Навыки кибербезопасности на рынке труда Великобритании в 2024 году
Опубликовано 16 сентября 2024 г.
Краткое содержание
Это резюме исследования рынка труда в сфере кибербезопасности в Великобритании, проведенного по поручению Департамента науки, инноваций и технологий ( DSIT ). Исследование изучает характер и масштаб пробелов в навыках в сфере кибербезопасности (люди, не имеющие соответствующих навыков) и нехватку навыков (нехватку людей, готовых работать в сфере кибербезопасности) с использованием:
-
Репрезентативные опросы предприятий киберсектора и более широкого круга организаций Великобритании (предприятий, благотворительных организаций и организаций государственного сектора) [сноска 1] .
-
Качественные исследования с участием кадровых агентств, киберкомпаний и средних/крупных организаций в различных секторах.
-
Вторичный анализ вакансий в сфере кибербезопасности в базе данных рынка труда Lightcast, а также обзор предложения специалистов в области кибербезопасности через такие источники, как Управление статистики высшего образования ( HESA ) и Jisc.
Это шестая итерация исследования, которое проводится ежегодно с 2019 года. Этот отчет о рынке труда в сфере кибербезопасности соответствует основным выводам предыдущих лет. Основные выводы следующие:
-
В экономике около половины (44%) предприятий испытывают нехватку навыков в базовых технических областях. Нехватка навыков управления инцидентами увеличилась с 27% в 2020 году до 48% в 2024 году.
-
Спрос на специалистов по кибербезопасности упал, при этом количество вакансий в сфере кибербезопасности сократилось на 32% в период с 2002 по 2023 год. В технологическом секторе наблюдались сложные макроэкономические факторы и сокращение рабочих мест, но кибербезопасность оказалась более устойчивой, чем цифровой сектор в целом.
-
Великобритания добилась значительных улучшений в подготовке новых потенциальных талантов для рынка труда в сфере кибербезопасности, а число выпускников вузов по кибербезопасности увеличилось на 34%.
Пробелы в навыках
Доля предприятий Великобритании с пробелами в базовых и продвинутых технических навыках существенно не изменилась за 6 лет данных. Мы оцениваем, что примерно 637 000 предприятий (44%) имеют пробелы в базовых навыках, когда сотрудники, отвечающие за кибербезопасность, не уверены в выполнении основных задач, изложенных в одобренной правительством схеме Cyber Essentials , и не используют внешних поставщиков услуг кибербезопасности для этих задач. Примерно 390 000 предприятий (27%) имеют пробелы в продвинутых навыках, таких как тестирование на проникновение. Это навыки, которые не передаются на аутсорсинг и которые считаются важными (т. е. подходящими для предприятий с более сложными потребностями в кибербезопасности).
По нашим оценкам, в 2024 году 30% киберкомпаний столкнулись с проблемой нехватки технических навыков, что ниже, чем в 2023 году (49%). Во многих областях, например, в тестировании безопасности, наблюдалось значительное снижение нехватки навыков (23%, по сравнению с 35%). Напротив, нехватка навыков в области криптографии и безопасности связи увеличилась (24%, по сравнению с 12%).
В качественном исследовании работодатели и рекрутеры считали, что ИИ , вероятно, окажет значительное влияние на ландшафт кибернавыков, хотя существовала большая неопределенность относительно того, как будет выглядеть будущее. Было выявлено четыре потенциальных изменения: растущая автоматизация киберзадач (что может привести к потере рабочих мест), потребность в навыках для понимания и использования инструментов ИИ , роли, которые становятся « ИИ- кибер», а не просто «кибер», и появление глубоких специализаций, таких как «машинное обучение кибербезопасности».
Разнообразие
Разнообразие рабочей силы киберсектора соответствует показателям предыдущих лет. В 2022 году наблюдались признаки восходящей тенденции для женщин и людей из этнических меньшинств, но она не была устойчивой. Люди из этнических меньшинств составляют 15% рабочей силы сектора и 9% из тех, кто занимает старшие должности в киберсекторе (т. е. требующие 6 или более лет опыта). 17% рабочей силы составляют женщины, и женщины занимают 12% старших должностей. 13% являются нейроотличными, и эта группа составляет 8% старших должностей. 6% имеют инвалидность, при этом 4% занимают старшие должности. Это говорит о том, что разнообразие остается укоренившейся и постоянной проблемой для рабочей силы в сфере кибербезопасности Великобритании.
Подбор и удержание персонала
Спрос на специалистов по кибербезопасности упал, и эта тенденция отразилась на цифровых и более широких секторах. Это снижение произошло на фоне сложных макроэкономических условий и увольнений в сфере технологий по всему миру. Количество основных вакансий в сфере кибербезопасности сократилось на 32% (с 71 054 в 2022 году до 97 319 в 2023 году). Другие вакансии, требующие навыков в сфере кибербезопасности, также сократились на 39%. Однако, несмотря на сокращение количества вакансий, мы оцениваем, что занятость в киберпространстве все еще увеличилась на 5% за последний год (поскольку новые люди выходят на рынок труда и заполняют устойчивый спрос на должности).
Число студентов, зачисленных на курсы по кибербезопасности, увеличилось на 14% (с 18 270 до 20 890), а число студентов, окончивших курс по кибербезопасности, также увеличилось на 34% (с 4 330 до 5 790). В 2022/23 учебном году в Англии было начато 580 новых стажировок по кибербезопасности, что на 18% больше.
