Jak niedobór umiejętności w zakresie cyberbezpieczeństwa wpływa na Twoją firmę

Opublikowany: 2021-05-13

Niedobór umiejętności technicznych nie jest niczym nowym, ale jego wpływ na firmy każdej wielkości nigdy nie był bardziej wyraźny.

Konieczność posiadania przez nawet małe organizacje silnego stosu technologicznego dla swoich procesów biznesowych oraz bezpiecznego stosu bezpieczeństwa dla swoich danych i informacji oznacza, że ​​skutki niedoboru umiejętności w zakresie cyberbezpieczeństwa uderzają w małe i średnie firmy z większą niż kiedykolwiek częstotliwością.

Krótko mówiąc, każdy potrzebuje specjalistycznej wiedzy na temat bezpieczeństwa technicznego, ale jest to zapotrzebowanie, że wielu firm po prostu nie stać na to, aby zaspokoić wszystkie swoje potrzeby.

Niedobór umiejętności przed pandemią

Niedobór umiejętności w dziedzinie technologii narasta od wielu lat – wystarczy cofnąć się do 2017 roku, aby zobaczyć, jak firmy czuły się wtedy w tej sytuacji, a trzy czwarte organizacji w tym czasie nie zauważyło żadnych zmian lub pogorszenia tech (patrz grafika poniżej).

Stanowiło to główną przeszkodę dla wielu firm w zatrudnianiu kandydatów odpowiadających ich potrzebom technologicznym i informatycznym.

Luka w umiejętnościach technicznych zgłoszona przez firmy | Jak niedobór umiejętności technicznych wpływa na Twoją firmę

Zmiany od czasu pandemii

Wiele zmian w podejściu organizacji do takich tematów, jak dojrzałość technologiczna i cyberbezpieczeństwo, zostało wprowadzonych przez pandemię i zaostrzyło istniejące problemy, które i tak wpływały na niedobór talentów.

W 2020 r., kiedy blokady stały się powszechne, firmy pozbawione niezbędnej technologii, aby na przykład zapewnić odpowiednie zasoby dla całkowicie zdalnej siły roboczej, musiały szybko się zmienić i wdrożyć talenty i rozwiązania, aby to zrobić.

Wpłynęło to na praktycznie każdą linię biznesową, czy to sprzedaż, marketing, rozwój produktów/usług — każdy aspekt procesów biznesowych nagle potrzebował podstawowej zdolności technologicznej, aby zachować skuteczność w swoich działaniach.

Powiązane seminarium internetowe: Pokonywanie niedoboru talentów | Nowoczesne wymagania biznesowe

Uwagi dotyczące rozwiązań technicznych

To właśnie w tym okresie wiele firm zastanawiało się, co należy ograniczyć, aby zachować wypłacalność, ale także w co muszą inwestować z tego samego powodu — nie ma sensu zmniejszać wydatków, aby utrzymać firmę na powierzchni, jeśli ma ona ucierpieć z powodu kosztownych danych naruszenia i ponieść większe szkody finansowe w przypadku.

Więc dokąd zmierzają te inwestycje? Jeśli spojrzymy na dane Microsoftu z sierpnia 2020 r., to widać, że pięć największych inwestycji z początku pandemii pod względem bezpieczeństwa to:

  1. Uwierzytelnianie wieloskładnikowe (MFA) – 20%
  2. Ochrona urządzeń końcowych – 17%
  3. Narzędzia antyphishingowe – 16%
  4. VPN – 14%
  5. Edukacja użytkowników końcowych w zakresie bezpieczeństwa – 12%

Wiele z tych rozwiązań, w szczególności ochrona punktów końcowych, sieci VPN i inne narzędzia bezpieczeństwa, wymaga wiedzy specjalisty ds. cyberbezpieczeństwa w celu ich utrzymania.

