サイバースキルギャップに影響を与える7つの要因

強力なサイバーセキュリティスキルを持つ個人は非常に高い需要があります。これは秘密ではありません。最も重要なのは、この不足が多くの企業が持続可能なサイバーセキュリティ人材パイプラインを構築することを防いでいるという事実です。

世界経済フォーラムの統計によると、サイバーセキュリティの目標を達成するために必要な人員とスキルを持っていると確信している組織はわずか14%です。

以下は、セキュリティリーダーが組織に必要なサイバーセキュリティスキルを確保する能力に影響を与えている7つの要因の概要です。

1. 制限された予算、増加するバーンアウト

予算削減はしばしばセキュリティチームの不足を招くと、エンタープライズコンサルティング企業ProtivitのグローバルCISOソリューションリーダーであるSameer Ansariは言っています。「CISOはより少ないリソースでより多くを行うよう求められている」と彼は述べています。

Ansariはまた、成長するバーンアウトトレンドにも触れており、既存のサイバーセキュリティの才能が高いストレスと有能なサイバープロフェッショナルが必要とする常時対応の精神性のため、ますます他の機会を探しているのが見られます。「脅威の複雑性の増加も、CISOが新しい人材をソースするときに直面する課題です」と彼は付け加えています。

専門家不足がすぐに軽減される可能性が低いという事実を考えると、多くのCISOは現在マネージドサービスに目を向けています、Ansariは言います。「多くのクライアントから、人員流出や人材の確保について心配する必要がないように、特定の運用サービスをアウトソースすることを検討しているという話を聞いています。」

Ansariは、セキュリティロールを社内で充足させることを検討しているCISOが増加していることも報告しており、例えばソフトウェアエンジニアを再訓練してサイバーセキュリティスキルを追加取得し、人材ギャップを埋めることができるかどうかを見ています。

2. 新興技術

特にAIを含む新しい技術は、高度なスキルを持つサイバーセキュリティプロフェッショナルでさえペースを保つことが難しいほど急速に進化しているサイバーランドスケープに貢献しています。エンタープライズ戦略とコンサルティング企業PresidioのDan LohrmannCISOは言っています。

AIが駆動する脅威は常にターゲットを動かし、サイバー犯罪者が前例のない速度と俊敏性で攻撃することを可能にしていますと、Lohrmmannは言っています。「新しいAI防御ツールも新しいスキルセットを必要とし、サイバーセキュリティプロフェッショナルは新しいシステムを操作し協力する方法を学ぶか、取り残されるかのいずれかです。」彼は、採用凍結、予算削減、様々なサイバー助成金の枯渇が原因で、サイバーセキュリティスキルギャップは特に公共部門で顕著であると述べています。

Lohrmmannは、CISOはしばしばスキルギャップをビジネスリスクとしてフレーミングするのに失敗していることに注意しています。「彼らはその結果をボードと経営陣に適切に伝えることを怠っています。」他の大きな間違いは、彼が指摘しているのは、彼らがすでに持っている熟練したサイバーワーカーのケアを怠ること、そして非現実的な職務要件を設定することです。

3. 対立する期待

雇用主と潜在的なセキュリティチームの候補者はしばしば同じページにいないため、その期待の不一致がスキルギャップの認識の背後にある原動力であると、Centric ConsultingのセキュリティサービスディレクターのBrandyn Fisherは言っています。

「組織はしばしば『完璧な』プロフィールを持つ候補者を厳密に追求し、必要な経験と一致しない報酬レベルでシニア専門知識を期待しています」と彼は述べています。「反対に、卒業直後に高い給与と専門的な仕事を期待する候補者もいます。」

興味深いことに、サイバースキルギャップについて10年以上の議論にもかかわらず、組織はまだロールを埋めることができます。「これは、実際の課題は有能なプロフェッショナルの不足ではなく、期待の不一致であることを示唆しています」とFisherは言っています。彼は雇用主が彼らが要求していることと提供しようとしていることについて現実的である必要があると信じています。「同様に、候補者は自分たちがもたらす価値と彼らがまだ構築する必要がある経験を理解する必要があります」とFisherは忠告しています。「両側で期待をリセットすることは、このギャップを閉じるのに役立つでしょう。」

