Sự thiếu hụt nhân sự bảo mật an ninh mạng là khủng hoảng hay cơ hội?

Meta, công ty mẹ của Facebook, đã thực hiện đợt sa thải nhân viên cuối cùng vào ngày 24/5, đợt cắt giảm mới nhất trong một loạt đợt cắt giảm đang gia tăng trong lĩnh vực công nghệ. Nhưng trong bối cảnh cắt giảm nhân sự và tuyển dụng đóng băng, có một lĩnh vực đang gặp phải vấn đề ngược lại.

Lĩnh vực an ninh mạng vẫn đang rất cần nhiều chuyên gia hơn, đến mức các nhà phân tích và nghiên cứu trong ngành gọi đó là một cuộc khủng hoảng.

Theo Nghiên cứu lực lượng lao động an ninh mạng năm 2022 của tổ chức phi lợi nhuận ISC2, tình trạng thiếu nhân viên an ninh mạng trên toàn cầu đã tăng 26,2% lên 3,42 triệu, trong đó riêng khu vực châu Á-Thái Bình Dương đã tạo ra khoảng cách là 2,16 triệu nhân viên an ninh mạng.

Nghiên cứu ước tính rằng có 77.425 nhân viên an ninh mạng ở Singapore, với khoảng cách lực lượng lao động là 6.071.

Gia tăng tội phạm công nghệ

Những tác động bất lợi của sự thiếu hụt tài năng này là sâu sắc.

Ransomware hiện đã nổi lên như một kẻ thù công khai mới số một đối với các doanh nghiệp, chính phủ và người tiêu dùng; và các cuộc tấn công vào các thực thể thuộc mọi quy mô đang gia tăng. 

Cơ quan An ninh mạng Singapore đã báo cáo 137 trường hợp ransomware vào năm 2021, tăng 54% so với 89 trường hợp được báo cáo vào năm 2020.

Cũng có những hình thức lừa đảo mới, chẳng hạn như lừa các doanh nghiệp F&B thanh toán cho nhà cung cấp giả thông qua đặt chỗ và đặt hàng giả. 

Những kẻ lừa đảo cũng đã lừa nạn nhân điền vào các biểu mẫu của Google có phù hiệu của Lực lượng Cảnh sát Singapore để truy cập vào tài khoản ngân hàng trực tuyến của nạn nhân hoặc tải xuống ứng dụng ScamShield giả mạo bị nhiễm phần mềm độc hại.

Chúng ta ngày càng dựa vào các dịch vụ đám mây cho mọi thứ, từ làm việc từ xa đến ngân hàng số.

Nhưng sự tiện lợi này lại là con dao hai lưỡi, tạo ra bề mặt tấn công rộng hơn cho tội phạm mạng khai thác.

Họ cũng có nhiều công cụ tiên tiến hơn: Trí tuệ nhân tạo sáng tạo (AI) có thể cho phép những kẻ xấu tạo phần mềm độc hại một cách dễ dàng, thực hiện các cuộc tấn công lừa đảo và bẻ khóa mật khẩu, trong khi deepfakes ở dạng video, hình ảnh hoặc âm thanh có thể được thiết kế để đánh lừa nạn nhân và đánh cắp dữ liệu.

Thiếu chuyên gia an ninh mạng

Bất chấp sự gia tăng rõ rệt của các mối đe dọa trên mạng và mối lo ngại ngày càng tăng của chính phủ về quy mô của vấn đề, lĩnh vực công nghệ nhận thấy mình đang thiếu những chuyên gia cần thiết để chống lại những kẻ xấu.

Trong một nghiên cứu năm 2022 của KPMG, 58% công ty Singapore được khảo sát cũng thừa nhận tổ chức của họ không đủ chủ động trong các hoạt động hợp tác về an ninh mạng, chẳng hạn như với các cơ quan chuyên môn và chính phủ.

Có một số lý do cho việc này. Thứ nhất, mức thù lao đôi khi ở mức thấp hơn thị trường đối với các vai trò bảo mật và có thể có những kỳ vọng không phù hợp đối với những sinh viên mới tốt nghiệp .

