На фоне дефицита кадров, влияния ИИ и стресса CISO первоочередной задачей становится устойчивость рабочей силы. Стивен Форд из Rockwell Automation обсуждает вызовы и стратегии управления нагрузкой, выгоранием и наймом талантов в сфере кибербезопасности. — csoonline.com
На фоне сохраняющегося дефицита кадров, трансформации ролей под влиянием ИИ и стресса в коллективе, что является постоянной проблемой для многих CISO, обеспечение устойчивости рабочей силы стало первоочередной задачей. Однако из-за бюджетных ограничений, требований о возвращении в офис и команд, с трудом поспевающих за ландшафтом угроз, CISO сталкиваются с реальным вызовом.
Стивен Форд, вице-президент и CISO в Rockwell Automation, знает, с чем сталкиваются многие CISO: часто бывает трудно найти должным образом квалифицированные ресурсы для реализации надежной программы и возможностей кибербезопасности. «Поэтому устойчивость рабочей силы является важным фактором», — говорит Форд.
Устойчивость рабочей силы требует планирования на основе данных, управления сочетанием навыков и заботы о команде как о еще одном элементе управления рисками.
Как CISO подходят к планированию рабочей силы
Поскольку характер работы в сфере кибербезопасности непредсказуем, Форд активно следит за своей командой, чтобы понимать, как она справляется с нагрузкой. «Достаточно много проектной работы, но также много работы, которая является реакцией на события, и в зависимости от того, сколько событий или проблем мы обнаружим, мы можем легко перегрузить команду», — говорит он.
Это беспокойство обосновано: исследование ISC2 Cybersecurity Workforce Study 2025 года показало, что 47% респондентов сообщают о том, что чувствуют себя перегруженными объемом работы, который от них ожидают.
Джон Фрэнс, CISO ISC2, согласен с тем, что устойчивость рабочей силы — управление стрессом, выгоранием и рабочей нагрузкой — является постоянной проблемой, а не второстепенным вопросом.
«Забота о команде и использование ее потенциала без ее истощения также стоит на нашей повестке дня», — говорит Фрэнс.
Форд разработал стратегии не только для привлечения талантов, но и для поддержания их интереса и помощи им в преодолении взлетов и падений повседневной жизни в кибербезопасности. «Я сосредоточился на мониторинге рабочей силы и стараюсь получить четкое представление о поступающих рабочих нагрузках».
Наличие должным образом укомплектованной команды важно, и здесь данные помогают оценить рабочую нагрузку и обосновать необходимость выделения ресурсов. «Иногда бывает немного сложно охватить это, но правильные процессы и возможность измерять работу помогают рассчитать ожидаемую рабочую нагрузку и определить приемлемый уровень ресурсов для поддержки этой нагрузки», — говорит Форд.
Проблема количественной оценки рабочей нагрузки и обоснования решений о выделении ресурсов является распространенной. Согласно исследованию ISC2, только 55% респондентов считают, что их организации располагают необходимыми ресурсами для адекватного реагирования на инциденты безопасности в ближайшие два-три года.
Выгорание ведет к неудовлетворенности работой
Выгорание — постоянная проблема для многих CISO и их команд, особенно когда непредсказуемые события могут вызвать всплески рабочей нагрузки, выгорание может быстро обостриться. «Это то, что может быстро ошеломить», — говорит Форд.
Отраслевые опросы продолжают сигнализировать о постоянном выгорании, которое приводит к неудовлетворенности работой. Исследование ISC2 показало, что почти половина респондентов (48%) заявили, что чувствуют себя измотанными, пытаясь быть в курсе последних угроз и новых технологий.
Форд подходит к этому как к проблеме лидерства и операционной модели, поддерживая связь с рабочими нагрузками в команде и имея устойчивый приток талантов, чтобы избежать их перегрузки из-за текучести кадров. «Я стараюсь нанимать хороших людей, давать им возможность работать и делегировать как можно больше».
Хотя полностью устранить эти проблемы сложно, использование данных для информирования об уровне укомплектованности штата, стремление максимально сбалансировать рабочие нагрузки и внимание к культуре, окружающей команду, — вот некоторые из стратегий Форда.
