انسانی در جهان قادر به برآورده کردن آن‌ها نیست، متمایل نشوند.» تحقیقات نشان می‌دهد که مردان به یک چنین فهرست‌هایی نگاه می‌کنند و تنها 25٪ واجدان شرایط درخواستی را ارسال می‌کنند، اما زنان می‌گویند، من نمی‌توانم این کار را انجام دهم، این کار من نیست. 

2. مهندسان نرم‌افزار آشنا با گرایش امنیت که به دنبال موقعیت‌های شغلی هستند را جذب کنید

جیسون ملر، مدیرعامل و موسس شرکت Kolide می‌گوید: «یکی از راه‌های عالی برای گسترش مجموعه استعدادهای موجود، جذب مهندسان نرم‌افزاری با تفکر امنیتی است که بسیاری از مهارت‌های مناسب را دارند و به دنبال فرصت‌هایی برای تقویت زیرساخت‌ها از طریق به‌کارگیری ابزارهای کوچک و هدفمند هستند. این ابزارها که شامل اسکنرهای آسیب‌پذیری‌، ابزارهای تست نفوذ و جمع‌آوری داده‌های مربوط به تجهیزات نقطه پایانی هستند به راحتی به نیازهای کاری مرتبط با صنعت امنیت پاسه می‌دهند و علاوه بر این به متخصصان مبتدی امنیت فرصت می‌دهند تا سطح مهارت‌های خود را بهبود بخشیده و کارها را با سرعت بیشتری انجام دهند. او می‌گوید: «به‌طور شگفت‌انگیزی، بسیاری از توسعه‌دهندگان ابزارهای امنیتی منبع باز محبوب اغلب توسط کارفرمای فعلی‌شان مورد قدردانی قرار نمی‌گیرند. اگر بتوانید با افراد ارتباط درستی برقرار کنید و آن‌ها را تشویق کنید تا پروژه خود را ادامه دهند، این شانس را پیدا می‌کنید که در دنیای واقعی به بهترین شکل از وجود آن‌ها استفاده کنید و یک معامله برد-برد را داشته باشید. در این حالت یک متخصص پرشور خواهید داشت که آماده محافظت از زیرساخت‌های فعلی است و در آینده به تیم امنیتی شما در پیشبرد اهدافشان کمک زیادی خواهد کرد.» 

با این حال، نباید از به‌کارگیری نیروی کار امنیت سایبری از طریق استراتژی‌های استخدام غافل شوید. کایا می‌گوید: «من احساس می‌کنم  صنعت امنیت باید از رویکردهای غیرسنتی و غیر خطی در خصوص جذب نیروهای متخصص به بهترین شکل استفاده کند. این صنعت از تعاریف استخدامی نسبتاً سنتی برای یافتن منابع موجود و مهارت‌های فنی استفاده می‌کند که باعث عقب‌افتادگی آن شده است. ما باید بفهمیم، چگونه به استعداد به عنوان سرمایه‌ای ارزشمند برای ورود به این حوزه نگاه کنیم و سپس چگونه می‌توان از برنامه‌های آموزشی برای بهبود سطح مهارت‌های تخصصی این افراد استفاده کنیم.»

3. با ارائه مشوق‌هایی برای همکاری با تیم امنیتی استعداد پیدا کنید

به گفته ملر یکی دیگر از راه‌های عالی برای شناسایی نامزدهای برتر درون سازمان ایجاد ساختارهای تشویقی برای کارکنان است تا مستقیماً با تیم امنیتی به شکل معناداری هماهنگ شوند. به عنوان مثال، ممکن است استراتژی شرکت شما مبتنی بر استخدام پروژه‌ای هکرهای برون‌سازمانی با هدف گزارش مشکلات سایبری باشد، اما چه سازوکارها و انگیزه‌هایی برای کارکنان امنیت درون سازمانی ترتیب داده‌اید تا مشکلات داخلی را گزارش دهند؟ به گفته وی، هنگامی که این ساختارهای ارتباطی داخلی ایجاد شد، ممکن است متوجه شوید که کارمندان زیادی دارید که حاضر هستند موقعیت‌های شغلی خالی را به سرعت پر کنند و در کوتاه‌مدت به نیروهای متخصصی در این حوزه تبدیل شوند. 

