Rok 2024 prověřil, a ještě několik málo měsíců bude prověřovat, schopnosti a odbornost profesionálů v oboru kybernetické bezpečnosti. Pokračující ekonomická nejistota, zostřující se geopolitické výzvy, trvající narušení dodavatelských řetězců, selhávání softwarových aktualizací nebo sílící automatizace a digitalizace jim nabídly příležitost předvést se v konstelaci situací, kterou nejspíše nikdy nezažili.
Manažeři na celém světě si podle autorů zprávy Cybersecurity Workforce Study, kterou vydala organizace ISC2, v této souvislosti uvědomili, že na ochranu svých organizací budou odborníků na kybernetickou bezpečnost potřebovat mnohem víc. A pro překlenutí jejich aktuálního nedostatku musejí obor otevřít i začátečníkům, kteří dozrají po boku ostřílených profesionálů.
Máme nové jméno
Populární ekonomicko-technický magazín CIO Business World od letošního roku změnil název na CIOtrends.
Navzdory událostem ale počet profesionálů v oboru kybernetické bezpečnosti meziročně stagnoval. Celkem jich podle průzkumu ISC2 na světě působí 5,5 milionu. Oproti příchozímu ročníku studie jejich počet vzrostl o zanedbatelných 0,1 procenta.
Poptávka po nich stoupla meziročně o 8,1 procenta na 10,2 milionu pozic. Obsazeno je zhruba 5,5 milionu. Rozdíl tedy činí přibližně 4,8 milionu. Mezera na pracovním trhu v oboru kybernetické bezpečnosti se podle ISC2 meziročně zvýšila téměř o pětinu.
Pro ilustraci dodejme, že před dvěma lety trh vyžadoval 8,1 milionu specialistů a 4,7 milionu jich měl k dispozici. Rozdíl tehdy činil 3,4 milionu osob.
Největším zaměstnavatelem v oboru kybernetické bezpečnosti jsou podle studie organizace ISC2 Spojené státy. Letos v nich v oboru pracuje na 1,3 milionu specialistů. Zaznamenaly ale meziroční tříprocentní pokles stavu.
Video ke kávě
Máte čas na rychlé a informativní video?
V Evropě patří mezi největší oborové zaměstnavatele Německo a Velká Británie. V první uvedené zemi se kyberbezpečností zabývá necelých 440 tisíc lidí. Meziročně jejich počet poklesl o 3,7 procenta. Ve Velké Británii jde o necelých 350 tisíc lidí. I ostrovní království zaznamenalo meziroční pokles, konkrétně o 4,9 procenta. Ve většině států uvedených ve studii, které patří spíše k menším zaměstnavatelům, ale počet aktivních kyberneticko-bezpečnostních lidských sil vzrostl. Jisté zkreslení v tomto směru představuje skutečnost, že průzkum neobsahuje data za Indii a Čínu.
Stagnace v době sílících hrozeb
Ke stagnaci v počtu aktivních profesionálů na kybernetickou bezpečnost tvůrci studie přidávají specifická vysvětlení. Na jedné straně může být vnímána jako projev stability a odolnosti této profesní skupiny. Ta v době ekonomické nejistoty a souvisejících úspor odolává napříč hospodářskými obory. Zjednodušeně řečeno, organizace kybernetické specialisty nepropouštějí. Také ale pro ně nevytvářejí nové pozice.
Druhé vysvětlení stagnace přisuzuje nedostatku vstupních pozic pro nové a řekněme nezkušené talenty, stejně jako neschopnosti vzdělávat juniorní specialisty za provozu tak, aby získávali potřebné schopnosti a zkušenost v pracovní praxi. Organizace žádají vyšší kvalifikaci, než jim nabízí trh.
Stavy odborníků na kybernetickou bezpečnost negativně nepostihly ani efekty pokračující automatizace a digitalizace v oboru. Na jiné profese v některých oborech tyto dva faktory dopadají citelně. Autoři studie jako příklad uvádějí zpracovatelský průmysl a pohostinství. První příklad si vysvětlit a představit lze, u druhého je to už obtížnější.
Výskyt nových pracovních pozic v oboru kybernetické bezpečnosti tvůrci studie analyzovali mimo jiné s pomocí dat ze sociální sítě LinkedIn. I podle nich počty hledaných odborníků spíše stagnovaly. Meziroční pokles zaznamenaly například Spojené státy, Francie, Kanada nebo Brazílie. Ve Velké Británii stagnovaly a v Německu nebo Austrálii došlo k minimálnímu nárůstu. V menšině byly země s meziročně výrazněji rostoucí inzercí, resp. poptávkou. Šlo například o Španělsko nebo Mexiko.