Weźmy na przykład ochronę punktów końcowych. Często zdarza się, że członek personelu ds. cyberbezpieczeństwa zarządza ochroną punktów końcowych za pośrednictwem platformy w chmurze, takiej jak Cisco Meraki (której Impact używa z klientami).

Udostępnianie, zabezpieczanie i konserwacja urządzeń, zwłaszcza w przypadku pracowników rozmieszczonych w wielu biurach lub nie działających w ramach jednej sieci, nie jest łatwe i wymaga pewnego rodzaju nadzoru.

Biorąc pod uwagę wszystkie inne aspekty bezpieczeństwa informacji i biznesu, takie jak na przykład zgodność, nietrudno zrozumieć, dlaczego zatrudnianie pracowników ochrony oprócz istniejącego personelu IT jest niewykonalne w wielu organizacjach.

Kto zatrudnia?

Większość firm zdaje sobie sprawę, że musi zwiększyć wydatki na cyberbezpieczeństwo, a wiele z nich właśnie to robi, często kosztem szerszych budżetów IT.

Kaspersky informuje, że chociaż budżety IT pozostawały w stagnacji w latach 2018-2020, budżety bezpieczeństwa zwykle wzrosły w przedziale 11-15%, co wskazuje na wyraźną skłonność do przedkładania inicjatyw w zakresie bezpieczeństwa nad projekty IT, nawet jeśli kosztem IT w ogóle.

Całkowity rynek cyberbezpieczeństwa w 2004 r. był wart 3,5 mld USD. W 2017 r. szacowano go na 120 mld USD, a do 2022 r. ma osiągnąć 170 mld USD.

W wyniku takiego budżetowania większość małych i średnich firm ma do czynienia z budżetem na cyberbezpieczeństwo wynoszącym około 275 tys. USD, w porównaniu do około 14 mln USD dla firm.

To, co się z tego składa, jest zadaniem prawie niewykonalnym dla małych i średnich organizacji.

Zastanów się nad niektórymi stanowiskami w dziedzinie cyberbezpieczeństwa i ich średnimi zarobkami:

  • Menedżer ds. bezpieczeństwa informacji: 125 000 USD – 215 000 USD
  • Inżynier ds. Cyberbezpieczeństwa: 120 000 – 200 000 USD
  • Inżynier ds. bezpieczeństwa aplikacji: 120 000 USD – 180 000 USD
  • Analityk ds. cyberbezpieczeństwa: 90 000 USD – 160 000 USD
  • Tester penetracji: 80 000 $ – 130 000 $
  • Inżynier ds. bezpieczeństwa sieci: 125 000 USD – 185 000 USD
  • Specjalista ds. zgodności korporacyjnej w zakresie opieki zdrowotnej: 120 000 USD

W obecnych warunkach na stanowiska związane z cyberbezpieczeństwem jest duże zapotrzebowanie i wymagają wysokich zarobków, co jest barierą, która dla wielu jest po prostu zbyt trudna do pokonania.

Jeśli weźmiemy pod uwagę średni budżet około 275 000 USD, który wiele firm ma na swoje cyberbezpieczeństwo, widać, że bardzo szybko wyschnie tylko na samych talentach — i to bez płacenia ani centa za rozwiązania technologiczne.

Doprowadziło to do tego, że firmy niechętnie zatrudniają nowych pracowników ds. cyberbezpieczeństwa, a nawet zespołu ds. bezpieczeństwa – jest to zgodne z powszechnymi zastrzeżeniami, a około 54% liderów biznesu jest zaniepokojonych wydatkami na personel ds. cyberbezpieczeństwa.

Trzy osoby patrzące na pustą przestrzeń w układance | Jak niedobór umiejętności technicznych wpływa na Twoją firmę

Jak firmy na to reagują?

W grę wchodzą sprzeczne rzeczy — firmy muszą zrównoważyć swoje budżety, jednocześnie wydając więcej na cyberbezpieczeństwo, aby się chronić.

