Fenomenul „Skill Shortage” în domeniul securităţii cibernetice – o urgenţă globală

Fenomenul „Skill Shortage” în domeniul securităţii cibernetice – o urgenţă globală

84

Într-un scenariu în care amenințările cibernetice devin tot mai sofisticate și se pot schimba în timp, nevoile echipelor de securitate se schimbă în mod constant, necesitând personal din ce în ce mai specializat capabil să facă față unui mediu în continuă schimbare.

Din nefericire, această sarcină deja solicitantă a companiilor de a se proteja împotriva ameninţărilor cibernetice este agravată de lipsa de calificare, adică de lipsa de expertiză în domeniul securităţii cibernetice. Fenomenul „Skill Shortage/Deficit de specialiști” se transformă într-o vulnerabilitate a organizaţiilor.

În 2017 se estima că până în 2022 va exista un deficit global de 1.8 milioane de oameni, însă deja la sfârșitul anului 2018, confom unei estimări realizate de ISC2, deficitul era 2.93 milioane 1 . Se estimează că până în 2021 se va ajunge la 3.5 milioane de poziţii neocupate.

Pentru a analiza și a descoperi metode de a atenua efectele acestui fenomen, fundaţia Global Cyber Security Center a finanţat și a sprijinit un proiect de cercetare realizat de cercetători din cadrul Universităţii Oxford 2 .

Obiectivul studiului a fost analizarea caracteristicilor și a cauzelor acestui deficit și ce acţiuni de diminuare a fenomenului ar trebui să fie implementate de către 12 ţări care au cel mai ridicat index 3 de dezvoltare în domeniul TIC și al securităţii cibernetice.

Studiul a arătat un fenomen foarte complex, cu cauze atribuite unor factori multipli. În ţări precum Australia, Japonia, Marea Britanie și SUA au existat dificultăţi în a asigura echilibrul dintre ofertele și cererile de locuri de muncă din industria de securitate cibernetică.

Doar pe piaţa americană, în perioada septembrie 2017 – august 2018, din 715.715 locuri de muncă disponibile, 313.735, adică aproape 50% dintre ele, au rămas neocupate.

În Australia, erau 80.000 de poziţii neocupate în 2013 iar în 2016 erau 132.060, estimându-se că în 2020 se va depăși valoarea de 193.010. Planul Australian de Competitivitate în Sectorul Securităţii Cibernetice menţionează clar că ţara va avea nevoie în acest sector de un număr suplimentar de experţi, între 7.500 și 11.000 de resurse, până în 2026 (Australian Cyber Security Growth Network, 2017).

Deficitul este mai ales la nivelul poziţiilor tehnico-operaţionale, așa cum este evident, de exemplu, pe pieţele australiene și americane, unde cele mai căutate profile sunt cele care au legătură cu „Operare & Menţinere”, „Asigurarea a securităţii” și „Protecţie & Apărare”, categorii ale cadrului NICE din NIST.

Informaţiile cu privire la piaţa americană au fost obţinute cu ajutorul CyberSeek, un instrument care oferă o privire de ansamblu asupra ofertei și cererii din domeniul securităţii cibernetice. Cariera profesională este urmărită de la nivel de începător până la avansat. Pentru fiecare poziţie sunt indicate salariul mediu, denumiri conexe, training-uri precum și ce competenţe, abilităţi și certificări sunt necesare.

Se observă, spre exemplu, ca profilele de Inginer, Analist și Manager/ Administrator Securitate Cibernetică sunt cele mai solicitate iar poziţiile de Arhitect Securitate Cibernetică, Manager Securitate Cibernetică și Inginer Securitate Cibernetică sunt cele mai bine remunerate.

Studiul arată și că există o lipsă de omogenitate la nivelul definirii și implementării politicilor naţionale de atenuare a fenomenului „Skill Shortage” la nivelul celor mai puternice 12 ţări din domeniul TIC și securitate cibernetică.

Politicile au fost analizate în funcţie de dimensiune: la nivel de școală primară și secundară, la nivel de școală profesională și vocaţională, la nivel universitar și de cercetare și la nivelul forţei de muncă.

În toate ţările s-a investit la nivel de universitate, cercetare și la nivelul forţei de muncă, existând însă și iniţiative generale care implică școlile primare și secundare, precum și programele vocaţionale și profesionale.

Stadiul implementării și nivelul de maturitate al politicilor variază de la ţară la ţară. Însă guvernele care au mai multă experienţă, sunt mai conștiente de acest deficit de specialiști/abilităţi dar sunt și mai mature sunt guvernele din Marea Britanie, Japonia și Australia.