Peníze v první řadě
Data sociální sítě podporují i zjištění studie organizace ISC2. Stagnace v oboru má zjevně finanční pozadí. Celkem 39 procent z téměř šestnácti tisíc respondentů uvedlo, že jejich bezpečnostní týmy nerostly z rozpočtových důvodů. V předchozích letech za hlavní důvod stagnace označovali nedostatek talentů na trhu.
HP Knowledge HUB pro moderní firemní IT
NOVINKA Navštivte novou speciální on-line zónu CIO Business Worldu, kde vám ve spolupráci s HP budeme průběžně radit, jak snadno a bezpečně pracovat na cestách, jak si usnadnit život používám správných nástrojů, jak zvládnout přechod z kanceláří domů a zase nazpátek a jak se přitom chovat ekologicky.
Pomoc a inspiraci pro moderní IT najdete v našem HP Knowledge HUBu.
Čtvrtina respondentů zaznamenala propouštění, tj. oslabování bezpečnostních týmů, 37 procent evidovalo rozpočtové škrty v této organizační kapitole. Bezmála dvě pětiny dotazovaných vypověděly o zmrazení náborů a třetina o snížení frekvence povyšování členů týmů v rámci kariérního růstu.
Všechny tyto negativní projevy se odehrávají v době, v níž si organizace nemohou dovolit finanční, provozní nebo reputační škody způsobované úspěšnými kybernetickými incidenty. I přesto na svou ochranu a bezpečnost vynakládají méně zdrojů.
Pro dokreslení dodejme, že podle letošní studie Ponemon Institute průměrné přímé náklady na kybernetický incident činily 4,88 milionu dolarů. Průměrné náklady na interní útok byly ještě vyšší. Dosahovaly výše 4,99 milionu dolarů.
Nespokojenci bez náhrady
Rozpočtové škrty a personální stagnace nezůstávají bez odezvy ani na straně profesionálů kybernetické bezpečnosti. Jejich spokojenost s prací průběžně klesá. V roce 2022 ji pozitivně hodnotilo 74 procent respondentů studie ISC2, vloni šlo o 70 procent a letos o 66 procent.
S rostoucí nespokojeností se zaměstnavatelé mohou vypořádávat různými způsoby. V době, kdy na pracovním trhu nenajdou adekvátní náhradu, se jim ale spektrum možností zužuje. Mohou usilovat o zlepšení hodnocení u současných zaměstnanců. To se ale nemůže ubírat cestou úspor. Mohou také zřizovat juniorní pozice, na kterých jim postupně vyrostou kvalifikované náhrady dnešních nespokojenců. I tento krok je ale v rozporu s úspornými snahami.
Otázka kvalifikace
Výsledky studie odhalily, že bezpečnostní týmy devíti desetin organizací vykazují jisté kvalifikační nedostatky. Třetina z nich nedokáže adekvátně ošetřit a pracovat s výzvami umělé inteligence. Třicet procent se potýká s nedostatečnou kvalifikací v oblasti cloud computingu a jeho zabezpečení. Nedostatky v konceptu nulové důvěry si přiznává 27 procent. Reakce na incidenty vázne u 25 procent a aplikační bezpečnost a penetrační testování má své mezery u 24 procent organizací.
Není bez zajímavosti, že se kvalifikační mezery do jisté míry strukturují či řadí podle oborů. Konzultantům chybějí nejvíce vědomosti z oblasti umělé inteligence. Ve veřejné správě a v ozbrojených silách se potýkají nejčastěji s implementací konceptu nulové důvěry. Bezpečnostní týmy poskytovatelů infrastrukturních služeb a zpracovatelského průmyslu vnímají své největší mezery v oblasti provozních technologií a jejich zabezpečení.
Specifická rozdílnost panuje také mezi aktivními profesionály kybernetické bezpečnosti a manažery, kteří najímají nebo hledají vhodné uchazeče. Neshodují se především v tzv. měkkých dovednostech. Až na výjimky jim praktici přikládají nižší prioritu než manažeři recruitmentu a naopak upřednostňují technické znalosti.
Převažující podstav
Skoro šedesát procent respondentů studie organizace ISC2 letos konstatovalo, že díky nedostatku specialistů na kybernetickou bezpečnost jsou jejich organizace vystaveny významnému riziku.
Už jen tato skutečnost totiž představuje využitelnou zranitelnost. A podstav bezpečnostních týmů indikovalo 67 procent respondentů. Stejnou hodnotu uvedli již dva roky v řadě.
Článek vyšel v magazínu CIO BW 5/2024.
CIOtrends si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU