Hacking Cyber Securitys Kampf um Arbeiter
Laut einer neuen Studie erleben 95 % der Cyber-Sicherheitsexperten Faktoren, die sie wahrscheinlich dazu bringen würden, ihre Position in den nächsten sechs Monaten aufzugeben. Nicht weniger als 40 % gaben an, unter Stress und Burnout zu leiden, was nicht nur ihrer Motivation, ihre Arbeit zu erledigen, schadet, sondern auch ihrem Privatleben.
Die Branche kann nicht mit dem Tempo Schritt halten, mit dem sich Technologien, neue Produkte und die erforderlichen technischen Fähigkeiten entwickeln. Alle 39 Sekunden gibt es einen neuen Cyberangriff. Jetzt, inmitten des Krieges zwischen Russland und der Ukraine, hat die Bedrohung erneut zugenommen – mehr als 7 von 10 britischen Organisationen für kritische nationale Infrastruktur (CNI) haben seit Beginn der russischen Invasion einen Anstieg von Cyberangriffen beobachtet.
Cyber-Angriffe nehmen exponentiell zu, Cyber-Profis kündigen und letztendlich werden sie durch niemanden ersetzt. Weltweit fehlen etwa 3.5 Millionen Menschen im Bereich Cyber-Arbeitskräfte. Wir haben einen Berg zu erklimmen. Es gibt zwar eine steigende Zahl von Menschen mit Sicherheitsabschlüssen und -qualifikationen, aber dies bleibt bei weitem hinter der Nachfrage der Industrie zurück. Das Problem ist tief verwurzelt und beginnt früh – die Zahl der jungen Leute, die IT-Fächer auf GCSE-Niveau belegen, ist in den letzten sechs Jahren um 40 % zurückgegangen.
Und darüber hinaus kann auch die Hochschulbildung nicht mithalten. Der Lehrplan, dessen Anpassung Jahre dauern kann, müsste ebenso schnell angepasst werden wie die Landschaft. Daher variieren Qualität und Tiefe des Lernens erheblich zwischen Studenten, Kursen und Institutionen. Wir haben Kandidaten befragt, deren Abschlussprojekte vom Aufbau eines eigenen IDS-Systems, das sehr technisch ist, bis hin zu einem Bericht über die DSGVO reichen. Weder der Student noch die Universitäten können daran schuld sein, aber es zeigt die Schwierigkeit, dieses Fach zu standardisieren und eine Basis dafür zu schaffen, wie „gut“ aussieht.
Die Unterstützung aus interner Perspektive, wie die Förderung von Studiengängen und die Durchführung von Ausbildungen und Praktika, wird entscheidend werden. Der Blick über den Tellerrand hinaus vermittelt potenziellen Rekruten die praktischen und theoretischen Fähigkeiten, um schneller zu wachsen und sich zu entwickeln. Zum Beispiel hat ein junger Student, der während seines Studiums für sein Industriepraktikum zu uns gekommen ist, sein Studium abgeschlossen und ist kürzlich als Systems Test Engineer zu uns gekommen. Es ist ein Beweis dafür, dass das Einbeziehen von Erfahrungen aus dem wirklichen Leben eine richtungsweisende Hand sein kann, um Berufseinsteiger und Absolventen in der Cyberwelt zu unterstützen.
Aber das ist noch nicht alles – ein neuer Bildungsweg zur Cybersicherheit ist eine langfristige Lösung für eine drohende Krise. Die Bereitschaft, Mitarbeiter weiterzubilden und Kandidaten mit unterschiedlichem Karrierehintergrund einzustellen, muss größer werden. Interne Schulungen für die aktuelle Belegschaft sollten nie aufhören. Ein intelligenter Weg, dies zu tun, besteht darin, einen vordefinierten Plan zu erstellen und bereitzustellen, der die nächsten Schritte auf ihrem Entwicklungsweg beschreibt. Angepasst an die Lücken in ihren Fähigkeiten und neuen Technologien für jeden Mitarbeiter, verdeutlicht es, welcher Kurs benötigt wird, welche Akkreditierung erforderlich ist und welches Fachwissen sie zum Erfolg führen würde.
Insgesamt ist mehr Klarheit nötig. Erstens übersehen die Leute den schieren Umfang von Cyber. Man kann nicht in allem Experte sein, also konzentriert sich jeder Cybersicherheitsexperte auf eine Teilmenge von Themen und wird darin zum Experten. Viele Menschen, die eine Cyber-Karriere in Betracht ziehen oder anstreben, sind mit den verschiedenen Bereichen, in denen Sie tätig werden können, nicht vertraut. Wir haben Absolventen mit Software- und Ingenieursabschlüssen gesehen, die mit dem Programmieren auf dem neuesten Stand waren, aber nicht wussten, was sie im Cyberbereich tun könnten. Ein Teil des Problems ist, dass die Leute, die sich engagieren wollen, nicht wissen, in welchem Bereich, geschweige denn, wie sie dann einen Fuß in die Tür bekommen.