Regatul Britanic a făcut investiţii semnificative. Există iniţiative importante pentru studenţi cum sunt Cyber First, Cyber Challenge, Cyber Security Discovery și Cyber Security Skills Immediate Impact Fund. Cyber First pune la dispoziţia studenţilor cursuri de formare în domeniul securităţii cibernetice. Programul asigură burse în valoare de 4.500 de euro, stagii plătite de training precum și activităţi extra-curiculare de training pe durata verii. Femeile au un rol important în cadrul Cyber First. Pentru a crește numărul de femei angajate, a fost dezvoltat un program special numit Cyber First Girl. Acest program include și o competiţie, la care în 2018 au participat aproximativ 3.400 de fete din 842 de școli. O altă iniţiativă importantă în domeniul competiţiilor de securitate cibernetică o reprezintă Cyber Discovery, o competiţie organizată de guvernul britanic. Acest program conţine provocări adresate tinerilor între 12 și 18 ani, fiind împărţit în 4 faze în care elevii au parte de training-uri dedicate cu experţi specializati în domeniul cursurilor respective și au parte apoi de provocări online reale pe teme de Linux, criptare sau programare. Marea Britanie are un plan de acţiune diversificat. De asemenea, în scopul combaterii fenomenului „Skill Shortage”, a fost deja activat un alt program prin care indivizi care nu au încă un loc de muncă sunt formaţi și apoi sunt angajaţi în domeniul securităţii cibernetice. Acest program se adresează organizaţiilor și asociaţiilor care vor să implementeze propriile programe de creștere și diversi fi care a resurselor din domeniu securităţii cibernetice.

Acest fenomen este prezent și în Italia, care a inclus în politicile sale naţionale (cum este Planul Naţional pentru protecţie cibernetică și securitate IT) obiectivul dezvoltării abilităţilor din domeniul securităţii cibernetice. Totuși încă nu a fost definită o politică naţională cu privire la reducerea deficitului de abilităţi, există câteva iniţiative spontane în cadrul unor organizaţii și organisme.

Relevantă pentru securitatea IT ar fi politica implementată prin intermediul Planului Naţional Școala Digitală. Acesta are obiective și acţiuni specifice atât pentru dezvoltarea la nivelul elevilor și profesorilor a abilităţilor digitale, cât și pentru a promova antreprenoriatul și munca, în scopul final de a limita distanţa digitală dintre abilităţi și posibilităţile de angajare.

Numeroase rapoarte oficiale și neoficiale din Italia recunosc existenţa problemei deficituIui de specialiști din domeniul securităţii cibernetice. Departamentul de Securitate a Informaţiilor a recunoscut încă din 2017 că Italia are o problemă foarte mare legată de educaţia din domeniul securităţii cibernetice, iar CINI (Consorzio Interuniversitario Nazionale per l’Informatica,) a subliniat într-un raport din 2018 că politicile educaţionale din domeniul securităţii cibernetice nu sunt suficiente. Studii realizate de Kaspersky Lab în 2018, Observatorul Competenţelor Digitale din 2017 dar și Barometrul de Securitate Cibernetică confirmă faptul că în Italia există dificultăţi în activitatea de recrutare a profesioniștilor din domeniul securităţii cibernetice

Pentru a putea înţelege adevăratele nevoi ale organizaţiilor italiene, a fost propusă implementarea unui sondaj online anonim, adresat funcţiilor CISO din cadrul marilor companii italiene (mai mult de 50% dintre organizaţii au peste 500 de angajaţi), realizându-se și interviuri cu reprezentanţi ai administraţiei publice și ai lumii academice.

Din punctul de vedere al organizaţiilor, CISO italieni au recunoscut că există dificultăţi în identificarea resurselor pentru domeniul securităţii cibernetice.

De fapt, acest sondaj arată că 75% dintre companii întâmpină dificultăţi serioase în ceea ce privește găsirea candidaţilor pentru angajare în domeniul securităţii cibernetice, iar 50% dintre companii se chinuie să găsească un singur candidat pentru fiecare poziţie liberă existentă. De cele mai multe ori există doar candidaţi cu experienţă operaţională limitată.

Cele mai solicitate abilităţi în Italia sunt: managementul securităţii cibernetice, răspunsul la incidente, analiza ameninţărilor, managementul riscurilor, investigarea cibernetică, operaţiuni cibernetice și în special, în domeniul privat, criminalistică digitală.

Astfel, cu toate că de cele mai multe ori companiile solicită la angajare o experienţă profesională minimă de 1-3 ani, ele sunt dispuse ca, pentru a ocupa poziţiile libere, să angajeze și proaspăţi absolvenţi de facultate pentru a-i forma.

Totuși, lipsa de experienţă profesională nu este singurul obstacol existent la nivelul pieţei actuale de muncă din domeniul securităţii cibernetice. Deși această lipsă este principala cauză a neocupării locurilor de muncă, totuși unele companii recunosc că nu oferă întotdeauna salarii și beneficii potrivite actualelor niveluri ale pieţei.

CISO din Italia consideră că unele dintre principalele cauze ale fenomenului discutat sunt de fapt pe de o parte lipsa de abilităţi practice ale resurselor umane și pe de altă parte neadecvarea salariilor și a beneficiilor la nivelul pieţei internaţionale de referinţă. De fapt, puţinii candidaţi italieni care au aceste abilităţi, solicitate de companii, se îndreaptă către piaţa internaţională pentru a-și asigura venituri mai mari și o stabilitate sporită.