Ngành công nghệ cũng thường bị hạn chế bởi các tiêu chí tuyển dụng cũ như bằng cấp, chứng chỉ và số năm kinh nghiệm.

Ví dụ: công việc phân tích an ninh mạng có thể yêu cầu chứng chỉ chuyên môn, chẳng hạn như Chuyên gia bảo mật hệ thống thông tin được chứng nhận (CISSP), yêu cầu tối thiểu 5 năm kinh nghiệm chuyên môn hoặc kinh nghiệm làm việc bảo mật chuyên nghiệp toàn thời gian trực tiếp.

Một sinh viên mới tốt nghiệp về an ninh mạng, khoa học máy tính hoặc lĩnh vực lân cận có thể được coi là không phù hợp với vai trò này.

Giải quyết những vấn đề này sẽ giảm bớt sự thiếu hụt. Nó có thể bao gồm việc tiến hành xem xét kỹ lưỡng các mô tả công việc để đảm bảo chúng phản ánh thực tế các yêu cầu của vị trí.

Các công ty cũng có thể xem xét phương pháp tuyển dụng dựa trên hiệu suất, sử dụng các đánh giá thực tế để cho phép các ứng viên thể hiện kỹ năng và khả năng của họ.

Ví dụ: sáng kiến Hack2Hire của DBS nhằm mục đích tuyển dụng các vị trí trong các vai trò của nhà phát triển và kỹ thuật thông qua chương trình hackathon sẽ kiểm tra khả năng của ứng viên.

Kỹ năng thay đổi nghề nghiệp

Việc đào tạo lại kỹ năng cũng có tiềm năng. Những người lao động đã đảm nhiệm vai trò kỹ thuật, nhưng không phải là an ninh mạng cụ thể, nên có nhiều cách hơn để đạt được các kỹ năng liên quan đến an ninh mạng trong vai trò hiện tại của họ.

Đó là điều đã nằm trong tầm ngắm của Cơ quan Phát triển Truyền thông Infocomm (IMDA), cơ quan này đã thông báo rằng họ sẽ chỉ định các đối tác đào tạo để mở rộng quy mô đào tạo lại kỹ năng trong tương lai gần.

Nhân viên công nghệ có nền tảng về thông tin liên lạc, kỹ thuật hoặc hệ thống thông tin có thể cải thiện triển vọng của họ bằng cách học các kỹ năng về điều tra an ninh mạng, an ninh mạng hoặc tình báo về mối đe dọa cùng những kỹ năng khác.

Các doanh nghiệp cũng không nên cô lập các hoạt động bảo mật của mình - trên thực tế, họ nên sắp xếp chúng phù hợp với các mục tiêu kinh doanh của mình. An ninh mạng không chỉ là công việc của bộ phận CNTT - vệ sinh mạng là một phần trách nhiệm của mỗi nhân viên.

Ngoài ra, các doanh nghiệp cũng nên phát triển một chương trình đào tạo về an ninh mạng, kết hợp an ninh mạng vào các vai trò công việc và tiến hành đào tạo nâng cao nhận thức thường xuyên.

Điều này cũng liên quan đến việc phát triển các chính sách và thủ tục để đảm bảo nhân viên tuân theo các phương pháp hay nhất để bảo vệ tài sản thông tin của công ty. Chỉ khi đó, các doanh nghiệp mới có thể giảm thiểu rủi ro và nâng cao vị thế an ninh mạng tổng thể của mình.

Bất chấp những đám mây đen gần đây bao trùm ngành công nghệ, vẫn có rất nhiều cơ hội trong lĩnh vực an ninh mạng. Các công ty theo truyền thống không được coi là công ty công nghệ - chẳng hạn như ngân hàng, chăm sóc sức khỏe, năng lượng và tiện ích - đang tìm cách tăng cường khả năng kỹ thuật số của họ.

Các chuyên gia công nghệ hoặc nhân viên công nghệ bị sa thải gần đây lo ngại về an ninh công việc trong bối cảnh triển vọng kinh tế không chắc chắn có thể xem xét thay đổi.

(Nguồn: CNA)

Chia sẻ Chia sẻ

Chia sẻ

Lưu tin