مهارت‌های پرتقاضای امنیت سایبری در سال 2021

مهارت‌های امنیتی متناسب با تهدیدهای سایبری مدام در حال رشد و تکامل هستند. در این مطلب از فراست به بررسی حوزه‌هایی می‌پردازیم که به باور کارشناسان، بیشترین حجم تقاضا را در سال آینده میلادی خواهند داشت.

 

جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستم‌های اطلاعاتی (ISSA[1]) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد امنیتی اعتماد صفر شرکت وی گرفته تا پیاده‌سازی ابر با امنیت کامل و همچنین راهکارهای یادگیری ماشینی را به خوبی مدیریت کند. اعضای تیم او باید بتوانند همه این کارها را در مقیاس بزرگ انجام داده و با سرعتی که متناسب با نیازهای کاری، تحول فناوری و سرعت تغییر تهدیدات سایبری باشد، مهارت‌های خودشان را ارتقا دهند.

به گفته سندرز، یکی از مهمترین مهارت‌های مورد نیاز برای سال 2021، «راحت کنار آمدن با تغییر» و «قابلیت هماهنگ شدن خودکار با فعالیت های کاری» است. وی البته اذعان داشته که این موضوع، خواسته بزرگی است. به گفته او: «تقاضای بسیار بالایی برای افرادی که این توانایی‌ها را داشته باشند وجود دارد». در واقع سرعت رشد حجم تقاضا برای استعدادهای حوزه امنیت سایبری از سرعت تأمین آن بالاتر است.

در گزارش سال 2020 ISSA و گروه راهبرد سازمانی (ESG[2]) اعلام شد که 70 درصد از اعضای ISSA بر این باور هستند که کمبود مهارت‌های امنیت سایبری در سطح جهان، بر سازمان‌ها تأثیرگذار بوده و مطالعات انجام شده در خصوص نیروی کار امنیت سایبری هم در سال 2020 نشان داد که 64 درصد از کارشناسان امنیت سایبری، در سازمان خودشان کمبود مهارت را احساس می‌کنند.

با این حال، آمارهای ارایه شده تنها بخش کوچکی از ماجرا هستند. به گفته مدیران امنیت، نه تنها پیدا کردن افراد دارای شرایط برای کار در این حوزه مشکل بزرگی است بلکه یافتن مهارت‌های مورد نیاز بین منابع انسانی فعلی هم کار سختی می باشد. البته با توجه به فهرست طولانی مهارت‌های مورد نیاز امروزی، این موضوع جای تعجب ندارد.

در واقع، کارشناسان امنیت سایبری به نیرویی فراتر از یک گواهینامه یا تجربه کار با تعدادی ابزار کلیدی نیاز دارند. آنها به دنبال ترکیب مناسبی از چندین مهارت امنیتی به همراه مهارت‌های شخصی، کاری و فنی هستند؛ زیرا مشاغل حوزه امنیت به ترکیبی از وظایف مختلف تبدیل شده اند که رشته‌های متفاوتی را در برمی گیرند.

به گفته Will Markow مدیر شرکت تحلیل نیروی کار Burning Glass Technologies که سال 2019 یک گزارش جامع درباره ادغام مشاغل مختلف منتشر کرده: «امروزه کسب‌­وکارها معمولاً به دنبال اشخاصی نیستند که فقط توانایی انجام یک کار خاص را دارند. با توجه به حجم بالای تهدیدات سایبری و روش‌های مختلفی که برای نفوذ به سیستم‌ها وجود دارد، بدون داشتن یک مجموعه کامل از مهارت‌ها و اطلاعات لازم نمی ­توان به یک کارشناس کارآمد در زمینه امنیت سایبری تبدیل شد».

فهرست مشاغل پرتقاضا در سال 2021 هم این روند را نشان می‌دهد. به گفته مدیران امنیت سایبری، آنها به دنبال افرادی هستند که مهارت‌های لازم در حوزه‌های مختلف و الزامات مورد نیاز در زمینه امنیت کسب‌وکارها را داشته باشند. در ادامه این مطلب، مروری بر 10 حوزه‌ای که بیشترین تقاضا برای آنها وجود دارد و همچنین دلیل وجود آنها خواهیم داشت.