Как и в предыдущие годы, компании киберсектора сообщили, что им сложнее всего заполнить должности для сотрудников с опытом работы от 3 до 5 лет, а 61% вакансий требуют от 2 до 6 лет опыта. Однако отсутствие опыта работы стало меньшей проблемой для компаний киберсектора, у которых были вакансии, которые было трудно заполнить, снизившись между 2021 (35%), 2023 (27%) и 2024 (16%) годами.
Есть некоторые свидетельства отхода от удаленной работы, которая получила широкое распространение во время пандемии. В качественном исследовании некоторые работодатели отметили, что все больше людей возвращаются в офис, а рекрутеры заявили, что клиенты все чаще требуют от кандидатов, чтобы они работали в определенных местах. Это отражено в анализе вакансий, где доля вакансий без указания регионального местоположения (т. е. должности были помечены как «Удаленно» или «По всей Великобритании») снизилась с 28% до 22%. Мы оцениваем, что для удовлетворения спроса требуется около 6800 новых людей каждый год, в дополнение к около 4800 для замены тех, кто покидает сектор, т. е. общая потребность составляет около 11 600 человек в год. В 2023 году в кибербезопасность поступило около 8100 человек, что привело к предполагаемому дефициту в 2023 году в размере около 3500 человек. Это ниже прошлогодней оценки в размере около 11 200 человек. Однако, несмотря на то, что в этом году дефицит рабочей силы сократился, общая нехватка специалистов по кибербезопасности продолжает расти с каждым годом, поскольку накапливается неудовлетворенный спрос прошлых лет.
1. Введение
1.1 Об этом исследовании
Департамент науки, инноваций и технологий ( DSIT ) поручил Ipsos и Perspective Economics провести последнее из ежегодной серии исследований для улучшения понимания текущего рынка труда в сфере кибербезопасности в Великобритании. В феврале 2023 года части Департамента цифровых технологий, культуры, медиа и спорта ( DCMS ), отвечающие за политику кибербезопасности, перешли в новый Департамент науки, инноваций и технологий ( DSIT ). Предыдущее исследование было опубликовано DSIT в 2023 году : (полевые исследования в 2022 году). Исследования до этого были опубликованы DCMS в 2022 году (полевые исследования в 2021 году), 2021 году (полевые исследования в 2020 году), 2020 году (полевые исследования в 2019 году) и 2018 году (полевые исследования в 2018 году).
Исследование 2024 года, как и в предыдущие годы, было направлено на сбор доказательств по следующим вопросам:
- Текущие пробелы в навыках кибербезопасности (т.е. когда у существующих сотрудников или кандидатов на должности в киберпространстве отсутствуют определенные навыки)
- Текущая нехватка квалифицированных кадров, а также уровень и тип рабочих ролей, на которые она влияет (например, нехватка квалифицированных специалистов, работающих или претендующих на должности в кибер-сфере)
- Роль обучения, квалификации, подбора персонала и аутсорсинга в заполнении пробелов в навыках
- Где географически активен рынок труда в сфере кибербезопасности
- Роли, которые называются киберролями, по сравнению с теми, которые таковыми не являются, но требуют аналогичного набора навыков
- Роль, которую агенты по подбору персонала играют на рынке труда в сфере кибербезопасности
- Разнообразие в киберсекторе
- Текучесть кадров в киберсекторе
- Статистика численности кадрового резерва по кибербезопасности в Великобритании
- Оценка общего дефицита кибер-работников
- Мнение кадровых агентов о кадровом резерве и его изменении за последний год
Для справки, любое упоминание «кибер» в этом отчете относится к киберсектору. Любое упоминание «кибербезопасности» относится к тому, как отдельные лица и организации снижают риск кибератак, и является компонентом работы в киберсекторе. Любое зарегистрированное изменение между годами в этом отчете статистически значимо до 95%.
1.2 Краткое изложение методологии
В этом разделе содержится краткое описание методологии исследования. Более подробную методологическую информацию можно найти в прилагаемом техническом отчете.
Методология состояла из 4 направлений:
-
Количественные опросы – Ipsos провел репрезентативный телефонный опрос с 4 аудиториями: общие предприятия, организации государственного сектора, благотворительные организации и компании киберсектора. Основные оценки пробелов и нехватки навыков, указанные в этом исследовании, основаны на данных опроса. Полевые работы проводились с 11 августа по 10 ноября 2023 года.
-
Качественные интервью – Ipsos провел более целенаправленное направление качественного исследования, проведя 28 углубленных интервью, распределенных между киберфирмами, средними и крупными предприятиями и организациями государственного сектора, а также агентами по подбору персонала. В интервью изучались проблемы, с которыми столкнулись эти организации при устранении пробелов и нехватки навыков, а также подходы, которые они использовали в подборе персонала, обучении и разнообразии на рабочем месте. Интервью проводились в период с сентября по ноябрь 2023 года.
-
Анализ вакансий – Perspective Economics проанализировала объявления о вакансиях в сфере кибербезопасности в базе данных рынка труда Lightcast, показав количество, тип и местоположение вакансий по всей Великобритании. Это также касается оплаты труда, описания должностных обязанностей и навыков, квалификации и опыта, которые ищут работодатели. Эта работа в основном охватывала вакансии за 12 месяцев 2023 года, дополняя работу, проделанную в исследовании 2023 года (которое охватывало вакансии с января 2022 года по декабрь 2022 года).
-
Анализ предложения – Perspective Economics воспроизвела методологию, использованную в исследовании пула киберрекрутинга 2021 года, чтобы оценить общий размер текущего пула рекрутинга, а также тех, кто, вероятно, войдет в пул в течение следующих 12 месяцев (в течение 2023 года). Это направление дает дополнительную статистику по разнообразию, образовательному и профессиональному бэкграунду и зарплатам этого пула рабочей силы, а также оттокам из пула.