4. 時代遅れの考え方、戦略、または運用

CISOはサイバーリスク管理において戦略的な役割を果たしていますが、スキルギャップを狭めるには多分野アプローチが必要であると、システムエンジニアリングおよび技術サービス企業Amentumのインテリジェンスおよびサイバー担当副社長兼CTOのAdi Karisikは言っています。

多くの組織は変化に抵抗し、しばしば数十年前に開発された時代遅れのプロセスを固守していると、Karisikは述べています。「例えば、意思決定は長い間引退した個人によって設計されたレガシーシステムに依存する場合があり、重要な運用を脆弱で適応が遅くなります。」

組織は文化的変化と近代化を受け入れる必要があると、Karisikは忠告しています。「サイバー脅威は業界が追いつくのを待たない」と彼は警告しています。「先を行くために、企業はスキルがあるだけでなく、サイバーセキュリティの常に変化する要求に動的に対応することが可能な労働力の育成に投資する必要があります。」

5. スキルと訓練のミスマッチ

単一最大のスキルギャップドライバーは、サイバーセキュリティ人材が伝統的に訓練されている方法とCISOが実際に必要とする能力の間のミスマッチであると、カーネギーメロン大学ハインツカレッジのキャリアセンター執行部長であるRon Delfineは言っています。

最も効果的なCISOは内部でスキルを構築することに焦点を当てていると、Delfineは言っています。「キャリア開発の観点から、これはサイバーセキュリティ、管理、およびポリシーをブレンドした学際的教育への投資、および単なる外部採用と補完的なスキルセットを持つチームの作成ではなく、構造化されたアップスキリングとリーダーシップパスウェイを通じた内部人材開発を意味しています。」

強力なサイバーセキュリティチームの構築と維持に失敗すると、少数のシニアリーダーに依存することになる可能性があると、Delfineは言っています。また、スタッフのバーンアウトも増加させる可能性があります。「これらすべての要因は、不十分なクロスファンクショナル調整による遅いインシデント対応と復旧、および経営者とボードへのセキュリティ投資の正当化の困難につながる可能性があります」と彼は言っています。

6. 体系的なサイバー戦略の切断

サイバーセキュリティスキルギャップは、採用の課題から直接運用リスクになるように進化したと、MicrosoftのシニアセキュリティエンジニアであるYash Patelは警告しています。「組織は高度なセキュリティツールへの投資を続けていますが、多くの場合、これらのツールを効果的に運用、解釈、適応させるために必要な人的能力が不足しています」と彼は説明しています。「その結果は、セキュリティの意図とセキュリティの成果の間の相互の拡大です。」

成功するCISOはヘッドカウントだけでなく能力構築に焦点を当てていると、Patelは述べています。これは好奇心と問題解決能力に基づいて採用し、実際の学習に投資し、チームが調査と脅威分析を実践できる環境を作成することを意味しています。「ITおよびエンジニアリング機能全体にセキュリティ知識を埋め込むことも、少数の専門家グループへの依存を減らすのに役立ちます」と彼は言っています。

運用上、サイバースキルギャップは弱くて脆い防御を作ります。「ツールは正しく展開される場合がありますが、検出は不十分に調整され、インシデントは表面的に対処され、根本原因は未解決のままです」とPatelは警告しています。「多くの侵害はコントロールが欠けていたためではなく、チームが初期警告兆候に対応するための専門知識を欠いていたために発生しています。」

7. 単純化とスケーリングに失敗する

トップCISOは2つの事実を前もって受け入れています。チームは常に若干の人員不足であり、脅威ランドスケープは光の速度で動いていると、データセキュリティ企業Cyberhaven のAman SirohiCISO は言っています。

最も効果的なCISOは採用で抜け出そうとしないと、Sirohiは言っています。「代わりに、彼らはオートメーションを通じてチームをスケーリングし、セキュリティ操作を単純化し、信号対雑音を改善し、AIを活用することによってギャップを狭めます」と彼は述べています。「前に進む最速のパスは環境を単純化し、反復可能なセキュリティ成果をエンジニアリングし、人々をフォースマルチプライアーに変えるテクノロジーを使用しています。」