 

1. شناسایی و مدیریت مخاطره

Jorge Rey مدیر ارشد امنیت اطلاعات شرکت Kaufman Rossin به دنبال کارمندانی در حوزه امنیت است که شرکت او و صنعتی که در آن فعالیت دارد را درک کنند. به همین دلیل وی به کاهش میزان جا به جایی کارمندان اهمیت زیادی می‌دهد. او معتقد است که کارمندان قدیمی، بینش تجاری لازم را در اختیارش قرار می‌دهند و این بینش در ترکیب با تخصص امنیت سایبری و مهارت فنی، به آنها برای تعیین اولویت تهدیدات سایبری و مهمترین مخاطرات در شرکت وی کمک می‌کند تا بتواند بودجه محدود فعلی را برای کارهای مهم اختصاص دهد.

به گفته او: «بهترین راه برای مقابله با تهدید، شناسایی مخاطره است. بنابراین ما به دنبال اشخاصی هستیم که در زمینه حاکمیت و راهبرد، مهارت داشته باشند و بتوانند بهترین راهکارها را مشخص کنند؛ مناسب‌ترین فناوری‌ها یا ارایه‌دهندگان فناوری‌ها را پیدا کرده یا ظرفیت لازم را در خود سازمان ایجاد نمایند».

سایرین نیز مدیریت مخاطره را جزو مهمترین مهارت‌های مورد نیاز برای سال 2021 می‌دانند. Burning Glass آن را جزو یکی از مهارت‌های امنیتی دانسته که در 5 سال آینده بیشترین تقاضا را خواهد داشت و اشخاصی که در این زمینه تخصص داشته باشند می‌توانند بیشتر از 10 هزار دلار در سال حقوق بگیرند. Markow نیز گفته: «مدیران ارشد امنیت اطلاعات نیاز به اشخاصی دارند که یک رویکرد مبتنی بر مخاطره را برای امن‌سازی زیرساخت‌های دیجیتالی در پیش بگیرند».

 

2. مبانی فنی

مدیران ارشد امنیت اطلاعات به دنبال افرادی با مهارت‌های فنی کلی هستند و می‌گویند نمی‌توانند ریسک کرده و طرح‌های امنیتی را بدون درک بخش‌های IT تشکیل دهنده زیرساخت، برای دنیای دیجیتال تهیه کنند. Matthew Rogers مدیر ارشد امنیت اطلاعات در شرکت Syntax می‌گوید: «داشتن مهارت‌های برنامه نویسی، مدیریت سیستم‌ها و شبکه بسیار مهم است چون مهارت‌های امنیتی بدون داشتن درک کاملی از نحوه ایجاد راهکارهای مختلف بر مبنای آنها کامل نیستند».

شرکت مشاوره PwC هم آگاهی در حوزه فناوری را برای کارشناسان امنیتی بسیار مهم دانسته و داشتن اطلاعات درباره بلاک‌های سازنده دیجیتال را یکی از سه حوزه تخصصی بسیار مهم (مهارت‌های دیجیتال، دانش کسب و کاری و مهارت‌های اجتماعی) برای طراحی یک برنامه امنیتی کارآمد می‌داند.

Joe Nocera مدیر و رهبر مؤسسه ابتکارات حریم خصوصی و سایبری در PwC گفته مدیران امنیت به دنبال کارمندانی هستند که با معماری‌ها، راهکارهای ثبت گزارش، نحوه نظارت، مدیریت هویت و احراز هویت آشنایی داشته و تخصص لازم را درباره کسب­‌وکار و راهکارهای امنیتی داشته باشند.

Jack O’Meara یکی از مدیران ارشد امنیت اطلاعات باسابقه که حالا مدیر راهکارهای امنیت سایبری شرکت Guidehouse است، با این دیدگاه موافق بوده و می‌گوید: «افراد من باید در زمینه فناوری‌هایی که قصد پیاده‌سازی آنها را دارم، تخصص لازم را داشته باشند. آنها باید درک کاملی از نحوه عملکرد فناوری داشته باشند چون در غیر این صورت نمی‌توانند تشخیص دهند که مهاجمان چگونه از این فناوری‌ها سوءاستفاده می‌کنند».

 

3. تحلیل و مدیریت داده‌ها

بخش امنیت سایبری از جمله بخش‌هایی است که بیشترین حجم داده را در سازمان‌ها تولید می‌کند و در بسیاری از سازمان‌ها یکی از بزرگترین مصرف کنندگان داده نیز محسوب می‌شود؛ چون سعی دارد از این اطلاعات برای رسیدن به راهبردهای دفاعی کارآمد و اثربخش استفاده کند.