«Мы тратим время на создание хороших команд, и нам нужно тратить время на понимание проблем, рабочей нагрузки и того, что они чувствуют по поводу работы».
ИИ как усилитель возможностей, а не стратегия по численности персонала
Инструменты и технологии всегда меняли роли, и с ИИ ситуация не иная. На этот раз это масштаб и скорость внедрения, страх, неуверенность и сомнения относительно того, что это означает для должностей начального уровня.
Более двух третей (69%) респондентов находятся на пути к регулярному использованию ИИ, указывает ISC2, что включает оценку, тестирование и интеграцию этих инструментов в их деятельность.
В компании-разработчике программного обеспечения Kantata наблюдается переход к модели рабочей силы, дополненной ИИ, которая отдает приоритет автоматизации задач с большим объемом и интеграции ИИ-копилотов в качестве усилителя возможностей для членов команды. Это включает в себя области с высоким трением, такие как TPRM, оценки безопасности, например, ответы на RFP/RFI, и мониторинг угроз для значительного снижения операционного шума.
«Автоматизируя первый этап приема данных и сортировки оповещений, наши команды могут сосредоточиться на инцидентах с высокой степенью достоверности и стратегическом принятии решений, а не на повторяющихся ручных задачах», — говорит Тайсон Кирни, CISO и DPO Kantata.
Чтобы это не привело просто к увеличению рабочей нагрузки, они реинвестируют сэкономленное время в формализованное повышение квалификации, гарантируя, что прирост эффективности поддерживает долговечность команды и профессиональный рост. Кирни считает, что автоматизация в сочетании с повышением квалификации помогает снизить выгорание и позволяет внутреннему опыту адаптироваться к ландшафту угроз. «Это обеспечивает нашу долгосрочную устойчивость, сохраняя институциональные знания и предоставляя нашим талантам четкий карьерный путь с высоким ростом».
Фрэнс видит, что ИИ меняет работу начального уровня, но не устраняет ее. Приводя пример аналитиков SOC, он говорит, что это не заменит человека в цикле. «Но это позволит им быстрее принять решение или, по крайней мере, получить более точное представление о происходящем».
Он признает опасения по поводу потери фундаментального опыта, но считает, что они уже проходили через это с другими техническими революциями. «Я думаю, это изменит некоторые роли, но в конечном итоге не заменит их. В сочетании с этим это прирост эффективности», — говорит Фрэнс.
Кирни считает, что ИИ сжимает карьерную лестницу за счет автоматизации повторяющихся задач Уровня 1, которые традиционно служили ученичеством начального уровня. Следовательно, младшие роли смещаются от ручной сортировки к более сложному решению проблем — на благо как сотрудников, так и организаций.
«Это вынуждает новых сотрудников обладать архитектурными и стратегическими навыками гораздо раньше в своей карьере, что в конечном итоге потенциально приводит к большей зависимости от возможностей ИИ для успеха этих людей», — говорит Кирни.
У сотрудников есть выделенное время для обучения, и цель состоит в том, чтобы команда развивала глубокие архитектурные знания с опытом «человека в цикле», который все чаще требуется для сложной защиты. «Этот подход превращает «стремление к обучению» в четкий карьерный путь, который ценит институциональные знания и непрерывную профессиональную эволюцию», — говорит Кирни.
Создание команды кибербезопасности на фоне дефицита навыков
Управление рабочей нагрузкой — это повседневная забота, но наряду с этой проблемой стоит задача создания правильной команды кибербезопасности — посредством найма и развития существующих сотрудников. Тем не менее, это далеко не простая задача: почти две трети респондентов опроса ISC2 выявили критический или значительный дефицит навыков в своих командах, что подчеркивает, что проблема заключается как в укомплектовании штата, так и в возможностях.
Форд согласен, что трудно найти первоклассные таланты во всех различных дисциплинах кибербезопасности, особенно для такой крупной организации, как Rockwell. Его стратегия заключается в привлечении одного-двух ключевых экспертов в различных дисциплинах с многолетним опытом и добавлении большего числа младших сотрудников, начинающих карьеру. «Соединение их с опытными экспертами позволяет со временем построить эффективную, устойчивую команду, и я видел, как это отлично работает для организаций с программами для начинающих специалистов».
