Gibt es geeignetes IT-Security-Personal? Wo suchen? Wie finden!?

Dr. Adrian Davis, Managing Director EMEA bei (ISC)²

Ein Interview mit Dr. Adrian Davis, Managing Director EMEA bei (ISC)²

Wo liegen Ihrer Meinung nach die größten Probleme bei den Unternehmen auf der Suche nach geeignetem IT-Security-Personal?

Cybersicherheit ist immer noch ein unfertiges Feld, dass nur wenige außerhalb der Community der Fachleute wirklich verstehen. Es scheint so, als fokussieren sich viele auf die spezialisierten, oftmals technischen Bereiche der Berufspraxis und gehen eher weniger auf die breiteren Anforderungen ein oder reflektieren die Möglichkeiten, die sich heute bieten. Die Aufmerksamkeit und das Interesse an einer Karriere sind daher eher limitiert. Darüber hinaus scheinen Unternehmen nur erfahrene Kandidaten einzustellen, und unwillig zu sein die Einstiegsmöglichkeiten zu schaffen, die für Absolventen und Berufseinsteiger interessant wären. Sie tendieren dazu vor allem Fachleute mit technischen Qualifikationen und Ausbildungshintergrund einzustellen, allerdings haben die besten Bewerber sowohl „harte“ als auch „softe“ Skills und Unternehmen brauchen diese Soft-Skills genauso dringend. Im Ergebnis ist die Ansprache bei der Rekrutierung von neuen Mitarbeitern zu eingleisig und führt dazu, dass sich viele potentielle Kandidaten gar nicht erst bewerben, vor allem Frauen und der Fundus von Talenten aus denen ein Unternehmen wählen kann ist sehr limitiert.

Warum glauben Sie, sind gerade IT-Fachleute die richtigen Kandidaten? Ist es nicht eher so, dass eher nicht-technische Aufgaben wie interne Security Awareness-Trainings mehr gefördert werden sollten?

Indem wir diese Studie veröffentlichen, versuchen wir nicht vorzuschlagen, dass IT-Fachleute die idealen Kandidaten sind oder dass sie auf jeden Fall für Karrieren in der Informations- oder Cybersicherheit in Frage kämen und rekrutiert werden sollten. Wir sind der Meinung das, Sicherheits-Skills eine Anforderung für den Job sind, den sie aktuell als IT-Fachleute ausüben. Und ihnen sollten die nötigen Qualifikationen und die erforderliche Unterstützung gegeben werden, die sie brauchen, um mit Gefahren umzugehen und Schwachstellen zu vermeiden, die viele von ihnen derzeit übersehen. Wir suggerieren außerdem, dass sie die Sicherheitsprobleme in ihren IT-Rollen auch ernst nehmen. IT-Fachleute beeinflussen, wie Technologie entwickelt wird, welche Technologie gekauft, gemanagt und in ihren Unternehmen auch genutzt wird. Sie brauchen die nötigen Qualifikationen und das Mandat dies zu tun mit Security als eine Schlüsselanforderung. Sie bringen eine Anzahl von hochwertigen Fähigkeiten und Perspektiven mit. Der Schlüssel zum Erfolg, um für mehr Sicherheit in Unternehmen zu sorgen und diese widerstandsfähiger (resilienterer) zu machen, ist über einen Mix aus Qualifikationen, Skills und Wissen zu verfügen, der es ermöglicht, das Security als Teil dessen angesehen wird, wie Unternehmen sich in einer verbundenen, Internet-abhängigen Wirtschaft entwickeln.

Wie sollte ein internes Assessment aussehen, um diese Kandidaten auszuwählen? Haben Sie ein paar Vorschläge für unsere Leser?

Jedes Unternehmen rekrutiert seine Bewerber auf andere Weise. Sicherlich sind Fähigkeiten, Ausbildung, Qualifizierungen und Zertifizierungen wichtig, aber was wirklich wichtig ist, ist die Einstellung und das Talent. Bewerber, die eine hohe Eigenmotivation mitbringen, dazu lernen und sich weiterentwickeln wollen, sind ein wertvolles Asset, egal über welche Qualifikationen sie verfügen.

Sie sprechen in der Studie von unrealistischen Einstellungskriterien. Welche dieser Kriterien sind besonders unrealistisch und welche wären besser geeignet?

Zu viele Ausschreibungen beschreiben einen Bewerber, der alle möglichen Dinge in der Security managen kann und darüber hinaus mehr technische Fähigkeiten hat, die man einem einzelnen Mitarbeiter abverlangen kann. Sie bauen nicht auf ein grundsätzliches Verständnis auf, was ein Unternehmen benötigt oder priorisieren sollte. Aus meiner Sicht ist das größte Problem aber die unrealistischen Erwartungen an die Erfahrung der Kandidaten. Wenn wir nicht auch Einstiegsmöglichkeiten schaffen, werden wir niemals die erfahrenen Mitarbeiter für die Zukunft bekommen.