1.3 Благодарности
Компании Ipsos и Perspective Economics хотели бы поблагодарить коллег из DSIT за управление проектом, поддержку и руководство на протяжении всего исследования.
2. Кто работает в сфере кибербезопасности?
В этой главе рассказывается о людях, занимающихся кибербезопасностью в различных организациях, включая их карьерный путь на этой должности, их специализацию и квалификацию.
Для контекста, за пределами киберсектора, мы попросили участвующие организации выбрать сотрудника, наиболее ответственного за их кибербезопасность, для заполнения опроса. Как и в опросах прошлых лет, эти люди, как правило, не являются киберпрофессионалами.
2.1 Размер киберкоманд
Киберкоманды за пределами киберсектора
Чуть меньше половины предприятий (46%) имеют 1 человека, вовлеченного в управление или контроль кибербезопасности своих организаций. Для благотворительных организаций этот показатель ниже — чуть более трети (35%), однако государственный сектор, по-видимому, лучше всего обеспечен ресурсами, когда дело касается кибербезопасности, и только одна из десяти организаций (10%) имеет команду по кибербезопасности из 1 человека. Уровень укомплектованности киберкоманд, по-видимому, аналогичен уровню прошлого года, процент организаций, имеющих всего 1 человека для управления кибербезопасностью среди частного (50%), государственного (17%) и благотворительного (47%) секторов, остался стабильным. Средний размер киберкоманды для организаций государственного сектора составил 3 человека, а для организаций частного сектора — 2.
Рисунок 2.1 показывает, что крупные предприятия с большей вероятностью имеют киберкоманды из более чем 1 человека, как и было обнаружено в прошлом году. Крупные, средние или даже малые компании с меньшей вероятностью имеют команды из 1 человека, чем микроорганизации. Среди средних и крупных предприятий медианный размер киберкоманды составлял около 3 человек. Согласно прошлому году, менее пятой части крупных (19%) и средних (15%) предприятий имели 4-5 человек на этих ролях.
Рисунок 2.1: Процент предприятий, в которых за кибербезопасность отвечает всего 1 сотрудник
Рисунок 2.2: Процент предприятий, в которых за кибербезопасность отвечает всего 1 сотрудник (данные о тенденциях)
Базы: 130 государственных предприятий; 930 предприятий; 520 микропредприятий; 241 малых; 121 средних; 48 крупных
В частном секторе те, кто передает на аутсорсинг любые аспекты кибербезопасности внешней организации, то есть кибербезопасность предприятия может состоять из смеси аутсорсинговых и неаутсорсинговых задач, как правило, имеют киберкоманды из более чем 1 человека. Почти две трети (64%) тех, кто передает на аутсорсинг, имеют киберкоманду из более чем 1 человека по сравнению с 46% тех, кто не передает на аутсорсинг.
Эти цифры соответствуют результатам прошлого года, в которых 58% из тех, кто передал на аутсорсинг, имели более 1 человека против 43%, которые не делали аутсорсинг. Таким образом, объяснение этого может быть аналогичным прошлому году, что это связано с тем, что крупные предприятия с большей вероятностью передают кибербезопасность на аутсорсинг. В то время как 38% предприятий передают на аутсорсинг, среди крупных предприятий этот показатель увеличивается до 65%. Эта тенденция также была обнаружена в прошлом году, когда 33% предприятий передали на аутсорсинг до 62% для крупных организаций.
Киберкоманды в киберсекторе
Секторальный анализ кибербезопасности за 2024 год показал, что, как и в прошлом году, большинство фирм в киберсекторе Великобритании в этом году являются малыми (24%) или микро (55%) по размеру. Процент микрофирм не изменился по сравнению с прошлым годом (55%), однако наблюдается значительное снижение доли малого бизнеса по сравнению с прошлым годом (27%).
Процент предприятий киберсектора, использующих киберкоманды определенных размеров, остался на уровне прошлого года. Только меньшинство предприятий киберсектора имеют киберкоманду численностью 30 или более человек.
Рисунок 2.3: Процент предприятий киберсектора, в которых работают киберкоманды со следующей численностью людей
2.2. Карьерные пути в кибер-роли
Карьерные пути в кибер-роли за пределами киберсектора
Среди предприятий за пределами киберсектора 84% сообщили, что функции кибербезопасности в их организациях были поглощены постоянной функцией, не связанной с кибербезопасностью (рисунок 2.4), что не отражает никаких изменений по сравнению с прошлым годом.
В качественном исследовании руководители кибербезопасности, которые не были специалистами, обычно брали на себя киберобязанности как часть более широкой роли, например, курируя ИТ для бизнеса или будучи руководителем ИТ. Как и в предыдущие годы, они могли чувствовать себя перегруженными и неспособными уделять достаточно времени кибербезопасности.
Слишком много работы для одного человека. Помимо технической стороны, мы находимся в постоянном цикле аудита, соответствия подключений PSN, следим за непрерывностью бизнеса во всей организации.
(Организация государственного сектора, 250-999 сотрудников)
Руководители служб кибербезопасности, которые брали на себя вопросы кибербезопасности наряду с другими обязанностями, часто обучались этому на работе.
Я охватываю понемногу всего в своей роли. Что касается кибербезопасности, у меня не было никакого опыта в этом до начала этой работы. Я только научился на этой работе.
(Организация частного сектора, 50-249 сотрудников)
Если они и проводили какое-либо обучение, то это было через поставщиков (например, Microsoft) или общедоступные ресурсы, такие как онлайн-обучение Национального центра кибербезопасности или видео на YouTube. Как мы обнаружили в предыдущие годы, стоимость и время являются барьерами для обучения.
