Jak rozwiązać problem braku specjalistów od bezpieczeństwa w IT?

W obszarze cyberbezpieczeństwa dostępność odpowiednich specjalistów zawsze stanowiła pewien problem. Traktowanie zabezpieczeń tak, jak to często ma miejsce w przypadku szybkiego tworzenia nowych aplikacji biznesowych, nie zawsze uchodzi firmom na sucho. Efektem jest zwykle nadmierne obciążenie specjalistów ds. bezpieczeństwa, których i tak jest zbyt mało. Jednocześnie pracownicy specjalizujący się w cyberbezpieczeństwie są bardzo poszukiwani na rynku pracy, a na zajmowanych przez nich stanowiskach widać dużą rotację.

W przypadku cyberbezpieczeństwa braki personalne mogą być większym zagrożeniem niż sami przestępcy, którzy obiorą sobie za cel kradzież danych, pieniędzy i czasu oraz zniszczenie reputacji firmy. Tak jest od dawna, pandemia COVID-19 zmieniła jednak to wyzwanie kadrowe w pełnowymiarowy problem, przez co bezpieczeństwo nierzadko jest zaniedbywane.

W najlepszych czasach – a przynajmniej w normalniejszych czasach – trudno jest znaleźć specjalistów w tej dziedzinie. Ich pozyskanie jest kosztowne, a ich samych trudno zatrzymać w firmie. Pandemia zaostrzyła niedobór specjalistów w zakresie cyberbezpieczeństwa, ponieważ przedsiębiorstwa skupiły się na podtrzymywaniu – lub budowaniu od podstaw – narzędzi do pracy z domu i właśnie do tych zadań przesunęły swój personel. Proaktywne zabezpieczenia zeszły w wielu firmach na dalszy plan, a w zespołach ds. cyberbezpieczeństwa pojawiły się olbrzymie luki.

W badaniu przeprowadzonym przed pandemią przez ISC (międzynarodowe stowarzyszenie non-profit zrzeszające menedżerów odpowiedzialnych za bezpieczeństwo informacji) niedobór specjalistów w dziedzinie cyberbezpieczeństwa w Stanach Zjednoczonych oszacowano na prawie 500 000 pracowników. Stowarzyszenie połączyło też swoje szacunki dotyczące liczebności kadr i niedoborów personalnych w tym obszarze. Na tej podstawie doszło do wniosku, że aby zaspokoić aktualne potrzeby amerykańskich firm, liczba pracowników wyspecjalizowanych w cyberbezpieczeństwie musi wzrosnąć o 62%. W 11 gospodarkach objętych analizą stowarzyszenia liczba pracowników tego segmentu sięga szacunkowo 2,8 miliona osób, a ich globalny niedobór to według szacunków 4,07 miliona. Oznacza to, że na całym świecie kadry wyspecjalizowane w cyberbezpieczeństwie musiałyby być liczniejsze o 145%.

Respondenci stwierdzili, że brak wykwalifikowanych/doświadczonych specjalistów w zakresie cyberbezpieczeństwa to jeden z ich największych problemów i czynnik średniego lub nawet ekstremalnego ryzyka dla ich firm. Badania na potrzeby raportu Ponemon Institute Cost of a Data Breach Report na rok 2020 rozpoczęły się kilka miesięcy przed pandemią COVID-19, lecz pytania dodatkowe związane z potencjalnym wpływem pracy zdalnej w trakcie pandemii wykazały, że 76% przedsiębiorstw spodziewa się utrudnionego reagowania na potencjalne naruszenia ochrony danych.

W badaniu Ponemon Institute oszacowano, że przeciętny łączny koszt naruszenia ochrony danych wynosi 3,86 mln USD, zapobieganie incydentom w zakresie cyberbezpieczeństwa ma więc kluczowe znaczenie. Nie wszystko jednak stracone. O ile nie da się błyskawicznie rozwiązać problemu z brakiem specjalistów ds. cyberbezpieczeństwa, to przedsiębiorstwa mogą podjąć pewne działania wykraczające poza próby zatrudnienia nowych pracowników. Oto sposoby na zwiększenie cyberbezpieczeństwa firmy.

