Zpráv a průzkumů trhu na téma kybernetické bezpečnosti existuje nepřeberná řada a stejně jich v posledních letech jich zjevně přibývá. Mnohdy ale nepřinášejí nijak objevné nebo užitečné informace.
Zpráva Stav kybernetické bezpečnosti 2023 z dílny organizace ISACA se v mnoha ohledech odlišuje. Jejími respondenty jsou z drtivé většiny praktikující profesionálové kybernetické bezpečnosti, členové této profesní asociace. Jde o osoby, které mají do ochrany informací a zabezpečení kybernetického prostoru každý den zanořené ruce.
Organizace se letos dotazovala více než dvou tisíc profesionálů z oboru z celého světa. Podívejme se na otázky a témata, která se v jiných průzkumech často neobjevují. Jejich výpovědní hodnotu zvyšuje právě velmi specifický vzorek respondentů. Zaměřme se zejména na výzvy související s řízením lidských zdrojů v kybernetické bezpečnosti. Možná pohled profesionálů leccos poodhalí.
Personální a týmové charakteristiky
Dvěma třetinám bezpečnostních profesionálů je mezi 35 a 54 lety. Necelá pětina patří do vyšší kohorty osob ve věku 55 až 64 let. Přibližně desetině je 25 až 34 let. Další věkové kategorie figurují ve zkoumané populaci jen okrajově. Tvůrci studie by se neměli bát zeptat respondentů na pohlaví. Ať už by variabilita odpovědí byla jakákoli, jistě by stálo zato zjistit, kolik žen v oboru působí a jak se jejich zastoupení vyvíjí.
Kvalifikační strukturu studie neodhaluje, ale zato se respondentů ptá na dost možná sebekritické hodnocení vlastních schopností. V jakých oblastech mají dnešní bezpečnostní profesionálové největší slabiny? Nejčastěji jim chybějí tzv. měkké dovednosti (55 %). Mezi ně patří například komunikace, flexibilita nebo i schopnost vést, resp. leadership. Nepříliš silní jsou také v tématu cloud computingu (47 %) nebo poněkud překvapivě implementace technických bezpečnostních opatření (35 %). Dále jim chybí schopnost vytvářet kódy (30 %) a znalosti postupů softwarového vývoje (30 %), zpracování dat (28 %) anebo počítačových sítí (27 %).
Tvůrci studie se mimo jiné ptali na pracovní kapacity bezpečnostních týmů. Za značně nebo částečně poddimenzované je označily bezmála tři pětiny dotazovaných. Celkem 36 procent působilo v adekvátně disponovaném týmu. Pro zajímavost dodejme, že tři procenta považují své týmy za mírně nebo značně předimenzované.
Hledání talentů
Jak dlouho trvá obsazení volného pracovního místa bezpečnostního profesionála kvalifikovaným kandidátem? Zhruba dvě třetiny organizací to v případě neseniorních, tzv. vstupních pozic v současnosti zvládají do šesti měsíců. V případě seniorních míst je situace horší. Více než čtvrtinu organizace obsazují déle než půl roku.
Jsou zájemci o nabízené pracovní pozice v oboru adekvátně kvalifikováni? Zdá se, že se uchazeči poněkud přeceňují. Více než polovina respondentů se domnívá, že adekvátní kvalifikací disponuje nejvýše polovina zájemců. Jedno procento má dokonce za to, že se na volné pozice nikdy nehlásí lidé s odpovídající či očekávanou kvalifikací. Šest procent respondentů zase hodnotí vzdělání, schopnosti a praxi uchazečů za adekvátní v 76 a 100 procentech případů.
Co organizace bezpečnostním profesionálům nabízejí? Buďme přesnější, tvůrci studie se ptali na zaměstnanecké benefity. Nejčastěji firmy platí certifikační poplatky (65 %), nabízejí profesní školení (64 %), umožňují flexibilní časový rozvrh práce (56 %), hradí poplatky za univerzitní studium (28 %) nebo nabízejí bonus za nábor nových kolegů (28 %). Otázkou je, jak v tuzemských poměrech některé z těchto položek vnímáme. Jde o benefit, nebo o samozřejmost?
