Το παράδοξο της παράλληλης ύπαρξης υψηλής ανεργίας και έλλειψης ταλέντου επιβεβαιώνεται κάθε χρόνο από πληθώρα διεθνών ερευνών. Στον τομέα της Ασφάλειας Πληροφοριών, το πρόβλημα έχει πάρει ιδιαίτερα μεγάλες διαστάσεις, καθώς οι οργανισμοί δυσκολεύονται να βρουν στελέχη για την ικανοποίηση των εξειδικευμένων και ολοένα πιο σοβαρών απαιτήσεων του τμήματος.

Σύμφωνα με έρευνα του ISACA για το 2015, το 53% των οργανισμών χρειάζεται τουλάχιστον τρεις μήνες για να καλύψει μια θέση cybersecurity, ενώ το 9% αυτών δεν κατορθώνει ποτέ να βρει τον κατάλληλο υποψήφιο. Κατά την ίδια περίοδο, το “The 2015 (ISC)2 Global Information Security Workforce Study” πιστοποιούσε ότι το 62% των οργανισμών εκτιμά ότι τα τμήματα information security είναι υποστελεχωμένα. Σύμφωνα με την ίδια έρευνα, το 2020 θα υπάρχει έλλειμμα της τάξης του 1,5 εκατομμυρίου θέσεων για επαγγελματίες information security. Τα στελέχη που συμμετέχουν στις έρευνες επισημαίνουν ότι η δυσκολία εύρεσης στελεχών με τις κατάλληλες cybersecurity δεξιότητες έχει ως αποτέλεσμα συχνές και κοστοβόρες διαρροές δεδομένων. Μάλιστα, στην πρόσφατη έρευνα “Hacking the Skills Shortage” η οποία πραγματοποιήθηκε από την Intel Security και το Center for Strategic and International Studies (CSIS) σε 8 χώρες, το 71% των οργανισμών δήλωσε ότι η έλλειψη ταλαντούχων στελεχών στον τομέα της Ασφάλειας Πληροφοριών έχει άμεση και μετρήσιμη ζημία στην επιχειρηματική δραστηριότητα, ενώ το 33% τόνισε τα προβλήματα υποστελέχωσης τους στο cubersecurity είναι γνωστά στους hackers και εκμεταλλεύσιμα από αυτούς.

Όταν τα… hard skills είναι το πρόβλημα
Οι συμμετέχοντες στην έρευνα του ISACA δηλώνουν ότι παραπάνω από τα μισά βιογραφικά που υποβάλλονται για τη θέση δεν διαθέτουν τις hands-on δεξιότητες που απαιτεί η δουλειά (νούμερο ένα αποτρεπτικός παράγοντας) ενώ αρνητικό ρόλο παίζει και η έλλειψη πιστοποιήσεων. Όμως οι συμμετέχοντες στην έρευνα του ISACA διαπιστώνουν κενό δεξιοτήτων και γνώσεων και στο υφιστάμενο προσωπικό Ασφάλειας Πληροφοριών, επισημαίνοντας ως σημαντικότερες ελλείψεις την κατανόηση του business (75%) αλλά και την ικανότητα επικοινωνίας και τεχνικές δεξιότητες (61%). Η αδυναμία κατανόησης του business και η όχι και τόσο αποτελεσματική επικοινωνία είναι προβλήματα που οι ηγέτες της τεχνολογίας συναντούν και σε άλλους τομείς της Πληροφορικής. Στην περίπτωση του information security όμως, η έλλειψη κατάρτισης είναι το πραγματικό πρόβλημα. Η έρευνα του CSIS διακρίνει τα intrusion detection, secure software development και attack mitigation ως τις πλέον δυσεύρετες δεξιότητες στους επαγγελματίες Ασφάλειας Πληροφοριών.

Την ίδια στιγμή, ο ψηφιακός μετασχηματισμός του επιχειρείν φέρνει την ψηφιακή ασφάλεια κοντά σε μη ευάριθμες λειτουργίες του οργανισμού: ως εκ τούτου, οι information security επαγγελματίες καλούνται πλέον να έχουν γνώση αντικειμένων όπως Software Architecture, Network Attached Storage (NAS), Software Issue Resolution, Internet Security, Legal Compliance, Data Communications, Platform as a Service (PaaS), Computer Forensics, Internal Auditing και Apache Hadoop (αυτές είναι οι πιο “σπάνιες δεξότητες” στο πεδίο του cybersecurity, σύμφωνα με το Job Market Intelligence: Cybersecurity Jobs, 2015–2016 Burning Glass Technologies). Τις τάσεις διαμορφώνει και η ολοένα και στενότερη σύνδεση της Ασφάλειας Πληροφοριών με την κανονιστική συμμόρφωση, καθώς, σύμφωνα με το Partnership for Public Service, οι γνώσεις των οποίων η ζήτηση αυξάνει με γρηγορότερους ρυθμούς αφορούν, μεταξύ άλλων, σε Audit Planning,HIPAA (πρόκειται για το πλαίσιο προστασίας δεδομένων σε οργανισμούς υγείας), Risk Management και Internal Auditing.

