Prawie 50% organizacji europejskich zgłasza, że dyrektywy regulacyjne wpływają obecnie bezpośrednio na ich praktyki zatrudnienia w zakresie bezpieczeństwa cybernetycznego, popychając region przed globalnym tempem w rozwiązywaniu wyzwań dotyczących talentów bezpieczeństwa cybernetycznego, zgodnie z badaniami SANS Institute.
. 2025 Raport z badań siły roboczej cyberbezpieczeństwawydane na konferencji RSA, oznacza przełomowy moment dla branży: po raz pierwszy więcej organizacji na całym świecie (52 %) cytuje ”brak odpowiedniego personelu ”jako główny troska, a nie„ brak wystarczającej liczby personelu ”(48%).
„Moją osobistą perspektywą jest to, że tak naprawdę nie mamy niedoboru talentów w zakresie bezpieczeństwa cybernetycznego” – powiedział Helen Pattonlider bezpieczeństwa cybernetycznego w Cisco.
„Prawdziwym problemem jest zrozumienie zestawów umiejętności potrzebnych dla ról, które prowadzisz i znalezienie ludzi, którzy mają te umiejętności”.
Ta zmiana paradygmatu jest szczególnie wyraźna w Europie, gdzie ramy regulacyjne, takie jak NIS II i Dora, przyspieszają przyjęcie strategii siły roboczej opartych na kompetencjach.
„W Europie jest więcej dyrektyw, więcej przepisów” – powiedział Brian Correiadyrektor ds. Rozwoju biznesu w Global Information Assurance Certification (GIAC), ramię certyfikacji SAN.
„Europa zawsze była w tym kierunku – pomyśl o RODO [the General Data Protection Regulation] Jako doskonały przykład, który stał się standardem dla całego świata. ”
Szerszy pula talentów
Kluczowym odkryciem z badań jest to, że organizacje mogą znacznie rozszerzyć pulę rekrutacyjną, koncentrując się na cechach charakteru i potencjalnego, a nie samego tła technicznego.
„Zatrudniamy cechy; możemy trenować resztę” – powiedział Sean Masondyrektor zarządzający Cyber Defense w United Airlines.
Zapytany, które cechy mają największe znaczenie, zidentyfikował „przede wszystkim etykę pracy”, a następnie zdolność i intelektualną ciekawość.
Koncentracja na zdolności adaptacyjnej w zakresie wiedzy technicznej okazuje się skuteczna w praktyce. Mason zauważył, że United Airlines osiągnęła niezwykłą retencję talentów częściowo dlatego, że priorytetowo traktuje te fundamentalne cechy i wspiera je w wielu możliwościach szkolenia.
„Technologia nieustannie się zmienia i nikt z natury nie wie, jak działa biznes bez uczenia się najpierw” – powiedział. “Jeśli zatrudnisz kogoś o właściwych cechach – tej zdolności i etyce pracy – możemy nauczyć go wszystkiego innego, co powinni wiedzieć. ”
Oznacza to w praktyce, że organizacje nie muszą rekrutować wyłącznie informatyki lub absolwentów technicznych. Osoby o różnorodnych środowiskach – od nauki behawioralnych po biznes – mogą wyróżniać się w rolach cyberbezpieczeństwa, pod warunkiem, że przynoszą odpowiednie cechy charakteru.
Umiejętności validation BEcomes Crytuczny
Rosnące znaczenie walidacji umiejętności stanowi jedną z najbardziej dramatycznych zmian w wynikach badań. W całej Europie 65% organizacji wymaga obecnie certyfikacji do celów skierowanych do klienta, a 58% stosuje formalne certyfikaty do wewnętrznych decyzji o zatrudnieniu i promocji.
„Certyfikaty dają pewność lub ustalić oczekiwania wiedzy jednostki”, powiedział Anthony SwitzerLider bezpieczeństwa cybernetycznego w EY.
To podejście podwójnej walidacji przekształca dokumentację umiejętności z ćwiczenia zgodności w kamień węgielny strategii talentów organizacyjnych.
Hans de vries Z ENISA, Europejska Agencja ds. Bezpieczeństwa Cybernetycznego, podkreśliła skalę wyzwań umiejętności w Europie. „Mamy co najmniej 300 000 określonych otworów bezpieczeństwa cybernetycznego w Europie” – powiedział. „70% firm stara się znaleźć jakąkolwiek wykwalifikowaną siłę roboczą, a 50% chce zatrudnić więcej”.
Aby rozwiązać tę lukę, Enisa opracowała Europejskie Ramy umiejętności cyberbezpieczeństwa (ECSF), które uzupełniają ładne ramy Stanów Zjednoczonych. „ECSF jest obecnie przyjmowany przez 16 państw członkowskich”, powiedział De Vries. „Albo jako standard krajowy, albo jako rekrutacja sektora publicznego, kilka do krajowej oceny siły roboczej, a nawet certyfikacji”.
Definiowanie RIght Szabójstwa
Badanie ujawnia również fundamentalną zmianę w sposobie oceny talentów bezpieczeństwa cybernetycznego. Zdolność techniczna pojawiła się jako organizacje kryterium numer jeden szukają u kandydatów, wypierając doświadczenie zawodowe, które tradycyjnie dominowały priorytety zatrudnienia. Walidacja certyfikacji jest obecnie drugą najważniejszą kwalifikacją.
