Bristen på arbetskraft inom cybersäkerhet har ökat till en rekordhög nivå på nästan 4 miljoner trots att arbetskraften inom cybersäkerhet växte med nästan 10 procent under det senaste året. Det visar den senaste Cybersecurity Workforce Study från ISC2, den ideella medlemsorganisationen för yrkesverksamma inom cybersäkerhet.
Gapet mellan antalet anställda som behövs och antalet som finns tillgängliga har ökat med 12,6 procent från år till år, med nedskärningar, ekonomisk osäkerhet, artificiell intelligens (AI) och en utmanande hotbild som de viktigaste drivkrafterna, enligt undersökningen.
Den nuvarande globala arbetskraftsbristen uppskattas till 3 999 964 personer, medan själva arbetskraften uppskattas till 5 452 732 personer, enligt ISC2. Samtidigt investerar organisationer i strategier för att förhindra eller mildra de personalproblem de står inför.
Saknar personal
Två tredjedelar (67 procent) av de 14 865 tillfrågade cybersäkerhetsexperterna rapporterade att deras organisation har brist på cybersäkerhetspersonal som behövs för att förebygga och felsöka säkerhetsproblem. Kostnadsbesparingar som budgetnedskärningar, uppsägningar och anställnings-/befordringsstopp spelar en avgörande roll, enligt rapporten.
Totalt sett har 47 procent av de anställda inom cybersäkerhet upplevt cybersäkerhetsrelaterade nedskärningar, och 22 procent av denna grupp har drabbats av uppsägningar inom cybersäkerhet. Ytterligare 28 procent har drabbats av uppsägningar på andra håll i organisationen, vilket kan ha en betydande inverkan på personalstyrkan inom cybersäkerhet.
Nästan hälften av de tillfrågade uppgav att nedskärningarna har påverkat deras säkerhetsteam oproportionerligt mycket jämfört med resten av organisationen. 71 procent har upplevt en negativ inverkan på sin arbetsbelastning och 57 procent har sett sin förmåga att reagera på cybersäkerhetshot påverkas som ett resultat av detta.
Brist på kompetens
Personalbrist är inte det enda problemet som organisationer har när det gäller cybersäkerhetspersonal, enligt ISC2 finns det även ett tydligt och kritiskt behov av att fylla kompetensluckor inom cybersäkerhetsyrket.
Mer än hälften (59 procent) av cybersäkerhetsanställda säger att kompetensbrister kan vara värre än personalbrist, medan 92 procent rapporterar kompetensbrister i sin organisation, där de vanligaste är molnsäkerhet, AI/ML och implementering av zero trust. Nästan hälften (43 procent) nämnde en eller flera betydande eller kritiska kompetensbrister inom sitt företag.
Oförmåga att hitta personer med rätt kompetens (44 procent), svårigheter att behålla personer med efterfrågad kompetens (42 procent) och brist på budget för att anställa personer (41 procent) är de största orsakerna till dessa kompetensbrister, enligt rapporten.
Dessutom verkar uppsägningar ha en större effekt på kompetensbrister än på den totala personalbristen. Enligt ISC2 har de flesta organisationer som har sagt upp personal inom cybersäkerhet (51 procent) påverkats av en eller flera betydande kompetensbrister, jämfört med bara 39 procent av de organisationer som inte har sagt upp personal. Intressant nog uppgav 58 procent av de tillfrågade att de negativa effekterna av personalbrist kan mildras genom att fylla viktiga kompetensluckor.
Nöjda med jobbet
Enligt rapporten fokuserar organisationerna på strategier för att hantera den personal- och kompetensbrist inom cybersäkerhet som de står inför. Att investera i utbildning (72 procent), erbjuda mer flexibla arbetsvillkor (69 procent), investera i initiativ för mångfald, rättvisa och inkludering (DEI), rekrytera, anställa och introducera ny personal (67 procent) och använda teknik för att automatisera aspekter av säkerhetsarbetet (65 procent) nämndes alla som högt upp på agendan.
Trots betydande turbulens verkar anställda inom cybersäkerhet vara ganska nöjda med sina roller, noterade ISC2. Nästan tre fjärdedelar (70 procent) rapporterade att de var ganska eller mycket nöjda med sina jobb - en minskning med 4 procent jämfört med förra året - medan 82 procent sa att de arbetar bra med säkerhetsteamets medarbetare. Uppgifterna visade också att sammansättningen av arbetskraften inom cybersäkerhet håller på att förändras både när det gäller kön och etnicitet.
Den största förändringen gällde icke-vita män i olika åldrar: i USA, Kanada, Irland och Storbritannien är 70 procent av de cybersäkerhetsanställda som är 60 år eller äldre vita män. I samma länder är bara 37 procent av dem som är yngre än 30 år vita män. Två tredjedelar (66 procent) av de säkerhetsanställda som började arbeta i USA, Kanada, Irland och Storbritannien under de senaste 12 månaderna var icke-vita.
De som arbetar med cybersäkerhet värdesätter tydligt en mångfald i arbetsstyrkan, där 69 procent anger att en inkluderande miljö är avgörande för att deras team ska lyckas och 65 procent anger att det är viktigt att deras säkerhetsteam präglas av mångfald. Över hälften av de tillfrågade (57 procent) sa att DEI kommer att fortsätta att bli viktigare för deras cybersäkerhetsteam under de kommande fem åren.
– Samtidigt som vi gläds åt det rekordhöga antalet nya cybersäkerhetsexperter på väg in i branschen, är den akuta verkligheten att vi måste fördubbla denna arbetsstyrka för att kunna skydda organisationer och deras kritiska tillgångar, säger ISC2:s vd Clar Rosso.
– I det nuvarande hotlandskapet, som är det mest komplexa och sofistikerade det någonsin har varit, understryker de eskalerande utmaningarna för cybersäkerhetspersonal vikten av vårt budskap: organisationer måste investera i sina team, både när det gäller nya talanger och befintlig personal, och utrusta dem med de viktigaste färdigheterna för att navigera i det ständigt föränderliga hotlandskapet.