Kreative Einstellungen können helfen, den Mangel an Cybersecurity-Fachkräften zu beheben

Wie können Unternehmen in einer Zeit wachsender Cyber-Risiken dem chronischen Mangel an Cybersicherheits-Fachkräften begegnen? Eine Möglichkeit besteht darin, an neuen und ungewöhnlichen Orten nach potenziellen Talenten zu suchen, Menschen mit nicht sicherheitsrelevantem Hintergrund einzustellen und sie umzuschulen - und dabei möglicherweise einigen der Millionen intelligenter und fähiger Menschen zu helfen, die aufgrund der COVID-19-Pandemie ihren Arbeitsplatz verloren haben.

"Es ist ein Mythos, dass ein Abschluss in Informatik und ein Hintergrund in Cybersicherheit notwendig ist, um in diesem Bereich erfolgreich zu sein", sagte Sam Curry, ein führender Cybersicherheitsforscher und Chief Security Officer beim Cybersicherheitsanbieter Cybereason und Mitglied des Cyber Resilience Think Tank . "In der Realität können die Menschen alles sein, vom ehemaligen Polizeibeamten bis hin zu Künstlern und Musikern. Es ist wichtiger, die richtige Denkweise zu besitzen, als einen bestimmten Hintergrund zu haben."

Jüngste Erhebungen zeigen, dass ein verzweifelter Mangel an Cybersecurity-Fachkräften herrscht, und unterstreichen die Notwendigkeit neuer Ansätze bei der Suche nach Talenten. Eine 2019 durchgeführte Umfrage der Organisation für Cybersicherheit (ISC)² schätzt, dass es in den USA etwa 805.000 Sicherheitsexperten gibt, aber weitere 500.000 benötigt werden. Weltweit ist der Mangel sogar noch größer. [1] (ISC)² fand auch heraus, dass nur 30 % der vorhandenen Sicherheitsexperten Frauen sind und nur 37 % unter 35 Jahre alt sind. [2]

Eine umfassendere Strategie für die Einstellung von Mitarbeitern im Bereich Cybersicherheit zahlt sich aus

Um den Fachkräftemangel im Bereich der Cybersicherheit erfolgreich zu bewältigen, müssen Führungskräfte aus Wirtschaft und Sicherheit anders denken. Laut einem Deloitte-Bericht aus dem Jahr 2018 übersehen viele Unternehmen jedoch die Möglichkeit, Talente von außerhalb des Cybersecurity-Bereichs einzustellen. Unternehmen können davon profitieren, indem sie "die Beschaffung von Talenten mit nicht-traditionellem Hintergrund, die über einschlägige Berufserfahrung verfügen", prüfen und "mehr Frauen und Minderheiten einstellen", so der Bericht. [3]

Menschen mit unterschiedlichem Hintergrund können die Cybersicherheit tatsächlich verbessern, indem sie neue Perspektiven für Sicherheitsherausforderungen einbringen. "Einige der besten Leute im Sicherheitsbereich sind 'Ausreißer', die eine völlig andere Sichtweise in die Cybersicherheitsfunktion einbringen", sagt Jason Fox, Leiter von education für Mimecast.

Fox stellte zum Beispiel eine Mitarbeiterin ein, die keinerlei Erfahrung im Bereich Cybersicherheit hatte und deren vorheriger Job der Verkauf von Keksen war. Sie war jedoch sehr selbständig und hoch motiviert, sagt er. "Sie hatte den richtigen Verstand und die richtigen Werte. Sie entpuppte sich als eine hervorragende Mitarbeiterin", erklärt er.

Curry stimmt zu, dass die Einbeziehung von "Problemlösern" mit unterschiedlichem Hintergrund und unterschiedlicher beruflicher Laufbahn die Cybersicherheit tatsächlich verbessert. "Intelligente und motivierte Menschen können immer die Systeme und Technologien erlernen, die die Cybersicherheit vorantreiben. Curry sucht nach Menschen, die "neugierig, engagiert und motiviert sind, etwas zu lernen, nicht technikfeindlich sind und gut mit anderen auskommen".

Jenseits von Stellenbörsen und einem HR-zentrierten Ansatz

Wie kann Ihr Unternehmen unkonventionelle Talente für die Cybersicherheit identifizieren und entwickeln? Ein Ansatz könnte darin bestehen, sich an ungewöhnlichen Orten umzusehen, z. B. auf Gaming- und Hacking-Konferenzen. Die Teilnehmer sind intelligent und neigen dazu, über den Tellerrand hinauszuschauen. Viele von ihnen sind hoch motiviert und wollen sich den Herausforderungen der Cybersicherheit stellen.