Un alt factor critic este capacitatea sistemului educaţional italian de a pro duce un număr suficient de candidaţi care au cunoștinţele și abilităţille necesare. Sondajul arată că, de fapt, în Italia sistemul academic garantează, în special celor din domeniile Inginerie sau Automatică și Calculatoare, cunoștinţe din domeniul securităţii cibernetice, dar doar la nivel teoretic. Lipsesc practica și operaţionalizarea care să permită integrarea imediată în lumea muncii.

În general sistemul educaţional italian nu reacţionează rapid la noile tendinţe, inclusiv cele din domeniul formării IT. Pe lângă faptul că formarea nu este actualizată, nu există nici profesori universitari. Apar noi specializări universitare, dar totuși ele sunt insuficiente sau se concentrează excesiv pe aspectele teoretice și nu pe cele operaţionale din domeniul securităţii cibernetice.

Din interviuri a reieșit și faptul ca nu există o cultură a siguranţei, aceasta este percepută ca fiind costisitoare și solicitantă, și nu contribuie la dezvoltarea afacerii. Interviurile au confirmat în mai multe rânduri că, în contexte complexe, când nu este posibil să faci strategii în domeniul securităţii informaţionale, experţii în securitate cibernetică sunt rari și costisitori, iar profilele cele mai căutate sunt cele care care nu au pregătirea potrivită pentru a se angaja în contexte operaţionale imediate. Un alt factor critic este reprezentat de salarii, acestea sunt foarte scăzute și nu sunt aliniate pieţei internaţionale, aceasta este și una dintre cauzele fenomenului de „migraţie a creierelor” de pe teritoriul naţional.

Scenariul italian, așa cum reiese din acest studiu, nu este unul izolat, ci se află pe aceeași linie cu scenariul internaţional, așa cum reiese din studii realizate la nivel global de către ISACA 4 . În cadrul acestor studii s-a demonstrat că fenomenul este de largă amploare, fiind nevoie de o perioadă de 30 de zile pâna la aproape 6 luni (sau mai mult) pentru identificarea unui candidat calificat pentru ocuparea poziţiilor organizaţionale libere. Conform studiului ISACA mai puţin de 50% dintre candidaţi nu sunt calificaţi pentru postul de lucru, conform cerinţelor companiilor. Se subliniază că nu există atât o pregătire tehnică și operaţionala suficientă cât și o înţelegere a afacerilor din domeniul securităţii cibernetice.

Fenomenul „Skill Shortage” în domeniul securităţii cibernetice, așa cum este descris și demonstrat în cadrul raportului internaţional „Mind the Gap”, se resimte puternic la nivel internaţional, în ţări precum Marea Britanie, Australia sau Japonia, ţări care investesc puternic atât din punct de vedere economic cât și la nivel de politică de combatere a deficitului.

Prin comparaţie între Italia și Marea Britanie, una dintre ţările cu cea mai sofisticată abordare a fenomenului de deficit de abilităţi în domeniul securităţii cibernetice, se observă că implicarea financiară a Italiei în acest domeniu și în educaţie este mai scăzută.

Marea Britanie are o abordare naţională pentru acest fenomen, atât la nivel de politici, cât și la nivel de formare a noilor generaţii. Între 2011 și 2016 au existat investiţii de 38.2 milioane de Euro în programe de formare și educaţie. Iar în acest moment se lucrează la o nouă strategie de creare a abilităţilor în securitate cibernetică, care ar trebui publicată până la sfârșitul 2019. 5 Între 2011 și 2016 pentru securitate cibernetică a fost alocată de la bugetul de stat suma de aproximativ 1 miliard de euro, sumă care a crescut la 2.2 miliarde pentru perioada 2016-2021.

Nu este foarte clar cât cheltuie Italia pentru securitate cibernetică, dar în planul strategic din 2017 se reiterează faptul că nu trebuie cheltuite sume suplimentare de la bugetul de stat pentru politica de securitate cibernetică. Guvernul a creat un nou fond de finanţare pentru securitate cibernetică, alocat Ministerului Apărării, în valoare de 3 milioane de euro pentru perioada 2019-2021.

În mod sigur Italia s-a inspirat din modelul adoptat de Marea Britanie, luându-se însă în considerare diferenţele dintre cele două ţări, pentru a elabora câteva iniţiative de reducere a fenomenului de „Skill Shortage” în domeniul securităţii cibernetice.

S-ar putea astfel defini o soluţie la nivel naţional pentru acest fenomen, soluţie care să implice Guvernul, Industria și Sistemul Educaţional, ar trebui desemnat un organism naţional unic responsabil pentru elaborarea unor politici relevante și ar trebui alocat un buget potrivit, comparativ cu cel al oricărei alte instituţii publice care implementează politici în educaţie și abilităţi.

Politicile prioritare ale statului italian ar trebui să aibă în centru: tranziţia școală-muncă, educaţie superioară și preuniversitară, dezvoltarea unor campanii prin care femeile să fie încurajate să participe la training-uri în domeniul securităţii cibernetice, în scopul promovării angajării femeilor în acest sector.

Autori: Elena Agresti, Marco Fiore