Итак, это много онлайн [обучения], и в некоторых случаях лучшим ресурсом является YouTube, потому что у него огромная база пользователей. Есть много людей, которые выкладывают там много хорошей информации. Очевидно, вам просто нужно быть осторожным с тем, что вы смотрите, лучше всего смотреть на проверенные источники.
(Организация частного сектора, 50-249 сотрудников)
Организации вряд ли будут нанимать кого-то извне на должность, связанную с кибербезопасностью, если он уже работал в сфере кибербезопасности (3%). Этот показатель аналогичен прошлогоднему (4%) и показывает, что организации по-прежнему неохотно нанимают внешних специалистов по кибербезопасности, предпочитая включать обязанности по кибербезопасности в обязанности текущих сотрудников.
Рисунок 2.4: Процент лиц, занимающих должности в киберсфере за пределами киберсектора, которые пришли в нее через определенные карьерные пути в 2020-2024 гг.
Базы: Все предприятия; 2024: 1060; 2023: 1108; 2022: 1070; 2021: 1041; 2020: 1152
Имеют ли киберроли соответствующую маркировку в разных организациях?
Среди благотворительных организаций кибербезопасность в основном освещалась неформально (83%), и только 14% благотворительных организаций сообщили, что кибербезопасность была формальной частью их должностных обязанностей. Однако доход благотворительных организаций повлиял на эти цифры: меньшее количество благотворительных организаций с доходом 500 000 фунтов стерлингов или более (65%) освещали кибербезопасность неформально, чем благотворительные организации с доходом менее 100 000 фунтов стерлингов (89%), в то время как для чуть менее трети благотворительных организаций с доходом 500 000 фунтов стерлингов кибербезопасность была формальной частью их должностных обязанностей (31%) по сравнению с 8% для благотворительных организаций с доходом менее 100 000 фунтов стерлингов.
Как и в случае с благотворительными организациями, большинство предприятий неформально занимались кибербезопасностью (90%), но это было менее распространено среди организаций государственного сектора, где только одна из двух занималась кибербезопасностью неформально (50%). В то время как крупные (41%) и средние (28%) предприятия с большей вероятностью включали кибербезопасность в качестве формальной части своих должностных обязанностей, чем микро- или малые организации (7%).
В качественном исследовании мы услышали две причины, по которым роли в кибербезопасности выполняются неформально. Одна из них заключается в том, что в организации нет осознанной необходимости в специальном человеке по кибербезопасности.
Кибербезопасность — часть моего описания работы. Они не хотят или не должны идти в направлении найма специального человека по кибербезопасности.
(Организация государственного сектора, 50-249 сотрудников)
Во-вторых, потребность в этом есть, но высшее руководство пока ее не осознало.
В моей команде нет специалиста по кибербезопасности. Я беру эту роль на себя вместе с другими обязанностями, которые у меня есть в бизнесе. Я бы с удовольствием имел в своей команде специалиста по кибербезопасности. Для компании нашего размера он действительно нужен. Вот что я веду к членам совета директоров.
(Организация частного сектора, 50-249 сотрудников)
Чуть меньше половины работников киберсектора пришли с предыдущей должности в кибербезопасности (48%). Эта цифра оставалась близкой к половине с тех пор, как этот вопрос был задан в 2020 году, как показано на рисунке 2.5. В этом году около трети работников киберсектора были наняты с должностей, не связанных с кибербезопасностью (35%), что опять же сопоставимо с прошлым годом (33%).
Менее одного из пяти работников кибер-сферы присоединились к ней в качестве новичка в карьере (17%), что в целом соответствует показателю прошлого года (20%). Как и в предыдущие годы, киберфирмы чаще нанимают тех, кто уже работает в кибер-сфере (48%), чем тех, кто только начинает карьеру (17%).
Рисунок 2.5: Процент работников киберсектора, пришедших в него по определенным карьерным путям
Базы: 171 предприятие киберсектора (без учета тех, которые не смогли сократить численность своей рабочей силы)
Предлагаются ли стажировки или производственные практики в киберсекторе?
Аналогично, в предыдущем году чуть менее трети киберфирм (30%) предлагали какие-либо стажировки или рабочие места. Этот показатель оставался стабильным с момента введения этого вопроса, составляя 29% в прошлом году, 27% в 2021 году и 28% в 2020 году. Как и в прошлом году, этот показатель был выше среди тех, кто пытался нанять сотрудников в течение последних полутора лет (51%) по сравнению с теми, кто этого не делал (11%).
2.3 Специализации компаний киберсектора Великобритании
Доля рабочей силы киберсектора, работающей по определенным специальностям
Второй год это исследование включает вопрос для измерения доли рабочей силы, которая работает в специализации, обозначенной в структуре карьеры Совета по кибербезопасности Великобритании. Как и в прошлом году, наблюдается высокая распространенность специалиста по кибербезопасности, и чуть более 6 из 10 компаний киберсектора имеют человека на этой должности (62%). И снова в этом году цифровая криминалистика и криптография и безопасность коммуникаций имели самый низкий процент покрытия в киберсекторе.
После Cyber Security Generalist, Cyber Security Governance and Risk Management составили самую большую долю ролей в кибер-сотрудниках (46%), что является небольшим изменением по сравнению с прошлым годом, когда Cyber Security Management был вторым по распространенности. Доля профессионалов, работающих в каждой из специализаций, оставалась стабильной в период с 2023 по 2024 год.
Рисунок 2.6: Процент работников киберсектора, работающих по каждой из 16 специализаций, указанных в Карьерной структуре Совета по кибербезопасности Великобритании, в сравнении с 2023 г. по 2024 г.