Eine andere Methode ist der Anschluss an Open-Source-Gemeinschaften, einschließlich, aber nicht beschränkt auf Gemeinschaften, die sich mit Cybersicherheit befassen. Viele Unternehmen, darunter auch einige außerhalb der Technologiebranche, haben Open-Source-Programme eingerichtet. [4] Die Menschen in diesen Gemeinschaften können Input und Unterstützung zu sicherheitsrelevanten Themen bieten, aber es ist auch möglich, sie zu ermutigen, sich für Jobs zu bewerben.

Eine dritte Methode besteht darin, über die Jobmessen der Universitäten hinauszugehen und sich direkt an deren Informatik- und Sicherheitsprogrammen zu beteiligen. Curry erzählt, dass er während seiner Tätigkeit für einen früheren Arbeitgeber mit zwei renommierten Universitäten, Carnegie Mellon und Purdue, zusammengearbeitet hat, um Inhalte und Lehrpläne zu entwickeln. "Wir haben ihnen geholfen, ihr Cybersicherheitsprogramm aufzubauen, und im Gegenzug haben wir junge, hoch motivierte Kandidaten gefunden. Einige dieser Studenten haben später für das Unternehmen gearbeitet, sagt er.

Curry vertritt den Standpunkt, dass kein Hintergrund oder Universitätsabschluss tabu ist. Er sucht nach Talenten in so unterschiedlichen Bereichen wie Kunst, Technik, Vertrieb und Gesundheitswesen. Ein Abschluss in Geschichte oder Philosophie kann ebenso begehrt sein wie ein Hintergrund in Cybersicherheit.

Talentförderung durch Mentoring und Lehrlingsausbildung

Es gibt zwar keine einheitliche Methode, um neue Mitarbeiter mit wenig oder gar keiner Sicherheitserfahrung zu produktiven Cybersicherheitsexperten zu machen, aber einige Methoden haben sich als wirksam erwiesen. So hat Curry beispielsweise Ausbildungs- und Mentorenprogramme eingerichtet. Neu eingestellte Mitarbeiter, auch solche, die aus unkonventionellen Bereichen kommen, bekommen einen Hauptmentor zugewiesen. Darüber hinaus wird jeder im Cybersicherheitsteam ermutigt, zu coachen und auszuhelfen.

In der Tat ist die kulturelle Komponente entscheidend. "Jeder im Team ist dafür verantwortlich zu helfen, wenn er sieht, dass jemand Schwierigkeiten hat und Hilfe braucht", erklärt Curry. Während der neue Mitarbeiter also formale Anweisungen und Schulungen in Form von Modulen und Kursen erhält, kann ein etabliertes Teammitglied auch fragen, ob er praktische Tipps benötigt.

Darüber hinaus sagt Curry, dass er bestrebt ist, "es weiterzugeben", indem er auf Hilfsanfragen von Menschen außerhalb des Unternehmens reagiert, was schließlich dazu führen kann, dass jemand bei Cybereason arbeitet.

Curry zufolge ist es für alle Beteiligten von Vorteil, wenn neue Mitarbeiter mit unterschiedlichem Hintergrund einbezogen werden und von Mentoren betreut werden, damit sie sich schnell einarbeiten können. Mit der Zeit "verfügt das Unternehmen über einen breiteren und tieferen Pool an Fachwissen. Man kann die Leute im Notfall austauschen und hat am Ende eine Belegschaft, die über flexiblere Fähigkeiten verfügt.

Die Quintessenz

Offene Stellen im Bereich der Cybersicherheit zu besetzen, ist für die meisten Unternehmen nach wie vor eine große Herausforderung. Eine Möglichkeit, das Problem anzugehen, besteht darin, das Universum der Bewerber zu erweitern und Ihre Einstellungsmethoden neu auszurichten, um intelligente und motivierte Menschen mit nicht sicherheitsbezogenem Hintergrund und aus anderen Bereichen einzubeziehen. Vielleicht werden Sie dafür belohnt: (ISC)² hat herausgefunden, dass Quereinsteiger eine der wichtigsten Quellen für neue Mitarbeiter im Bereich Cybersicherheit sind. "Stellen Sie sicher, dass das Netz für unentdeckte Talente so weit wie möglich ausgeworfen wird", heißt es. [5]

[1] " (ISC)² Finds the Cybersecurity Workforce Needs to Grow 145% to Close Skills Gap and Better Defend Organizations Worldwide ," (ISC)².

[2] Ebd.

[3] " The cybersecurity talent shortage ," Deloitte.

[4] " Die 3 wichtigsten Vorteile von Open-Source-Programmen für Unternehmen ," Opensource.com.

[5] (ISC)² Finds the Cybersecurity Workforce Needs to Grow 145% to Close Skills Gap and Better Defend Organizations Worldwide ," (ISC)².