4. در برگزاری دورهای آموزشی با هدف ارایه مدارک بین‌المللی به کارکنان سرمایه‌گذاری کنید

کرهل می‌گوید: «صنعت باید متعهد به آموزش کارکنان جوان و تأمین منابع مورد نیاز باشد تا آن‌ها بتوانند پویایی روزهای اول خود را حفظ کرده و در انجام کارها موفق باشند. شرکت‌ها باید برنامه‌هایی را برای کمک به فارغ التحصیلان جدید در حین کار ترتیب داده و آموزش‌های کاربردی به آن‌ها ارایه کنند.» درست است که گواهینامه‌های بین‌المللی نمی‌توانند جای سال‌ها تجربه را بگیرند، اما کرهل خاطرنشان می‌کند که به کارکنان سطح پایین و متوسط کمک کنید تا زمینه‌های عملی و جنبه‌های مختلف امنیت سایبری و مواردی مثل عملیات اجرایی، جرم‌شناسی دیجیتال و خط‌مشی‌ها مهارت‌های لازم را به دست آورند. 

5. دختران را در دوره راهنمایی دریابید

شاید مقطع دبیرستان برای آموزش مفاهیم امنیت سایبری به دختران کمی دیر باشد، اما رولند می‌گوید: «دوره راهنمایی زمانی است که آن‌ها واقعاً تصمیم می‌گیرند که آیا علوم کامپیوتر برای آن‌ها مناسب است یا خیر. ما متوجه شدیم اگر بتوانیم در دوره راهنمایی به آن‌ها انگیزه لازم را بدهیم، آن‌ها آماده می‌شوند تا در دوره دبیرستان به شکل جدی‌تری این مقوله را ادامه دهند و مشاهده کنند که این مباحث آن‌گونه که تصور می‌کنند ترسناک نیست. هنگامی که بدانند، امنیت سایبری چیست به احتمال زیاد به کاوش در این حوزه ادامه می‌دهند.»

چشم‌اندازهای پس از همه‌گیری برای نیروی کار امنیت سایبری

از سال 2020، ابعاد بازار صنعت امنیت سایبری 167.1 میلیارد دلار بود و پیش‌بینی می‌شد از سال 2020 تا 2027 با نرخ رشد مرکب سالانه 10 درصد رشد کند. با این سطح رشد، مشخص است که پس از یک سال تحول، افزایش و تقویت نیروی کار واجد شرایط و متنوع پس از همه‌گیری تغییرات زیادی را مشاهده خواهیم کرد. بر اساس مطالعه انجام شده در خصوص نیروی کار امنیت سایبری 49 درصد از پاسخ دهندگان انتظار دارند که سازمان‌ آن‌ها در سال آینده متخصصان بیشتری در زمینه امنیت سایبری استخدام کنند. با این‌حال، هیچ نشانه‌ای وجود ندارد که نشان دهد شکاف مهارت‌های امنیت سایبری در سال آینده به میزان قابل توجهی کاهش یابد. با این‌حال، افرادی مثل کایا بوز آلن نسبت به این مسئله خوش‌بین هستند. او خاطرنشان می‌کند که تغییرات بی سابقه و تهدیدهای نوظهور سال گذشته باعث شده تا دنیای امنیت سایبری به عصر جدیدی وارد شود که برای بیشتر مردم جذاب خواهد بود. 

وی می‌گوید: «من فکر می‌کنم علاقه زیادی در این زمینه وجود دارد، ما در حال بررسی نحوه جذب استعدادها از طریق مکانیزم‌ها و کانال‌های غیرسنتی هستند تا بتوانیم استعدادهای برتر را در کوتاه‌ترین زمان جذب کنیم. این زمان برای متخصصان امنیت سایبری هیجان‌انگیز است، زیرا شما با چالش‌های جذابی روبرو هستید که باعث می‌شوند امروز و فردای شما یکسان نباشد.»