В США настало время политических перемен, но не стоит воспринимать безудержную киберпреступность, направленную сегодня против американских компаний и пользователей, как знак того, что федеральное правительство не пытается решать проблемы в сфере кибербезопасности. Четыре года назад президент Обама начал процесс, в ходе которого была создана концепция кибербезопасности NIST Cybersecurity Framework, и теперь самые различные организации используют эту концепцию, направляя свои усилия по борьбе с киберпреступностью.
К сожалению, многие из этих усилий сдерживаются нехваткой квалифицированных экспертов в области кибербезопасности. Ранее в рамках WeLiveSecurity мы уже говорили о данном дефиците квалификаций: например, здесь и совсем недавно здесь. Такой дефицит возник в результате действия ряда факторов, в том числе быстрорастущего использования цифровых технологий, которое сопровождается увеличением частоты их использования в преступных целях.
При этом многие опытные специалисты в области безопасности достигают пенсионного возраста, а многих нынешних студентов больше привлекают потенциальные выгоды от развития технологий завтрашнего дня, чем задача обеспечения безопасности вчерашнего дня.
«ЕЖЕГОДНО В США ПОЯВЛЯЕТСЯ 128 000 ВАКАНСИЙ НА ДОЛЖНОСТЬ АНАЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, НО В НАСТОЯЩЕЕ ВРЕМЯ ЗАНЯТЫ ЛИШЬ 88 000 ТАКИХ ВАКАНТНЫХ МЕСТ».
Это еще одно направление, в котором проактивно работает федеральное правительство. Всего через несколько месяцев после начала первого срока своего правления Обама запустил Национальную инициативу по образованию в области кибербезопасности (NICE), направленную на увеличение количества специалистов по кибербезопасности.
Наглядным примером таких усилий федерального правительства служит веб-сайт CyberSeek.org, который содержит «подробные актуальные данные о спросе и предложении на рынке труда в сфере кибербезопасности».
К сожалению, нехватка квалифицированных кадров в области кибербезопасност по-прежнему является трудно решаемой проблемой. Рассмотрим соответствующие цифры с сайта CyberSeek: «Ежегодно в США появляется 128 000 вакансий на должность аналитика информационной безопасности, но в настоящее время заняты лишь 88 000 таких вакантных мест – т.е. не хватает 40 000 специалистов для выполнения важнейшей работы по обеспечению кибербезопасности».
Но и это еще не все (или все, в зависимости от того, как посмотреть на ситуацию): «Существует 220 000 дополнительных вакансий, требующих наличия квалификации в смежных с кибербезопасностью областях, и работодатели стремятся найти соответствующих специалистов. Такие вакансии, требующие определенных навыков, остаются в среднем открытыми на протяжении 96 дней».
На сайте CyberSeek предлагается два интересных инструмента для решения данной проблемы: Карьерный путь и Тепловая карта предложения/спроса в сфере кибербезопасности. Последняя регулярно обновляется и содержит довольно шокирующие цифры. Рассмотрим количество вакансий онлайн в смежных с кибербезопасностью областях в период с июля 2015 года по июнь 2016 года: это около 350 000 вакантных мест.
Если рассматривать этот показатель в контексте, необходимо определить общее число занятых в сфере кибербезопасности экспертом за 2016 год: это около 780 000 человек. Не нужно быть специалистом по экономике труда, чтобы понять, что дела не в порядке, если количество открытых вакансий в отрасли за год составляет 45% от общей численности рабочей силы.
Другим показателем того, что дела «не в порядке» – и это не технический термин, а, безусловно, описывающий ситуацию, – это количество вакансий в США, требующих наличия квалификации специалиста по информационной безопасности Certified Information System Security Professional (CISSP), в отношении численности кадров в США, которые имеют квалификацию CISSP: 70 000 против требуемых 93 000.