به گفته Brandon S. Dunlap، یکی از مسئولان مدیریت مخاطره و امنیت سایبری مؤسسه تحقیقاتی گارتنر: «آنها سعی دارند از حجم انبوه داده‌هایی که در اختیارشان قرار دارد به اطلاعات برسند». وی می‌گوید مدیران ارشد امنیت اطلاعات بیش از پیش به دنبال جذب کارشناس داده، مدیر و مسئول داده‌ها هستند.

 

4. DevSecOps

امروزه سازمان‌ها به سمت DevSecOps روی آورده‌اند. بنابراین آنها سعی می‌کنند ملاحظات امنیتی را در هنگام طراحی برنامه‌های کاربردی و فاز توسعه آنها در نظر بگیرند تا بتوانند برنامه‌های امن‌تری طراحی کنند. چنین امری مستلزم جذب کارشناسان امنیتی دارای تخصص و دانش در زمینه توسعه نرم‌افزار و عملیات است.

Jeffrey Weber مدیر اجرایی شرکت Robert Half Technology که در زمینه جذب نیروی IT فعالیت دارد، می‌گوید: «در چند سال اخیر پی بردیم که مخاطرات امنیتی در خود برنامه‌های کاربردی قرار دارند. بنابراین به نرم‌افزارهایی نیاز داریم که امنیت از همان ابتدا در آنها نهادینه شده باشد». Burning Glass نیز جایگاه اول فهرست مهارت‌هایی با بیشترین میزان رشد را متعلق به امنیت در توسعه برنامه‌های کاربردی دانسته و انتظار دارد میزان تقاضا برای این مهارت، ظرف 5 سال آینده 164 درصد افزایش پیدا کند.

 

5. ابر

استفاده روزافزون و گسترده از فناوری ابر و به ویژه راهبرد چندابری باعث افزایش تقاضا برای کارمندانی شده که در زمینه پیاده‌سازی ابر تخصص دارند و می‌توانند آن را با راهبرد امنیت سازمان ادغام کنند. برای مثال Rey می‌گوید به دنبال افرادی است که در زمینه یک یا چند مورد از پلتفرم‌های ابر عمومی (وب سرویس‌های آمازون، آژور و گوگل) و همچنین زیرساخت ابر خصوصی تخصص داشته باشند. وی می‌گوید: «به نظر من امنیت ابر نیاز به دانش در حوزه‌های مختلف دارد؛ هدف، طراحی شبکه‌ای امن در محیط ابر است».

 

6. خودکارسازی

ESG در گزارشی با عنوان «زندگی و دوره کارشناسان امنیت سایبری» که در سال 2020 میلادی منتشر کرده، می‌گوید می‌توان برای مقابله با کمبود مهارت‌های امنیت سایبری از خودکارسازی استفاده کرد. کارشناسان نیز با این دیدگاه هم عقیده هستند و می‌گویند خودکارسازی کارهای پیچیده می‌تواند باعث ارتقای بهره وری و کارایی شده و همچنین به کارمندان کمک می کند وقت خودشان را صرف کارهای پیچیده‌تری کنند که فقط انسان‌ها قادر به انجام آنها هستند.

در عین حال باید توجه داشت خودکارسازی فعالیت های امنیتی، نیازمند کارشناسان امنیت است که در زمینه پیاده‌سازی راهکارهای خودکارسازی تخصص دارند. Rey هم جزو مدیران ارشد امنیت اطلاعاتی است که باور دارد خودکارسازی می‌تواند به پر کردن خلأ مهارت کمک کند. به گفته او هر شخصی که در حوزه امنیت یا فناوری اطلاعات کار می‌کند باید مهارت‌های خودکارسازی را داشته باشد. وی به دنبال اشخاصی است که قادر به شناسایی کارهای قابل خودکارسازی و اجرای فرایندهای خودکارسازی با استفاده از پایتون، پاورشل و سایر زبان‌های اسکریپت نویسی هستند.