Базы: Предприятия киберсектора, где были указаны специализации; 2024: 144; 2023: 137
В этом году был включен вопрос о том, какие обязанности считаются частью роли специалиста по кибербезопасности. Специалисты по кибербезопасности часто должны иметь обязанности в различных областях кибербезопасности. Для компаний киберсектора, которые заявили, что у них есть роль специалиста по кибербезопасности, чуть более восьми из десяти (83%) считали, что обязанностью специалиста является консультирование ИТ-персонала и руководителей бизнеса по рискам и средствам контроля кибербезопасности, включая процедуры и поведение персонала, тогда как чуть более половины (51%) считали, что специалисты общего профиля отвечают за набор, обучение и оценку других в отношении кибербезопасности.
В качественном исследовании мы спрашивали работодателей и рекрутеров, что они понимают под термином «универсал». Распространенное определение — это один человек или небольшие киберкоманды, которые имеют широкий спектр обязанностей в области кибербезопасности.
Это человек, который вмешивается во многие дела, но не мастер ни в одном! Я бы отнес себя к категории специалистов по кибербезопасности.
(Организация государственного сектора, 1000 или более сотрудников)
Другое распространенное понимание генералиста — это старший человек, такой как главный офицер безопасности или консультант, который должен работать по всей области и понимать как стратегические, так и операционные элементы кибербезопасности. Роль «генералиста» также ассоциировалась с управленческими/нетехническими ролями.
Я бы сказал, что довольно много из нас, старших консультантов, все еще являются специалистами широкого профиля. За свою карьеру я посмотрел на множество разных вещей, множество разных областей.
(фирма киберсектора, 1000 или более сотрудников)
Качественный отзыв о структуре киберкарьеры Совета по кибербезопасности Великобритании
Большинство работодателей и рекрутеров, принявших участие в качественном исследовании, не слышали о Cyber Career Framework или 16 специализациях по кибербезопасности. Работодатели киберфирм с большей вероятностью имели некоторую осведомленность о Framework.
Работодатели и рекрутеры считали, что использование Cyber Career Framework имеет свои преимущества. Некоторые считали, что это может быть полезно для людей, думающих о работе в киберсекторе или только начинающих свою карьеру, поскольку оно объясняет, что подразумевают различные роли в кибербезопасности.
Если бы я поставил себя на место любого из этих детей, безопасность как тема для них — это безопасность, но что это на самом деле? Эта структура разбивает ее на более мелкие роли, и если они ее прочитают, это даст им немного понимания того, что инженерия безопасности делает это, вы заставляете вещи работать, вы общаетесь с бизнесом и тому подобное. Она дает им эту детализацию и пытается воплотить ее в жизнь для них. Потому что когда вы смотрите на кибер, вы почти не знаете, с чего начать. Это дает им эту отправную точку.
(Агент по подбору персонала)
Помимо того, что данная структура является ценным ресурсом для новых участников, некоторые полагают, что она может стать полезным инструментом для обеспечения общего понимания между работодателями и поставщиками образовательных услуг.
Возможность работать, используя эту структуру в качестве совместной структуры между работодателем и колледжем, чтобы сказать: «Ну, давайте попробуем включить как можно больше или все эти аспекты». Это было бы здорово, потому что для нас обоих есть общая структура.
(Организация государственного сектора, 1000 или более сотрудников)
Некоторые организации, не работающие в сфере кибербезопасности, посчитали, что данная структура будет полезна при подборе персонала на должности в сфере кибербезопасности, например, при написании должностных инструкций и предоставлении рекомендаций по вопросам, которые следует задавать потенциальным кандидатам.
Я бы использовал это в процессе собеседования при собеседовании с универсалом. У меня были бы вопросы к кандидату относительно этих различных ролей и обязанностей.
(Организация частного сектора, 1000 или более сотрудников)
Работодатели увидели преимущества использования Структуры для выявления пробелов в обучении в своих организациях.
Если бы моя компания пыталась улучшить свои знания по кибербезопасности для своей команды, они могли бы использовать что-то вроде этого. Сотрудники смогли бы лучше поддерживать наших клиентов с точки зрения управления активами или управления инцидентами.
(Организация государственного сектора, 50-249 сотрудников)
Однако несколько работодателей посчитали, что ни Framework, ни 16 специализаций не имеют отношения к их организации. Они считали, что это больше подходит для крупных организаций или что их организациям не нужно знать эти навыки.
Похоже, он больше рассчитан на более крупный бизнес, а не на наш.
(Организация частного сектора, 50-249 сотрудников)
Несколько работодателей посчитали, что на практике 16 специализаций пересекаются и не настолько различимы, как это изображает Framework. Один из них отметил, что Framework разделяет разные роли.
Моя непосредственная проблема заключается в том, что разрозненность того, что и так довольно разрозненно. Большая часть работы, которую мы проводим с клиентами, заключается в том, чтобы помочь им преодолеть разрозненность в некоторых из их команд. Любой, кто работает в сфере безопасности, должен понимать управление уязвимостями, обнаружение включений, разведку угроз, реагирование на инциденты. Так в чем же разница между этими ролями? Действительно ли есть смысл в их разделении? (фирма киберсектора, 1000 или более сотрудников)
Однако в целом работодатели и рекрутеры отнеслись к Рамкам положительно, а некоторые заявили, что было бы полезно повысить осведомленность о них.
Более широкое продвижение этой структуры навыков, будь то через каких-то отраслевых тяжеловесов или людей, которые будут продвигать это в отрасли. Возможность продвигать это, безусловно, была бы хорошей вещью.