Он также ищет экспертов из смежных дисциплин, таких как инфраструктура, центры обработки данных или разработка приложений, стремящихся прорваться в кибербезопасность. «Я нанимаю не всех. Я нанимаю нескольких ведущих экспертов, а затем создаю конвейер либо через программы для начинающих специалистов, либо через другие подобные мероприятия из технологической сферы для создания эффективной команды кибербезопасности», — говорит он.
В Rockwell действуют программы стажировок и программы для начинающих специалистов, а также налажены тесные связи с местными университетами для привлечения молодых талантов и вовлечения их в свои проекты с надеждой удержать некоторых для работы на полную ставку.
Начинающие специалисты не всегда полностью понимают различные дисциплины и виды деятельности, которыми можно заниматься в кибербезопасности, и Форд говорит, что они сосредоточены на том, чтобы помочь им учиться и заинтересоваться кибербезопасностью. «В итоге вы получаете человека, который предан делу в течение долгого времени и очень сильного сотрудника, и вы можете начать думать о построении конвейера для должностей старшего уровня».
В то время как другие организации могут стремиться восполнить пробелы с помощью внешних поставщиков, таких как поставщики управляемых услуг, Форд сказал, что Rockwell предпочитает развивать таланты и опыт внутри компании. Он считает, что это помогает растить сотрудников с пониманием критически важных знаний об организации и ее деятельности, а не видеть, как этот ценный «лидерский потенциал» остается за пределами здания.
В некоторых случаях специалисты начального уровня могут решать сложные проблемы, исходя из того, что они ближе к новым технологиям. «Некоторые из молодых поколений на самом деле лучше приспособлены и подходят для использования некоторых новых технологий, таких как ИИ, в то время как некоторые из более старых, более опытных специалистов могут быть более традиционалистами», — говорит Форд CSO.
Менеджеры по найму и специалисты по кибербезопасности тесно согласованы: исследование показывает, что решение проблем, сотрудничество, коммуникация, готовность учиться и стратегическое мышление являются основными нетехническими навыками для обеих групп.
Фрэнс расширяет понятие «хорошего специалиста по безопасности», подчеркивая коммуникативные навыки, критическое мышление и любознательность в дополнение к основным техническим навыкам. Подходя к этому таким образом, можно задействовать более широкий пул талантов. «Вам не обязательно иметь техническое образование, вы можете прийти из смежных отраслей и принести этот опыт».
Как CISO могут управлять планированием рабочей силы
1. Встраивайте устойчивость человеческого фактора
- Относитесь к стрессу и выгоранию как к любому другому индикатору риска.
- Разрабатывайте ротации, политики дежурства и укомплектование штата для управления рабочими нагрузками.
2. Используйте ИИ для пересмотра ролей, а не для их устранения
- Для должностей начального уровня сместите задачи с:
– Ручной сортировки → на сортировку и расследование с помощью ИИ.
– Чистой рутинной работы → на суждение, эскалацию и интерпретацию.
- Сохраняйте «человека в цикле» в описаниях должностей и разработке процессов.
3. Защищайте фундаментальное обучение в автоматизированной среде
- Планируйте структурированные пути развития навыков: симуляции, лаборатории, упражнения red/blue, чтобы младшие специалисты по-прежнему изучали то, что автоматизирует ИИ.
- Объединяйте младших специалистов с опытными аналитиками для повышения квалификации и объяснения, почему инструменты принимают те или иные решения.
4. Планируйте сочетание навыков, а не только численность персонала
- Целенаправленно нанимайте специалистов с навыками коммуникации, критического мышления, любознательности, а не только с техническими сертификатами.
- Сопоставляйте свою команду с потребностями как в технической глубине, так и в коммуникации по бизнес-рискам.
5. Рассматривайте культуру как часть устойчивости
- Делегируйте, управляйте конвейером укомплектования штата и уделяйте внимание рабочей нагрузке и культуре команды.
- Поощряйте руководителей подключаться к сетям коллег для обмена информацией и эмоциональной поддержки, признавая, что выгорание CISO является системным риском.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Rosalyn Page