Selbst mit einer Vorstellung vom Fachgebiet wird es durch die Anzahl der verfügbaren Kurse noch komplizierter. Für das Studienjahr 2020-21 listet UCAS, die Zulassungsdienste für Universitäten und Hochschulen, 131 Bachelor-Programme von 59 Einrichtungen auf. Auf postgradualer Ebene gibt es 58 Optionen. Und unter all diesen reichen die Kurse von IT mit eingestreutem Cyber, reinem Cyber oder kombiniert mit anderen Spezialisierungen wie Cybersicherheit und digitaler Forensik, künstlicher Intelligenz und dem Internet der Dinge. Obwohl die Liste der Kurse umfangreich ist, ist die Liste der vom National Cyber Security Centre (der britischen Regierungsbehörde) offiziell zertifizierten Programme weit davon entfernt. Nur sechs dieser Programme sind zertifiziert.
Dies ist nur in Großbritannien der Fall, aber das gleiche Problem ist weltweit repräsentativ. Verwandte Regulierungsansätze müssen eine größere Konsistenz erreichen. Derzeit hat jedes Land seine eigene Art von Zertifizierung, die landesweit Cybernachrichten und -ratgeber bereitstellt. Das bedeutet aber auch unterschiedliche Normen, Vorschriften und Terminologien. Die Verringerung dieser Inkonsistenz wird eine stärkere Kommunikation erleichtern und als Ergebnis eine einheitlichere und transparentere Erfolgsmessung über Grenzen hinweg schaffen.
In der Zwischenzeit ist die gezielte Bekämpfung von Stress und Burnout zur Unterstützung vorhandener Talente der offensichtliche – und notwendige – nächste Schritt, wenn wir daran arbeiten, die nächste Generation von Cyber-Experten vorzubereiten. Managed Security Services sind eine vielversprechende Option für die Überwachung, Analyse und Reaktion auf Vorfälle außerhalb der Geschäftszeiten. Zumal die Alarmmüdigkeit die Sicherheitszentralen lähmt. Zu viel Lärm und Fehlalarme können Teams desensibilisieren, was dazu führt, dass wichtige Warnungen ignoriert oder nicht rechtzeitig beantwortet werden. Darüber hinaus geben 69 % der Fachleute an, dass es ihnen aufgrund des erhöhten Volumens viel schwerer fällt, Bedrohungen zu erkennen und darauf zu reagieren.
Eine Managed Detection and Response (MDR)-Lösung, die von einem Team hochqualifizierter Cyber-Analysten betreut wird, kann ein unschätzbarer Dienst sein, der den Netzwerkverkehr eines Unternehmens kontinuierlich überwacht, 24 Stunden am Tag, 365 Tage im Jahr. Es ist jedoch erwähnenswert, dass die Automatisierung zwar immer wieder als Antwort auf Cyber-Stress angekündigt wird, aber manchmal größere Probleme verursachen kann – sie wird nicht unbedingt alle Bedrohungen finden, die ein menschlicher Analyst finden würde. Wir haben festgestellt, dass ein von Menschen geführter Bedrohungsdienst viel effektiver ist als Lösungen mit erheblicher Automatisierung und AI Elemente. Ein sicherer Service, der von einem hochqualifizierten Experten besetzt ist, bietet diese Gewissheit und garantierte Sicherheit.
Interessanterweise hat es auch zur Work-Life-Balance unserer eigenen Mitarbeiter beigetragen. Ob Frühaufsteher oder Nachteule, unsere Analysten können ihr Schichtmuster so wählen, dass es zu ihrem Leben passt. Diese Flexibilität ist ein entscheidender Aspekt in der heutigen Arbeitswelt und unerlässlich in einer Branche, die am Ende des Arbeitstages nicht aufhört. Letztendlich passieren Cyber-Bedrohungen rund um die Uhr und können von überall auf der Welt kommen. Unternehmen müssen hart daran arbeiten, dieses Serviceniveau aufrechtzuerhalten, ohne die Gesundheit und das Wohlbefinden ihrer Mitarbeiter zu gefährden.
Es ist keine einfache Aufgabe. In gewisser Weise wird die Geschwindigkeit, mit der die Cyberindustrie expandiert, zu einer Waffe ihrer eigenen Zerstörung. Wir müssen jetzt handeln und sicherstellen, dass Sicherheitsverantwortliche über die richtige Autorität, das richtige Budget und den richtigen Technologie-Stack verfügen, um die Belastung ihres Teams zu verringern und Talente zu engagieren und zu fördern.