(Агент по подбору персонала)
2.4 Квалификации сотрудников компаний киберсектора Великобритании
Распространенность различных типов квалификаций в области кибербезопасности
В этом году 63% компаний киберсектора сообщили, что у них есть сотрудники, работающие над получением квалификации или сертифицированного обучения в области кибербезопасности. Этот вывод соответствует как прошлому году (61%), так и позапрошлому году (62%), что указывает на то, что уровни относительно стабильны в последние годы.
На рисунке 2.7 показаны квалификации, которые, по словам киберфирм, имеют их сотрудники. Как и в прошлом году, чуть менее половины всех киберфирм (46%), независимо от того, имели ли они квалификацию или работали над ее получением, заявили, что у сотрудников есть техническая квалификация или сертифицированное обучение. 27% киберфирм заявили, что у сотрудников есть специальное высшее образование, почти такое же, как и в прошлом году (28%). Количество ученичества по кибербезопасности (11%) осталось относительно стабильным по сравнению с прошлым годом (18%). Мы рассмотрим ученичества более подробно в разделах 6.1 и 9.4.
Рисунок 2.7: Процент компаний киберсектора, имеющих персонал со следующими типами квалификаций или аккредитаций
Базы: Все киберфирмы: 180; Все имеющие или работающие над получением квалификации 114
Рисунок 2.8: Процент компаний киберсектора, имеющих персонал со следующими типами квалификаций или аккредитаций (данные о тенденциях)
Базы: Все киберфирмы: 180
Качественные выводы о профессиональных стандартах и статусе дипломированных специалистов по кибербезопасности Совет по кибербезопасности Великобритании создал первые профессиональные стандарты по кибербезопасности, с которыми в конечном итоге будут сравниваться обучение и квалификации по кибербезопасности. Он также создал профессиональные звания (включая диплом) для различных специализаций по кибербезопасности, чтобы указать уровень компетентности специалиста. Профессиональные звания теперь доступны в Governance and Risk Management, Secure System Architecture and Design и Audit and Assurance через CIISec и Security Testing через The Cyber Scheme. Более 100 специалистов теперь имеют профессиональные звания. Названия для других специализаций будут опубликованы в надлежащее время.
Как и в случае с Cyber Career Framework, большинство не знали об этом пути получения чартера, хотя работодатели из киберкомпаний, скорее всего, слышали о нем.
Отношение к профессиональным стандартам и идее чартеров было в основном положительным. Некоторые считали, что это обеспечит стандартизацию киберсектора, как это уже происходит в других профессиях.
Существуют профессиональные стандарты для других ролей, например, бухгалтеров и инспекторов. Это фактически даст работодателям понимание того, что они имеют дело с квалифицированными специалистами, которые обладают определенными навыками.
(Организация частного сектора, 50-249 сотрудников)
Аналогично, некоторые считали, что чартер принесет доверие к профессии. Он продемонстрировал работодателям, а также клиентам, что эти люди были достаточно квалифицированы для выполнения определенных ролей.
Это было бы очень полезно при наборе персонала, чтобы иметь эти профессиональные стандарты, которых люди должны достичь, и я предполагаю, что они должны регулярно проходить повторную квалификацию. Вы не просто верите им на слово, у вас есть профессиональные стандарты, на которые можно ориентироваться.
(Организация частного сектора, 1000 или более сотрудников)
У некоторых были практические вопросы: сколько времени займет чартер, сколько он будет стоить, как будет проходить переквалификация и как будут оцениваться кандидаты. Некоторые были обеспокоены тем, что чартер будет фокусироваться на академических способностях в ущерб практическому опыту. Некоторые задавались вопросом, как чартер будет соответствовать существующим стандартам и аккредитациям.
Может быть, со временем я смогу увидеть, как они войдут в игру, но там уже есть стандарты, как у вас есть сертификации CREST, ISC2. Нужно понять, как эти стандарты будут вписываться в эти. Как они соотносятся?
(фирма киберсектора, 1000 или более сотрудников)
Некоторые работодатели заняли выжидательную позицию, заявив, что будут рассматривать возможность чартера только в том случае, если он станет широко признанным в отрасли или будет востребован клиентами.
Мы можем начать использовать его, если об этом попросят клиенты. 50% нашего бизнеса — это государственный сектор, а 50% — коммерческий, поэтому он будет руководствоваться потребностями отрасли.
(фирма киберсектора, 1000 или более сотрудников)
Кроме того, некоторые задавались вопросом, будет ли чартер достаточно динамичным, чтобы учитывать быстрые изменения, наблюдаемые в киберсекторе по сравнению с другими профессиями. Необходимость быть в курсе событий также была поднята в отношении Cyber Career Framework.
То, что мы делали 2 года назад, уже устарело. Вам нужно быть динамично настроенным в киберпространстве, чтобы понимать все, что происходит дальше». (фирма киберсектора, 1-9 сотрудников)
3. Разнообразие в кибербезопасности
В этой главе рассматривается разнообразие в кибер-сотрудниках, уделяя особое внимание полу, этнической принадлежности, инвалидности и нейроразнообразию [сноска 2] . Она включает оценки разнообразия из количественного опроса и качественные результаты.
Как и в предыдущие годы, вопросы опроса о разнообразии задаются компаниям киберсектора, а не более широкому деловому сообществу. Поскольку киберкомпании являются основными рекрутерами и работодателями для должностей, связанных с киберпространством, и поскольку большинство предприятий выполняют киберроли неформально, включение предприятий даст неточную картину разнообразия в рабочей силе кибербезопасности. Качественные результаты включают в себя точки зрения некиберорганизаций и агентов по подбору персонала.