Přejděme k dalšímu, ne zcela běžnému tématu výzkumů v oblasti kybernetické bezpečnosti. Jak hodnotí praktici kybernetické bezpečnosti kvalitu univerzitní přípravy uchazečů? Na 28 procent považuje absolventy za dobře připravené. Dokážou čelit výzvám podnikové praxe. Dvě pětiny absolventy ani nechválí, ani nekritizují. Necelá čtvrtina univerzitní přípravu považuje za nedostatečnou anebo neadekvátní.
Otázka retence
Daří se organizacím udržet bezpečnostní profesionály? Není veřejným tajemstvím, že v posledních letech jde o žádané profese na trhu práce. Dlouhodobě se více než polovina firem potýká s jejich odchody k jiným zaměstnavatelům, snad až s fluktuací.
Video ke kávě
Máte čas na rychlé a informativní video?
Proč tedy bezpečnostní profesionálové opouštějí svá místa? Nejčastějším důvodem je přechod k jinému zaměstnavateli (58 %). Těsně za ním se umístila nespokojenost s finančním ohodnocením (54 %). Omezené možnosti služebního postupu nebo rozvoje se umístily na třetím místě (48 %). Čtvrtou pozici obsadila vysoká míra pracovního stresu (43 %). Na dalších místech figurují nedostatečná podpora vedení (34 %), nízká pracovní kultura (33 %) nebo omezená možnost práce z domova (28 %).
Organizační zařazení
Téměř polovina respondentů uvedla, že se bezpečnostní týmy v jejich organizacích zodpovídají osobě v roli CISO – Chief Information Security Officer. Komu se ale zpovídá ona, tj. šéf kybernetické bezpečnosti? V jedné čtvrtině organizací CISO reportuje šéfovi informatiky, tj. osobě v roli CIO – Chief Information Officer. Ve druhé čtvrtině podniků je cílovou osobou výkonný ředitel, tj. CEO – Chief Information Officer. Komu se zpovídá druhá polovina?
Více než desetina respondentů uvedla, že jejich organizace osobou v roli CISO vůbec nedisponuje. Tým kybernetické bezpečnosti funguje bez této role. V necelé desetině podniků se CISO zpovídá představenstvu. V další necelé desetině technologickému řediteli a v další provoznímu řediteli.
Jen pro pořádek dodejme, že týmy kybernetické bezpečnosti reportují také šéfovi informatiky (17 %), výkonnému řediteli (8 %) nebo technologickému řediteli (7 %).
Bezpečnostní rozpočty
Na začátku článku sice bylo avizováno soustředění na odlišnost, v posledním tématu se ale vydáme prozkoumat téma víceméně masové a samozřejmé. Jak organizace změní rozpočty na kybernetickou bezpečnost? Horizont událostí této otázky ohraničovalo následujících dvanáct měsíců.
Významný nárůst očekávalo pět procent respondentů. S mírným navýšením rozpočtu kalkulovalo 46 procent dotazovaných. S neměnným přídělem prostředků počítalo 38 procent respondentů. Zbývajících jedenáct procent předpokládalo větší nebo menší ponížení rozpočtu na kybernetickou bezpečnost v jejich organizaci.
Přistupme k mnohem zajímavější otázce. Považujete úroveň financování kybernetické bezpečnosti ve vaší organizaci za přiměřenou? Připomeňme, že odpovídají profesionálové kybernetické bezpečnosti. Čtrnáct procent z nich dosavadní financování označuje jako výrazně nedostatečné. Dvě pětiny se také přiklánějí k nedostatečnosti, jakkoli ji nehodnotí jako zásadní, 41 procent má zato, že jejich organizace na kybernetickou bezpečnost vynakládá zcela adekvátní finanční prostředky.
A zbývající čtyři procenta respondentů rebelují s myšlenkou přemrštěných rozpočtů. Dvě procenta se k ní kloní mírně, dvě procenta výrazně. Také mají vaši specialisté kybernetické bezpečnosti pocit, že jejich obor je přefinancován?
Článek vyšel v magazínu CIO BW 6/2023. Koupit si ho můžete například zde, společně s mnoha dalšími zajimavými texty.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.