Odkrycia te kwestionują konwencjonalne podejścia rekrutacyjne. „Musimy skupić się na zatrudnieniu opartym na zdolnościach, a nie tylko na zatrudnieniu opartym na umiejętnościach, ponieważ to nie tylko umiejętność-to wiedza, to wszystkie umiejętności miękkie”-powiedział Matthew Isnor z Departamentu Obrony USA na szczycie pracowników SANS.
Ta perspektywa jest powtórzona przez Aus Alzubaididyrektor ds. Bezpieczeństwa informacji (CISO) w MBC Group, który radykalnie zmienił swoje podejście do zatrudniania. „Kilka lat temu była to 70% wiedzy technicznej, 30% postawy i dopasowania kulturowego” – powiedział. „Dzisiaj zbliżamy się do 25%: 75%, gdzie 75%profilu zawsze dotyczy postawy”.
Badanie Również Podkreśla krytyczne rozłączenie, które należy rozwiązać, aby organizacje mogły odnieść sukces w zatrudnieniu opartym na umiejętnościach: niewspółosiowość między zespołami HR i cyberbezpieczeństwem.
Podczas gdy obie grupy ogólnie zgadzają się, że ich zespoły są skuteczne – 65% respondentów wskazuje, że osiągają lub przekraczają cele – ich perspektywy dotyczące zatrudnienia i kwalifikacji różnią się znacznie. Tylko 8% menedżerów ds. Bezpieczeństwa cybernetycznego uważa HR jako główny decydent w zatrudnieniu, a 23% specjalistów HR uważa, że ma ten autorytet.
„10 lat temu zatrudnianie było sztywnym procesem: pisał opisy stanowisk, wysłał je do HR i czekał na kandydatów”, powiedział Alzubaidi. „To już nie działa”.
Jego organizacja przekształciła ten związek, zapewniając szkolenie w zakresie bezpieczeństwa cybernetycznego rekruterom, pomagając im zrozumieć nowoczesne stosy technologiczne i ramy bezpieczeństwa.
Najbardziej udane organizacje tworzą głębszą integrację między tymi funkcjami. Joao MoitaCiso w Airbus, opisuje ich podejście. „Nasz partner biznesowy HR jest częścią działu, siedzący codziennie z zespołem i uczęszczający na nasze cotygodniowe spotkania” – powiedział. „To nie jest ktoś siedzący w HR, z którym od czasu do czasu rozmawiamy – jest naprawdę częścią zespołu bezpieczeństwa”.
Integracja ta umożliwia HR uzyskanie głębokiego wglądu w operacje bezpieczeństwa cybernetycznego, co powoduje bardziej skuteczną rekrutację. „Kiedy mówię naszemu partnerowi HR, potrzebujemy architekta, wiedzą dokładnie, co robi architekt” – powiedziała Moita. „Rozumieją profil, sposób myślenia, którego oczekujemy, interfejsy i jakie zrozumienie firmy musi mieć”.
Ta dramatyczna zmiana priorytetów zatrudniania – od wiedzy technicznej na cechy charakteru i dopasowanie kulturowe – stanowi fundamentalną zmianę w tym, jak organizacje zajmują się wyzwaniem umiejętności bezpieczeństwa cybernetycznego. Zamiast konkurować o ograniczoną pulę wykwalifikowanych technicznie kandydatów, przyszłościowe organizacje identyfikują potencjał u osób o różnych środowiskach, które wykazują właściwe umiejętności i sposób myślenia.
Własność wykonawcza
Pośród tej zmiany, Karen Wetzel Z NICE oferuje kluczowe spojrzenie na przyszłość rozwoju siły roboczej w zakresie bezpieczeństwa cybernetycznego. „Bezpieczeństwo cybernetyczne nie można już traktować jako departamentu refleksji lub wyciszonego” – powiedziała. “Musi stać się integralną częścią podstawowej strategii i kultury każdej organizacji. ”
Regulacje europejskie przesuwają teraz odpowiedzialność za bezpieczeństwo cybernetyczne na poziom zarządu, powiedział De Vries z ENISA. „Firmy zajmujące się infrastrukturą krytyczną muszą teraz zapewnić obowiązkowe szkolenie w zakresie bezpieczeństwa cybernetycznego dla wszystkich kadry kierowniczej, którzy muszą zgłosić się na temat swojej strategii cybernetycznej w raportach na koniec roku”, powiedział.
Stanowi to fundamentalną zmianę odpowiedzialności. „Kiedy zdarzają się naruszenia, nie powinno to być dyrektor IT, który stoi w obliczu konsekwencji – powinien to być dyrektor generalny, który nie priorytetowo traktował bezpieczeństwa”, powiedział De Vries.
„Gdy szpitale są atakowane i narażone dane pacjentów, rzeczywiste życie są zagrożone” – dodał. „Ta odpowiedzialność leży z przywództwem, który musi zrozumieć, co naprawdę jest zagrożone”.