3.1 Оценки разнообразия в киберсекторе
Вся статистика рабочей силы
Важно помнить, что данные этого исследования представляют собой оценки уровня рабочей силы, полученные из данных опроса работодателей. Как и в предыдущие годы, поскольку эти оценки могут быть очень изменчивыми, мы проверили наличие выбросов, но в этом году никаких выбросов выявлено не было.
Как видно из рисунка 3.1, доля женщин в кибер-работе составляет 17%, что ниже, чем в целом по рабочей силе Великобритании и в цифровой рабочей силе (хотя разрыв менее выражен). 15% кибер-работников имеют этническое происхождение, что соответствует общей численности рабочей силы Великобритании. Напротив, 6% являются инвалидами [сноска 3] , что ниже, чем в цифровой и британской рабочей силе, та же картина, что и в предыдущие годы. [сноска 4] 13% кибер-работников являются нейроотличными. Надежной статистики для сравнения этого показателя с другими секторами нет.
Рисунок 3.1: Процент рабочей силы киберсектора, которая относится к следующей разнообразной группе
База: c140 киберсектор бизнеса для всех оценок рабочей силы (в каждом случае за исключением тех, кто не смог ответить на эти вопросы или отказался)
Общая тенденция такова, что доля представителей этих демографических групп на руководящих должностях ниже, чем среди кибер-работников в целом. [сноска 5]
Как показано на рисунке 3.2, разнообразие в киберсекторе в целом осталось стабильным по сравнению с предыдущими годами. Доля женщин, этнических меньшинств, инвалидов и нейроотличных в рабочей силе оставалась в целом стабильной за последние пять лет. Начало восходящей тенденции в 2022 году для лиц из этнических меньшинств и женщин не было поддержано, и сейчас есть признаки нисходящей тенденции для этнических меньшинств. Доля нейроотличных работников со временем растет.
Рисунок 3.2: Процент рабочей силы киберсектора, которая относится к следующей разнообразной группе (данные по всем тенденциям рабочей силы киберсектора)
База: около 140–220 предприятий киберсектора для всех оценок рабочей силы (в каждом случае за исключением тех, кто не смог ответить на эти вопросы или отказался)
Статистика по старшему составу рабочей силы
Старшие киберспециалисты определяются как те, кто имеет 6 или более лет опыта. Последнее исследование не обнаружило существенных изменений в уровне разнообразия на старшем уровне за последний год. Как видно на рисунке 3.3, доля людей с ограниченными возможностями на старших киберролях была стабильно низкой с течением времени. Доля женщин на старших киберролях была стабильной после снижения в период с 2021 по 2022 год.
Рисунок 3.3: Процент рабочей силы киберсектора, которая относится к следующей разнообразной группе (данные о тенденциях в отношении старшей рабочей силы киберсектора)
База: около 140–220 предприятий киберсектора для всех оценок рабочей силы (в каждом случае за исключением тех, кто не смог ответить на эти вопросы или отказался)
3.2 Отношение к многообразию рабочей силы
В качественном исследовании работодатели определяли разнообразие разными способами, включая разнообразие по полу, этнической принадлежности, инвалидности, нейроотличиям, сексуальности, социальному классу, религии, национальности и возрасту. Как мы обнаружили в предыдущие годы, работодатели не воспринимали киберсектор как очень разнообразный, особенно с точки зрения женского представительства и этнической принадлежности, которые, как правило, были наиболее распространенными способами, которыми работодатели думали о разнообразии.
Как отрасль, она неоправданно доминирует среди белых мужчин. Всегда важно убедиться, что вы даете [женщинам и этническим меньшинствам] возможность войти.
(Организация государственного сектора, 250-999 сотрудников)
Связанный с этим момент заключается в том, что восприятие отрасли может формироваться стереотипом о белых мужчинах в темных комнатах.
В отрасли не хватает ролевых моделей. Если вы думаете о кибермире, то это очень ориентированные на белых мужчин, в возрасте 25-30 лет, пьющих Red Bull перед экраном. Это стереотип.
(фирма киберсектора, 1-9 сотрудников)
Хотя работодатели считают проблемой отсутствие разнообразия в киберсекторе, некоторые полагают, что ситуация меняется к лучшему.
Не очень разнообразно, но пытается. Самое заметное — это гендерное разнообразие.
(фирма киберсектора, 1000 или более сотрудников)
Это подтвердили и рекрутеры, которые заявили, что работодатели все чаще требуют разнообразных кандидатов. Это отчасти связано с тем, что разнообразные команды ценятся за лучшую работу.
Я думаю, это действительно ключевая вещь. Я думаю, что все теперь понимают, что разнообразные команды — это гораздо более результативные команды.
(Агент по подбору персонала)
Некоторые работодатели отметили, что разнообразные команды особенно важны для кибербезопасности из-за необходимости решать проблемы и постоянно противостоять угрозам.
Кибербезопасность во многом связана с решением проблем. Когда вы бросаете проблему в команду людей, вы надеетесь, что каждый из них придумает свой способ ее решения. Это первая часть. Вторая часть заключается в том, что все чувствуют себя достаточно комфортно, чтобы поделиться.
(фирма киберсектора, 10-49 сотрудников)
Более широким фактором является желание иметь разнообразную рабочую силу. Один агент по подбору персонала считал, что это особенно актуально для руководящих должностей.
Для руководящих должностей, безусловно. Если вы публичная компания, то есть давление, чтобы иметь разнообразное руководство. Но даже на должностях архитекторов или инженеров определенно есть давление, чтобы попытаться составить разнообразные короткие списки. Мы, вероятно, получим удар по рукам, если, например, отправим короткий список из, скажем, четырех или пяти человек, и все они будут белыми мужчинами.