Φάκελος εκπαίδευση
Το πρόβλημα στη στελέχωση των τμημάτων Ασφάλειας Πληροφοριών αφορά εξόχως στην προσφορά δεξιοτήτων, και όχι τόσο σε αδυναμία προσέλκυσης κατάλληλων υποψηφίων. Σύμφωνα με την έρευνα του CSIS, ο μέσος μισθός ενός cybersecurity επαγγελματία είναι 2,7 πάνω από τον μέσο όρο μισθών της αγοράς, ενώ η επένδυση για Ασφάλεια Πληροφοριών (η οποία περιλαμβάνει κονδύλια για ανάπτυξη και εκπαίδευση προσωπικού) αναμένεται να αυξηθεί από 7,4% έως και 16% μέσα στα επόμενα χρόνια.Οι οργανισμοί είναι πρόθυμοι να δώσουν χρήματα για την προσέλκυση ταλέντου και την ανάπτυξη επαγγελματιών, ωστόσο κανέναν χρηματικό αντίτιμο δεν μπορεί να δημιουργήσει δεξιότητες που δεν υπάρχουν -όχι βραχυπρόθεσμα τουλάχιστον. Τα στοιχεία καταδεικνύουν ενδιαφέρουσες αντιθέσεις. Η έρευνα του ISACA αναδεικνύει το on-the-job training, την εκπαίδευση από vendors λύσεων information security και την αυτο-διδασκαλία ως τις πιο δημοφιλείς μεθόδους εκπαίδευσης επαγγελματιών Ασφάλειας Πληροφοριών.

Εντούτοις, οι μέθοδοι αυτές, από μόνες τους, δεν αρκούν για να λύσουν το πρόβλημα: είναι χαρακτηριστικό ότι το 87% των οργανισμών δεν έχουν εμπιστοσύνη στην ικανότητα των ομάδων cybersecurity να αποκρούσουν μια ψηφιακή επίθεση. Αξίζει επίσης να αναφερθεί ότι, σε αντίθεση με άλλους επαγγελματικούς τομείς, η εμπειρία δεν αποτελεί εχέγγυο αποτελεσματικότητας στο cybersecurity: στο 92% των οργανισμών, οι επαγγελματίες Ασφάλειας Πληροφοριών έχουν περισσότερα από 3 χρόνια εμπειρίας και στο 73% περισσοτερα από πέντε.

Τέσσερις στους δέκα συμμετέχοντες στην έρευνα του CSIS θεωρούν το πτυχίο πανεπιστημίου ως απαραίτητο προσόν για την πρόσληψη στο τμήμα Ασφάλειας Πληροφοριών. Εντούτοις, μόλις το 7% των ακαδημαϊκών ιδρυμάτων στις χώρες που διεξήχθη η έρευνα (ΗΠΑ, Μ. Βρετανία, Γαλλία, Γερμανία, Ισραήλ, Ιαπωνία, Μεξικό και Αυστραλία) προσφέρει κάποιον τίτλο σπουδών σχετικό με την ασφάλεια πληροφοριών και μόλις το ένα τρίτο των πανεπιστημίων διαθέτει κάποιο εξειδικευμένο μεταπτυχιακό πρόγραμμα σπουδών. Ως εκ τούτου, μόλις το 23% των συμμετεχόντων στην έρευνα εκτιμά ότι το πανεπιστήμιο μπορεί να προετοιμάσει κατάλλλα ένα άτομο για σταδιοδρομία στην Ασφάλεια Πληροφοριών. Με λίγα λογια, οι περισσότεροι οργανισμοί διαθέτουν έμπειρα στελέχη με πτυχίο στο τμήμα Ασφάλειας Πληροφοριών, όμως και πάλι δεν μπορούν να εγγυηθούν ότι οι γνώσεις τους επαρκούν για τη θωράκιση του οργανισμού ενάντια στις ψηφιακές απειλές.

Hackers, robots και… περισσότερο training
Δεδομένου ότι η ψηφιακή ασφάλεια των οργανισμών επηρεάζει πλέον άμεσα την ικανότητά τους να λειτουργούν, να καινοτομούν και να αναπτύσσουν προϊόντα για τους πελάτες τους, η εκπαίδευση των στελεχών Ασφάλειας Πληροφοριών αποτελεί κρίσιμη επένδυση. Για τη συμπλήρωση του κενού που υπάρχει ανάμεσα στην πανεπιστημιακή εκπαίδευση και το on the job training, συνίσταται η χρηματοδότηση παρακολούθησης προγραμμάτων επαγγελματικής εκπαίδευσης για την απόκτηση σχετικών με το αντικείμενο πιστοποιήσεων.

Η αυτοματοποίηση των διαδικασιών και η χρήση της τεχνητής νοημοσύνης αποτελεί μια ακόμα λύση για την ενίσχυση των δεξιοτήτων και γνώσεων του τμήματος Ασφάλειας Πληροφοριών. Αξίζει να αναφερθεί ότι σύμφωνα με το IBM Institute for Business Value, περίπου το 60% των επαγγελματιών που δραστηριοποιούνται στον τομέα της ΙΤ ασφάλειας θεωρούν πως οι αναδυόμενες τεχνολογίες cognitive θα αποτελέσουν κρίσιμο μέρος για την συνολικότερη αλλαγή της εικόνας και των εν γένει δεδομένων που ισχύουν στον πόλεμο εναντίον του κυβερνοεγκλήματος -υπενθυμίζεται ότι η ψηφιακή ασφάλεια αποτελεί πεδιο εφαρμογής του IBM Watson.

Τέλος, μια λύση που προβάλλεται ολοένα και περισσότερο αφορά στον… προσυλητισμό black hat hackers στο ethical hacking και στον επιχειρηματικό κόσμο. Είναι χαρακτηστικό ότι ακόμα και μη τεχνολογικές εταιρείες, όπως είναι η Nike, διοργανώνουν event γνωριμίας με hackers. Η ένταξη ταλαντούχων hackers σε επιχειρηματικά περιβάλλοντα ενέχει σημαντικές προκλήσεις, ενώ κάποιοι αναλυτές επισημαίνουν ότι, εκτός Ε.Ε. Και ΗΠΑ, σε χώρες όπου σπάνια καταδικάζονται hackers, δεν υπάρχουν κίνητρα ένταξης στον κόσμο των επιχειρήσεων.