Этот разрыв в 23 000 человек позволяет сделать два вывода. Во-первых, в США сейчас, по-видимому, не хватает специалистов CISSP; во-вторых, в значительной части эти вакансии, вероятно, могли бы быть заполнены людьми, которые не имеют квалификации CISSP. Но как это объяснить? Слишком часто компании не понимают, что означает CISSP, и требуют наличия этой квалификации лишь потому, что видят это требование в других объявлениях по поиску специалистов в области безопасности. Я писал об этой проблеме в прошлом году, когда мой опыт работы в качестве CISSP достиг 20-летней отметки, при этом некоторые обнаруженные мной проблемы, очевидно, существуют до сих пор.
«СЛИШКОМ ЧАСТО КОМПАНИИ НЕ ПОНИМАЮТ, ЧТО ОЗНАЧАЕТ CISSP, И ТРЕБУЮТ НАЛИЧИЯ ЭТОЙ КВАЛИФИКАЦИИ ЛИШЬ ПОТОМУ, ЧТО ВИДЯТ ЭТО ТРЕБОВАНИЕ В ДРУГИХ ОБЪЯВЛЕНИЯХ ПО ПОИСКУ СПЕЦИАЛИСТОВ В ОБЛАСТИ БЕЗОПАСНОСТИ».
Одна из самых неприятных проблем заключается в том, что по-прежнему не разграничены роли кибербезопасности и KSA: знаний, умений и способностей, необходимых для выполнения различных функций, в частности по обеспечению безопасности информационных систем.
И здесь в борьбу вступает Карьерный путь с сайта CyberSeek. В этом интерактивном инструменте реализована национальная концепция профессиональной подготовки кадров по кибербезопасности Cybersecurity Workforce Framework (или Workforce Framework), первоначальная цель которой заключалась в создании таксономии стандартов для всех направлений обеспечения кибербезопасности и соответствующих специалистов, независимо от работодателя или отрасли.
В этих целях в рамках инициативы NICE сфера кибербезопасности была разделена на 31 области специализации, входящих в одну из семи категорий: безопасная передача информации; эксплуатация и техническое обслуживание; защита и охрана; исследование; сбор и эксплуатация; анализ; мониторинг и развитие. Кроме того, в NICE была определены KSA, необходимые для каждой функции, а затем возможные пути карьерного роста специалистов по кибербезопасности были обозначены на карте, как показано здесь на сайте CyberSeek:
Инструмент CyberSeek способен на большее и позволяет подробно изучить уровень образования, навыков и квалификации, требуемый в рамках той или иной должности, с альтернативными названиями, используемыми для такой должности, количеством вакантных мест, средней заработной платой, а также диапазоном заработной платы. Если кого-либо интересует должность специалиста по кибербезопасности, то следует обратиться к Национальной инициативе по карьерам и исследованиям в области кибербезопасности (NICCS) которая служит онлайн-ресурсом для поиска программ обучения кибербезопасности. На сайте NICCS указано более 3000 учебных курсов по кибербезопасности, предлагаемых в США, поиск которых можно производить по ключевому слову, специальности и местоположению:
Эти бесплатные инструменты, и я надеюсь, что они помогут людям освоить сферу кибербезопасности и продвинуться вперед. К сожалению, с данной сферой конкурируют и многие другие. Иначе говоря, в США наблюдается дефицит квалификации не только в кибербезопасности.
В прошлом месяце вы могли обратить внимание на следующий заголовок: «Бахвальство инфраструктурой Трампа будет идти вразрез с нехваткой квалифицированной рабочей силы в США». И в начале этого года такое же предупреждение можно было найти на страницах Wall Street Journal: «США может столкнуться с проблемой нехватки врачей-трудотерапевтов, инженеров железнодорожного транспорта и других работников, что может стать причиной длительного спада в экономике».
Согласно Федеральному резервному управлению США, показатель 4,8% отображает «естественный уровень безработицы»; другими словами, любая цифра ниже данного процента означает полную занятость. Таким образом, вакансий в большей части должны быть заполнены теми, кто оставляет свои нынешние рабочие места. Уровень безработицы в США в прошлом месяце составил 4,7%, и в стране нет множества «запасных» специалистов, из числа которых можно было бы набирать кадры по обеспечению кибербезопасности. Думаю, что дефицит квалифицированных специалистов может наблюдаться в течение некоторого времени, несмотря на все наши усилия по его сокращению.
Источник: WeLiveSecurity