1. Wewnętrzne programy szkoleń i certyfikacji w dziedzinie bezpieczeństwa

Perspektywicznie myślące firmy zdają sobie sprawę z faktu, że prawdziwe cyberbezpieczeństwo wymaga zmiany kulturowej. Na pewnym poziomie musi być ono po prostu obowiązkiem każdego pracownika. Nie chodzi tu oczywiście o to, że dyrektor działu marketingu miałby stanąć na pierwszej linii walki z cyberprzestępcami. Każdy pracownik powinien jednak uczestniczyć w programach edukacyjnych i certyfikacyjnych w tym obszarze. Nie oznacza to również, że wystarczy stworzyć prezentację w programie PowerPoint i zmusić pracowników do jej biernego zaliczenia, aby uznać, że mają to z głowy raz na zawsze. Chodzi raczej o opracowanie odpowiednich, dostosowanych do sytuacji programów, które zainteresują pracowników i pomogą im zrozumieć cyberzagrożenia oraz własną rolę w ich powstrzymywaniu. W tym celu można wykorzystać na przykład szkolenia prowadzone podczas lunchu, symulacje naruszeń bezpieczeństwa, a nawet zabawy typu escape room.

2. Rozpowszechnianie zabezpieczeń

Skoro bezpieczeństwo należy do obowiązków każdego pracownika, personel specjalizujący się w zabezpieczeniach nie powinien pracować wyłącznie w dziale informatycznym. Dlatego warto zastanowić się, jak rozpowszechnić zabezpieczenia w całej firmie. Ze względu na wzrost popularności modelu DevSecOps zabezpieczenia w coraz większym stopniu przenikają do procesów programowania. Jednak powinny również zostać zintegrowane z innymi obszarami. Pozwoli to nie tylko zaznajomić cały personel przedsiębiorstwa z kwestiami dotyczącymi bezpieczeństwa, lecz także zachęci do współpracy i będzie szansą na włączenie zabezpieczeń w procesy, produkty i usługi od samego początku.

3. Dokładna analiza posiadanych narzędzi zabezpieczających

Wiele przedsiębiorstw dysponuje narzędziami, których tak naprawdę nie potrzebuje lub które są przestarzałe i nie obsługują nowych technologii, takich jak chmura, kontenery czy Kubernetes. To strata czasu i pieniędzy. Dużo firm korzysta na przykład z przestarzałych zabezpieczeń stworzonych z myślą o ochronie nieużywanych już systemów.

Przedsiębiorstwa często mają również zbyt wiele narzędzi, nad którymi nie potrafią zapanować, co prowadzi do zduplikowanych rozwiązań i trudności z zarządzaniem rosnącą liczbą produktów. Wiele firm nie wykorzystuje też w pełni funkcji, które są wbudowane w istniejące systemy, takie jak system operacyjny, platforma kontenerowa czy zabezpieczenia udostępniane przez dostawcę chmury. Szczegółowy przegląd istniejących narzędzi wykaże, co jest potrzebne, a co nie, aby można było stawić czoła aktualnym problemom w dziedzinie bezpieczeństwa.

4. Spójna strategia automatyzacji

Przy tak licznych zmiennych żaden człowiek ani grupa ludzi nie będzie w stanie załatać każdej luki w zabezpieczeniach. Środowiska informatyczne i świat wokół nas stają się coraz bardziej złożone, podobnie jak incydenty związane z bezpieczeństwem, z którymi zmagają się działy IT. Spójna strategia automatyzacji pozwala firmom skuteczniej niwelować ryzyko przez zmniejszenie liczby błędów ludzkich, jak również rozwiązywać problemy, szybko reagować na alerty bezpieczeństwa oraz tworzyć powtarzalne przepływy pracy w zakresie bezpieczeństwa i zgodności z przepisami.

Warto jednak zauważyć, że automatyzacja nie jest jednym produktem ani nawet zbiorem produktów. Przedsiębiorstwa powinny szukać rozwiązania, które umożliwia zastosowanie spójnej strategii automatyzacji do tworzenia aplikacji, infrastruktury, zabezpieczeń itd. W opracowanym przez Ponemon Institute dokumencie Cost of Data Breach Report stwierdzono wręcz, że firmy, które wdrożyły automatyzację na pełną skalę, odnotowują o 3,58 mln USD niższe całkowite koszty przypadające średnio na naruszenie ochrony danych niż przedsiębiorstwa bez wdrożonej automatyzacji.

Czy problem z niedoborem specjalistów w dziedzinie cyberbezpieczeństwa jest niemożliwy do rozwiązania?

Cóż, patrząc realnie, braku pracowników nie da się wyeliminować całkowicie. Problemowi można jednak skutecznie stawić czoła przez proaktywne planowanie, implementację strategicznych technologii oraz realizowane w całej firmie, ciągłe, atrakcyjne szkolenia i wspólne projekty zwiększające świadomość w zakresie bezpieczeństwa.

Autor: Lucy Kerner, specjalistka ds. bezpieczeństwa i strategii w firmie Red Hat