Pytanie dla wielu to proste pytanie, co robić? Dla wielu odpowiedzią jest zlecanie potrzeb w zakresie bezpieczeństwa stronie trzeciej.

MSSP to zarządzany dostawca usług bezpieczeństwa. Koncepcja nie różni się od innych usług zarządzanych — dostawca usług MSSP zapewnia zasoby (techniczne i personel), a firma klienta zawiera umowę o świadczenie usług z usługą MSSP.

Wysokiej jakości dostawcy usług MSSP będą oferować swoim klientom miesięczną umowę o stałej opłacie, dzięki czemu nie zostaną obciążeni żadnymi nieoczekiwanymi rachunkami.

Rynek zarządzanych usług bezpieczeństwa znacznie wzrósł w ciągu ostatnich kilku lat, z 32 miliardów dolarów w 2020 r. do oczekiwanych 46 miliardów dolarów do 2025 r., co daje łączną roczną stopę wzrostu (CAGR) na poziomie 8%.

Zatrudnienie dostawcy usług MSSP w celu zapewnienia cyberbezpieczeństwa pozwala firmie wykorzystać wiedzę i narzędzia, którymi dysponuje MSSP, bez rozbijania banku poprzez wewnętrzne budowanie całego zespołu ds. cyberbezpieczeństwa.

Oczywiście zespół wewnętrzny zawsze najlepiej zna firmę, dlatego ważne jest, aby firmy rozważyły, jaki rodzaj MSSP jest pożądany dla ich konkretnej organizacji — nie wszyscy usługodawcy są stworzeni jednakowo.

Powiązany post: Jakich usług MSSP należy oczekiwać od partnera ds. bezpieczeństwa?

Dolna linia

Zwiększone ryzyko, że firmy staną się ofiarą cyberprzestępczości, stworzyło duże zapotrzebowanie na specjalistów i usługi w zakresie cyberbezpieczeństwa.

To z kolei wywarło presję na organizacje, aby znalazły w swoich budżetach miejsce na program bezpieczeństwa, ale dla większości jest to po prostu zbyt trudne.

Firmy muszą zdecydować się albo zignorować zagrożenie cyberprzestępczością i chować głowę w piasek (co w rzeczywistości robi niemałą część firm), albo znaleźć inny sposób na zbudowanie strategii obronnej.

Dostawcy usług MSSP jako alternatywa zapewniają organizacjom możliwość inwestowania w cyberbezpieczeństwo przy ograniczonym budżecie, i jest to w dużej mierze powodem, dla którego branża zarządzanych usług bezpieczeństwa znacznie się rozwinęła w ostatnich latach.

Firmy, które są zaniepokojone stanem swojej obrony przed cyberbezpieczeństwem, powinny realistycznie podchodzić do zagrożenia cyberprzestępczością, ale także realistycznie podchodzić do swojego budżetu.

Niedobór cyberbezpieczeństwa, mimo że w ostatnim roku zaobserwowano poprawę, pozostaje problemem dla firm zatrudniających specjalistów ds. bezpieczeństwa i problemem, który dotyka obecnie wiele firm, które chcą chronić swoje dane i procesy.

Organizacje te powinny zdecydowanie rozważyć dostawcę zarządzanych usług bezpieczeństwa w celu zaspokojenia ich potrzeb w ograniczonym budżecie, ponieważ jest mało prawdopodobne, że niedobór umiejętności w zakresie cyberbezpieczeństwa złagodzi się w niezbędnym stopniu, aby w najbliższym czasie stać się dostępnym dla małych i średnich firm.

Dowiedz się więcej o tym, co obejmuje kompletna strategia cyberbezpieczeństwa i jak dostawca usług MSSP spełnia te potrzeby, z naszego e-booka Co sprawia, że ​​dobra ochrona przed cyberbezpieczeństwem dla nowoczesnego MŚP?