Den utbredda bristen på experter inom cybersäkerhet tvingar många organisationer att sätta nya medarbetare direkt i frontlinjen innan de är redo.
Och många personalavdelningar förstår inte vad som krävs för att rekrytera rätt kompetens.
Det framkommer i en global undersökning av hundra cybersäkerhetsproffs som arbetar inom IT-organisationer utförd av Cyberbit.
Undersökningen visar att bara en fjärdedel av personalen har en renodlad säkerhetsutbildning i ryggen. Och bara 22 procent säger att de använder simuleringsbaserade träningsverktyg inom cybersäkerhet. I stället använder 41 procent olika slags internutbildningar när nya teammedlemmar anställs.
Inte överraskande säger därför bara 45 procent av de tillfrågade att de anser att deras team är tillräckligt skickligt på intrångsdetektering, medan ännu färre (42 procent) säger att de förstår nätverksövervakning tillräckligt.
– Medarbetare som är otillräckligt utbildade och rustade för verkligheten drabbas av sviktande självförtroende och osäkerhet inför arbetsuppgifterna. Vad många företag inte förstår är att det inte är så enkelt som att bara sätta in nya medarbetare i hopp om att de en dag ska bli härdade veteraner. Personalomsättningen inom cybersäkerhet är hög och en förklaring är att många får en dålig start där de har svårt att hantera arbetets utmaningar. Andelen nyrekryterade som håller hela vägen och blir erfarna experter är tyvärr relativt liten, säger Peter Gustafsson, ansvarig för Barracuda Networks i Norden.
AI och automation kommer ersätta tidigare nybörjarsysslor
Tillgång till utbildning är förstås inte någon garanti för framtida framgång. Och cybersäkerhetshoten utvecklas ofta snabbare än träningsprogrammen.
– Någon form av strukturerad säkerhetsutbildning stärker ändå alltid motståndskraften, både vad gäller säkerhetsarbetet och benägenheten att byta jobb. Om man är på en arbetsplats där medarbetarna ges möjlighet till kompetensutveckling är det inte lika frestande att bara byta arbetsgivare, fortsätter Peter Gustafsson.
Framsteg inom till exempel artificiell intelligens (AI) kommer heller inte att ersätta behovet av cybersäkerhetsproffs i brådrasket.
– Ribban när det gäller den kunskap som kommer att krävas kommer snarast att bli högre när flera enkla uppgifter som tidigare gjorde det möjligt att utbildas på jobbet inte längre behöver göras av människor. Cybersäkerhetsuppgifter på nybörjarnivå som loggövervakning, underhåll av säkerhetskopior och hantering av uppdateringar blir alltmer automatiserade, kommenterar Peter Gustafsson.
Många personalavdelningar förstår inte kraven
Endast en tredjedel (33 procent) av de tillfrågade i Cyberbit-undersökningen rapporterade att personalrekryteraren för deras företag vanligtvis eller alltid förstår vilka krav som ställs på den som arbetar i ett cybersäkerhetsteam. Dessutom svarade 70 procent av de tillfrågade att cybersäkerhetskandidater bedöms på samma sätt som andra arbetstagare – genom intervjuer – i stället för att man utvärderar de praktiska färdigheterna.
– Det viktigaste att titta på när det gäller att anställa cybersäkerhetsproffs är attityden. När allt kommer omkring kan färdigheter i allmänhet förvärvas av de som vill och kan. Det viktigaste är att så tidigt som möjligt avgöra vem som har förutsättningarna att utföra jobbet, inte bara vad jobbkandidaterna kan i dag och som oundvikligen kommer att behöva matchas av nya kunskaper imorgon, avslutar Peter Gustafsson.