Durch viele ihrer Studien zieht sich seit Jahren das Thema Qualifizierungsmangel. Wo liegt denn nun genau das Problem, wenn wir sehen, dass die Investitionen in IT-Security eher steigen, wird das Geld falsch etwa eingesetzt?

Das Problem ist der Fokus auf die Technologie und der Glaube, dass dies ein Anliegen der IT oder Sicherheitsabteilung ist. Das heißt, dass Sicherheit bzw. Security außerhalb des Berufsumfelds nur wenig verstanden wird, während Geschäftsführer IT-Abteilungen dazu bringen neue Produkte, Services und Prozesse zu entwickeln, ohne die damit einhergehenden Gefahren wirklich zu verstehen oder bewerten zu können. Unternehmen geben viel Geld für Technologie aus, aber das heißt nicht, dass sie damit auch die Prioritäten ihrer Risiken beachten oder neue Schwachstellen verhindern, indem sie genug in die Fortbildung von Mitarbeitern für den Notfall investieren. IT-Sicherheitsverantwortliche bezeichnen diese Situation als „Technology Sprawl“, wenn sie im Grunde genommen zu viel Technologie und nicht genug Kollegen haben, um diese Technologie auch wirklich nutzen zu können. Das Ergebnis ist, dass neben den steigenden Ausgaben, Unternehmen zumeist immer verwundbarer sind, weil niemand versteht, welche Bereiche der Unternehmen geschützt werden müssten.

Welche Gründe sollten Unternehmen davon überzeugen in die Weiterbildung der eigenen IT-Security-Mitarbeiter zu investieren, wenn doch die größte Gefahr darin besteht, dass die fähigsten Mitarbeiter von anderen Unternehmen einfach abgeworben werden oder aber sich die Mitarbeiter selbstständig machen? Droht hier nicht die Gefahr in etwas zu investieren, was kein Asset der Firma, sondern lediglich ein bewegliches Asset einzelner Mitarbeiter ist?

Sicherheitsexperten auszubilden wird oftmals als Nullsummenspiel angesehen – Ich trainiere dich, du gehst. Dieser Effekt wird durch die wenigen talentierten Fachleute noch verstärkt. Der einzige Weg dies zu stoppen ist, dass die Einstellung vieler Unternehmen einfach ausgebildete und erfahrene Mitarbeiter abzuwerben und diese intern weiterzubilden sich verändern muss. Allerdings scheint ein Umdenken einzusetzen, weil die Gehälter steigen und die wirtschaftliche Situation die Trainingsoption interessanter werden lässt, obwohl immer noch das Risiko besteht, dass die Unternehmen Mitarbeiter verlieren. Studien wie die Global Information Security Workforce Study zeigen, dass die jüngere Generation, die Millennials, die in diesem Bereich arbeiten, Vergünstigungen und Weiterbildungsmaßnahmen höherwertiger einstufen als das Gehalt. Vorgehensweisen, die diese Wünsche in der Balance halten, werden zu mehr Loyalität führen. Wenn die bisherigen Vorgehensweisen beibehalten werden, wird sich die Situation allerdings nicht ändern und genau die Leute werden sich bewerben, die dann das Unternehmen schnell wieder verlassen. Natürlich müssen wir akzeptieren, dass es immer Mitarbeiter geben wird, die das Unternehmen verlassen. Deshalb sollten wir uns auf zwei Dinge konzentrieren, bessere Ausbilder zu werden und zweitens einen größeren Pool an Talenten aufzubauen, die uns auf Dauer weiterbringen und die uns dabei helfen eine sicherere Welt zu schaffen.

Zu guter Letzt, neben der Fort- und Weiterbildung von eigenen geeigneten IT-Fachleuten, welche Maßnahmen raten Sie Unternehmen noch den Themen Fachkräfte- und Qualifizierungsmangel in der IT-Security erfolgreich zu begegnen?

Denken Sie Größer! Schauen Sie über IT-Fachwissen und die reine Berufserfahrung hinaus sowie rekrutieren Sie Bewerber, die die richtige Einstellung und das nötige Talent haben, um in der Cybersicherheit zu arbeiten. Unsere Studien zeigen, dass 20 Prozent der Mitarbeiter, die aktuell in diesem Sektor arbeiten, einen nicht-IT Hintergrund haben. Diese Mitarbeiter sind in allen Positionen und auf allen Führungsebenen tätig. Und zu guter Letzt, investieren Sie in die Fort- und Weiterbildung, denn damit werden sich Ihre Mitarbeiter verbessern, loyaler sein und andere Fachleute ebenfalls anziehen, für Ihr Unternehmen zu arbeiten.

Danke für das Gespräch. Über Ihre Antworten muss ich noch nachdenken. (Davor Kolaric - Redaktion)

https://www.isc2.org/ 

Diesen Artikel empfehlen