Näkökulma: Yritysten kybertarpeet ja -todellisuus eivät kohtaa
Tuoreet raportit mm. ISC2:lta ja IANS:lta kuvaavat kyberalan työmarkkinoita ja budjetteja organisaatioissa. On työvoimapulaa, osaamisvajetta, budjettien puutetta, irtisanomisia, rekryjen jäädytyksiä, työtyytymättömyyttä ja loppuunpalamista. Samaan aikaan avoimeen työpaikkailmoitukseen voi tulla satoja hakemuksia, mutta asiantuntijat eivät silti löydä itselleen töitä. Mistä on kyse?
Organisaatioista 90 % kärsii osaajapulasta. Henkilöstöpulaa suuremmaksi ongelmaksi on kuitenkin nousemassa työnantajien ja työnhakijoiden välillä vallitseva osaamisvinouma. Asiantuntijat ajattelevat, että kyberrooleihin vaaditaan hyvin teknistä osaamista erityisesti tekoälyn, pilven, zero trustin, sovellustietoturvan ja häiriökäsittelyn alueilta. Rekrytoijien toiveissa on kuitenkin ensisijaisesti ongelmanratkaisu-, yhteistyö- ja viestintäkyky sekä utelias ja oppimishaluinen luonne. Tämä ei silti näy työpaikkailmoituksissa, joissa monesti vaaditaan ihmeitä. Rekrytoijat joutuvat taistelemaan samoista harvoista pätevistä osaajista.
Kyberalan työ vaatii laaja-alaista ymmärrystä koko IT-ympäristöstä, verkosta, järjestelmistä ja sovelluksista. Siksi kyberroolit voivat olla vaativia täyttää. Moni onkin päätynyt alalle muista IT-töistä. Vaikka kyberalan koulutusta on paljon tarjolla, aloittelijan voi silti olla vaikea päästä sisään yrityksiin oppimaan töitä käytännössä. Tulokkaiden kannattaisi aloittaa jollain muulla IT:n osa-alueella ja kerätä kokemusta sitä kautta. Erityisesti pilviympäristöjen puutteellinen tuntemus nousee tehokkaan toiminnan esteeksi tiimeissä.
Monilta yrityksiltä puuttuu kasvupolku
Huolestuttavaa on, että lähes kolmanneksella organisaatioista ei ole aloittelijoita kasvamassa seuraavan sukupolven kyberasiantuntijoiksi. Organisaatioilta kaivattaisiin siis aktiivisempaa uusien osaajien kasvattamista ja kouluttamista käytännön töihin. Tämän jälkeen työssä pitäisi pystyä tarjoamaan kehitysmahdollisuuksia ja työoloja, joiden parissa viihtyy eikä pala loppuun.
Organisaatiot selvästi haluavat yhdistää monia osaamisalueita samaan henkilöön, jolloin ne ainakin teoriassa saavat enemmän vastinetta yhdellä palkkauksella. Tämä näkyy sitten työilmapiirissä, kun ihmisistä puristetaan entistä enemmän irti ja tehokkuus onkin vain näennäistä. Tekoälyn käyttö voi jatkossa tehostaa toimintaa hoitamalla perusasioita ammattilaisen puolesta. Samalla se voi vaikeuttaa uusien tulokkaiden pääsyä alalle, mutta toisaalta myös luoda uusia mahdollisuuksia jo alalla oleville. Joka tapauksessa ala kehittyy kovaa vauhtia ja jatkuva oppiminen on tärkeää.
Vähemmän työkaluja olisi usein enemmän
Budjetit rajoittavat nyt työkalujen ostamista. Kaikki uudet investoinnit pitää perustella paremmin ja takaisinmaksua mietitään enemmän. Kybertiimit joutuvat pyörittämään lukuisia työkaluja, joita ei koskaan saada täysin hyötykäyttöön. Työtilanne pahenee jatkuvasti, vaikka aputyökaluja olisi käytössä entistä enemmän. Lähes kaikki tiimit kokevat, että liian pienet resurssit vaarantavat yrityksen operatiivisen toiminnan.
Organisaatiot tarvitsevat työkaluja, mutta pelkästään niillä ei rakenneta kyberturvaa. Kyberturva on enemmän ihmisten tekemiä käytäntöjä, kuin kaupan hyllyltä ostettavia valmiita tuotteita. Päälle liimatuilla pisteratkaisuilla ja vaatimustenmukaisuudella vain usein peitetään kunnollista tietoturvan integrointia osaksi omaa toimintaa. Ironista onkin, että organisaatiot pärjäisivät paremmin vähemmillä työkaluilla ja osaavilla asiantuntijoilla.
Budjetointi ei useinkaan pysy tarpeiden tahdissa
Kyberuhat on ymmärretty ja tietoturvabudjetit kasvoivat keskimäärin tänäkin vuonna hieman. Silti yli kolmannes organisaatioista kärsii budjettien vähenemisestä. Organisaatioiden ja toimialojen välillä on suuria eroja. Valitettavasti budjetointi on yleensä reaktiivista, jolloin vasta koettujen hyökkäysten tai muiden ulkoisten tekijöiden painostamana ollaan valmiita investoimaan kyberturvaan. Koronapandemian aikaiset hullut vuodet ovat takana. Jos silloin jätti asioita tekemättä, nyt niitä voi olla paljon vaikeampi saavuttaa.
Kyberturvan pitää olla nyt mahdollistaja, ei kaiken este ja uhka. Asiantuntijoilta vaaditaan entistä enemmän laaja-alaista teknistä osaamista ja ymmärrystä, erityisesti yrityksen liiketoiminnan kannalta. Kyberturva ei ole enää erillistä päälle liimattua toimintaa, vaan olennainen osa liiketoimintaa ja tuotantoa. Yritysten johto on entistä enemmän mukana, vaikka osallistumisessa on paljon myös hyvesignalointia. Johdon sitoutuminen jääkin tekijöiden mielestä usein liian vähäiseksi.
Ympyrä on sulkeutumassa
Kyberturva kehittyy ja omaksuu yhä enemmän yleisiä IT-maailman toimintamalleja ja periaatteita. Muun muassa ohjelmistokehitys, automaatio, pilvi ja tekoäly muuttavat kyberturvaa insinöörilähtöisemmäksi ja skaalautuvammaksi tuotantotoiminnaksi. Näin kyberturvasta tulee kiinteämpi osa IT-ympäristöä. Ehkä jatkossa ei olekaan enää mitään erillistä kyberturvaa, vaan kyberturva on kiinteä osa kaikkea IT:tä niin kuin alun perin olisi pitänytkin olla.
Blogin kirjoittaja
Antti Leimio
Network Security Architect