 

7. شکار تهدید

شکار تهدید یک راهبرد امنیت سایبری نسبتاً جدید است که توجه زیادی را در سطح جهان به خود جلب کرده و بر اساس نظرسنجی که در سال 2020 توسط شرکت DomainTools انجام شد، 93 درصد از سازمان‌ها شکار تهدید را جزو اولویت‌های اصلی برای فراهم شدن امکان تشخیص سریع و کاهش مخاطره می‌دانند. افزایش توجه نسبت به راهکارهای شکار تهدید و پیاده‌سازی آنها منجر به افزایش تقاضا برای مهارت‌های مورد نیاز جهت انجام این کار شده است. Burning Glass هم آن را در جایگاه چهارم مهارت‌هایی با بیشترین حجم تقاضا می‌داند.

Rick McElroy استراتژیست ارشد امنیت سایبری در شرکت VMware Carbon Black می‌گوید درک چگونگی کار چارچوب MITRE ATT&CK و همچنین کنجکاوی برای تحقیق درباره مشکلات و همچنین داشتن دانش درباره فناوری‌های سازمانی و سایر روش‌های مشابه نیاز به مهارت‌های تحلیلی دارد. به گفته McElroy، «این افراد باید بتوانند مثل یک مهاجم فکر کرده و تشخیص بدهند که مهاجمان چگونه می‌توانند راهکارهای دفاعی آنها را دور بزنند».

 

8. مهارت‌های اجتماعی

با ظهور اقتصاد دیجیتال، کار امنیت سایبری اهمیت بیشتری پیدا کرده و برجسته‌تر از قبل شده است. به همین خاطر کارشناسان امنیت سایبری باید بیش از پیش با مدیران اجرایی و سایر کارمندان در تعامل بوده و قابلیت برقراری ارتباط، همکاری و مشورت با افراد مختلف را داشته باشند. از این رو، مهارت‌های اجتماعی جزو مهمترین مهارت‌های مورد انتظار از آنها است.

به گفته Gary Todd مدیر امنیت سایبری شرکت PNM Resources، «قابلیت برقراری ارتباط در سطوح مختلف سازمان برای بیان آنچه که جهت حفاظت از سازمان لازم است، جزو مهارت‌های واحد فروش است».

 

9. هوش تجاری

Joanna McDaniel Burkey مدیر ارشد فناوری اطلاعات HP به دنبال کارمندانی است که درک صحیحی از کسب‌­وکار و تجارت داشته باشند، با اصطلاحات تجاری آشنا بوده و علاوه بر مهارت‌های فناوری، مهارت‌های کسب و کاری هم داشته باشند. به گفته او مدیران امنیت سایبری به دنبال چنین مهارت‌هایی هستند تا به کاهش مخاطره که جزو مهمترین اهداف تیم‌های امنیتی مدرن است، کمک کنند.

کارشناسان امنیت سایبری باید به سازمان‌های خودشان برای برقراری توازن بین امنیت و هزینه‌ها، تقاضای بازار و سایر معیارهای تجاری کمک کنند. او می‌گوید: «این کار نیازمند مدیریت بخش‌های مختلف و برقراری تعادل بین اجزای گوناگون است. ما باید هر دو سمت مسأله را ببینیم. باید خودمان را به جای همه افراد تأثیرپذیر و ذینفع قرار داده تا بتوانیم همکاری خوبی با یکدیگر داشته باشیم».

 

10. چابکی

بر اساس مطالعات انجام شده در زمینه نیروی کار در سال 2020 میلادی، 30 درصد از شرکت­‌کنندگان در این نظرسنجی، پس از شیوع بیماری کرونا شاهد حرکت کسب­‌وکارشان به سمت دورکاری ظرف یک روز بوده‌اند و این تغییر برای 47 درصد از آنها چند روز تا یک هفته زمان برده است (و برای 16 درصد آنها نیز بیشتر از یک هفته طول کشیده است). کارشناسان با وجود این که چنین تحول سریعی را در فضای کار پیش بینی نمی‌کردند، انتظار دارند که سرعت تغییر فناوری و کسب­‌وکارها بیشتر شود.

بنابراین سرعت امنیت هم باید به همین اندازه بالا باشد. به گفته E.J. Widun که مدیر ارشد فناوری شهر اوکلاند در ایالت میشیگان است، «کووید 19 منجر به اجرای کلاهبرداری‌ها، حملات و شیوه‌های کار جدیدی شد. این همه گیری نشان داد که ما نیاز به افرادی با قابلیت تطبیق سریع داریم».

 

[1] Information Systems Security Association

[2] Enterprise Strategy Group

 

منبع: csoonline

خروج از نسخه موبایل