İş piyasasında uzun süredir siber güvenlik uzmanı sıkıntısı yaşanıyor. Bilgi güvenliği uzmanlarına ihtiyaç duyan şirketler çoğu zaman en azından uzmanlaşmış resmi eğitime ve gerekli deneyime sahip uzmanlar bulamıyor. Bir şirket için bu alanda resmi eğitim almış uzmanlara sahip olmanın ne kadar önemli olduğunu ve bu eğitimin günümüzdeki ihtiyaçları ne kadar karşıladığını anlamak amacıyla çalışma arkadaşlarımız, dünyanın farklı bölgelerindeki 29 ülkede binden fazla çalışanla görüşerek bir araştırma gerçekleştirdiler. Ankete katılanlar arasında iki yıllık deneyime sahip yeni başlayanlardan 10 yıllık deneyime sahip CIO’lara ve SOC yöneticilerine kadar çeşitli seviyelerde uzmanlar vardı. Katılımcıların cevaplarına bakılırsa, klasik eğitim InfoSec trendlerine ayak uyduramıyor gibi görünüyor.
Her şeyden önce, anket sonuçları tüm uzmanların yüksek eğitim almadığını gösteriyor: InfoSec çalışanlarının yarısından fazlasının (%53) lisansüstü eğitimi yok. Ancak bu eğitime sahip olanlara bakıldığında, her iki çalışandan birinin örgün eğitimlerinin işlerini yapmalarına gerçekten yardımcı olduğundan şüphe duyduğu söylenebilir.
Siber güvenlik hızla değişen bir sektördür. Tehdit ortamı o kadar hızlı değişiyor ki, akademik bir derece almak dört ila beş yıl sürebilirken, birkaç aylık bir gecikme bile kritik öneme sahip olabiliyor. Bu süre zarfında saldırganlar taktik ve yöntemlerini öyle modernize edebilirler ki, mezun bir InfoSec “uzmanının” gerçek bir saldırı durumunda tehditler ve savunma yöntemleri hakkındaki en son makaleleri hızlı bir şekilde okuması gerekir.
Gerçek yaşam deneyimine sahip InfoSec uzmanları, eğitim kurumlarının her durumda yeterli pratik bilgi sağlamadığını ve modern teknolojilere ve ekipmanlara erişimlerinin olmadığını savunmaktadır. Bu nedenle, InfoSec alanında çalışmak ve gerçek siber tehditlerle mücadele etmek için zaten bazı ek eğitimler gereklidir.
Elbette tüm bunlar, yüksek eğitim almış siber güvenlik uzmanlarının, eğitim almamış meslektaşlarından daha az yetkin olduğu anlamına gelmiyor. Sonuç olarak, tutku ve sürekli kendini geliştirme becerisi mesleki gelişimde son derece önemlidir. Katılımcıların çoğu geleneksel eğitim kurumlarında pratik bilgiden çok teorik bilgi aldıklarını belirtmiş, ancak sağlam bir teorik temel olmadan yeni bilgilerin özümsenmesi daha yavaş ilerleyeceği için örgün eğitimin yine de faydalı olduğunu düşündüklerini ifade etmiş. Öte yandan, hiç lisansüstü eğitim almamış veya bilgi güvenliğine başka bir BT sektöründen gelmiş uzmanlar da siber tehditlere karşı korunmada etkili uzmanlar olabilirler. Gerçekten de her şey kişinin kendisine bağlıdır.
Piyasadaki durum nasıl iyileştirilir?
Piyasanın yeterli sayıda bilgi güvenliği uzmanını çekebilmesi için durumun her iki tarafta da dengeli olması şart. İlk olarak, üniversitelerin siber güvenlik şirketleriyle ortaklık kurmayı düşünmeleri mantıklıdır. Bu sayede öğrencilere daha pratik uygulanabilir bilgiler sağlamaları mümkün olur. İkinci olarak, şirketlerin çalışanlarının uzmanlıklarını özel eğitim kursları yardımıyla periyodik olarak artırmaları iyi bir fikirdir.
Raporun InfoSec eğitim sorunlarına ayrılmış bölümünü ilk bölümün (Güncel siber güvenlik uzmanlarının eğitim geçmişi) web sayfasından okuyabilirsiniz.