(Агент по подбору персонала)
Однако некоторые работодатели в киберпространстве посчитали, что, хотя им удалось набрать разнообразных кандидатов на должности начального уровня и более младшие должности, разнообразие на старших уровнях представляет собой особую проблему. Одним из способов борьбы с этим является наличие программ лидерства и наставничества для разнообразных сотрудников.
В целом, мы находимся на паритете по половому признаку в первые годы обучения, при наборе в аспирантуру и [их схемах ученичества]. У нас хороший этнический разнообразный микс в этих классах. По мере того, как вы становитесь старше, это имеет тенденцию к отбеливанию, и количество мужчин или доля мужчин увеличивается.
(фирма киберсектора, 1000 или более сотрудников)
Это один из примеров разнообразия инклюзивных практик, которые некоторые киберфирмы используют на рабочем месте. Другие примеры — гибкий график работы, внутренние форумы, награды за признание для женщин в киберпространстве, корректировка для людей с ограниченными возможностями и осознание религиозных праздников, таких как Ид. Некоторые государственные и частные организации имеют схожие инициативы по разнообразию, но они распространяются на всю компанию, а не конкретно на кибер-сотрудников.
3.3 Разнообразие в процессах подбора персонала
Чуть меньше половины (47%) киберфирм пытались нанять людей на киберроли с января 2022 года. [сноска 6] Среди этих фирм 42% предприняли некоторые действия для поощрения заявок от разных заявителей, что соответствует 2023 году (40%). Это означает, что они нацелились по крайней мере на один из этих разных бэкграундов. 14% предприняли действия для поощрения заявителей из всех разных бэкграундов, о которых спрашивалось в этом исследовании (женщины, люди из этнических меньшинств, люди с ограниченными возможностями и нейроотличные люди). Это также похоже на 2023 год (18%).
Как видно на рисунке 3.4, и аналогично прошлому году, киберфирмы, скорее всего, сосредоточат свои усилия на наборе женщин. Как мы уже обсуждали, в качественном сегменте работодатели обычно связывали разнообразие с отсутствием женского представительства, что помогает объяснить, почему усилия по набору персонала с большей вероятностью будут направлены на эту группу. Доля киберфирм, которые внесли изменения в набор сотрудников из этнических меньшинств и нейроразнообразных слоев, существенно не изменилась.
Рисунок 3.4: Процент киберкомпаний, которые пытались набрать сотрудников за последние 18 месяцев и внесли изменения в процесс набора персонала в следующих группах
База: 84 компании киберсектора, пытавшиеся нанять сотрудников с начала 2022 года.
В новом вопросе этого года мы спросили киберфирмы о последних конкретных шагах, предпринятых для увеличения заявок из различных групп, сосредоточившись на тех, кто скорректировал набор персонала для разнообразия. Хотя базовый размер (35 фирм) невелик, и поэтому к нему следует относиться с осторожностью, ответы дают представление о наиболее часто используемых стратегиях:
- 43% наняты без получения высшего образования
- 43% посетили сетевые мероприятия/конференции и программы карьерного роста для различных групп
- 40% приняли меры по диверсификации состава высшего руководства
- 40% работали с кадровыми агентствами, чтобы найти более разнообразных кандидатов
- 37% проводили беседы или мероприятия в образовательных учреждениях
- 29% работали с организациями третьего сектора, чтобы помочь выявить и поддержать более разнообразные группы
- 20% наняли сотрудников через схему поощрения разнообразия
- 20% устанавливают показатели/квоты разнообразия при найме В качественных интервью работодатели упоминали наличие более инклюзивных спецификаций вакансий, увеличение разнообразия за счет набора на начальном уровне, использование слепого набора, установление квот, использование реферальных схем и набор сотрудников из других стран.
Мы обрисовываем наши требования. [Внутренняя команда по подбору персонала] следит за тем, чтобы мы не использовали оскорбительные или вызывающие слова или фразы. Они формулируют это тактично, чтобы получить гораздо более широкий отклик.
(фирма киберсектора, 1000 или более сотрудников)
Агенты по подбору персонала заявили, что используют свои сети для поиска разнообразных кандидатов, а также работают с организациями, чтобы гарантировать гибкость и привлекательность их рабочих характеристик. Что касается запросов работодателей, некоторые из них неофициально просили о более разнообразных кандидатах, в то время как другие устанавливали определенные квоты, особенно на основе пола. Один рекрутер сказал, что некоторые организации давали им стимулы для поиска кандидатов с ограниченными возможностями.
Это может также сводиться к обучению с клиентом. Быть открытым и гибким в отношении мест и рабочих схем и тому подобного. Вы гибки в этих вопросах и, следовательно, можете привлекать более разнообразных кандидатов.
(Агент по подбору персонала)
В соответствии с качественными результатами предыдущих лет, работодатели и рекрутеры посчитали, что отсутствие разнообразия в кадровом резерве является основным препятствием для набора людей с различным происхождением. Некоторые работодатели посчитали, что это особенно проблема в их местном регионе, поскольку он не является этнически разнообразным.
Я не думаю, что в этой отрасли достаточно женщин, чтобы набирать. Это вызов. Все еще недостаточно женщин, выбирающих это как вариант карьеры, а я работаю в этой отрасли с середины 80-х.
(фирма киберсектора, 1-9 сотрудников)
Как мы также обнаружили в предыдущие годы, у некоторых работодателей не было никаких стратегий, кроме как не исключать никого на основе их биографии. Для некоторых привлечение более разнообразных кандидатов просто не входит в их планы. Другие заявили, что у них нет опыта или ресурсов для этого.
Мы просто набираем тех, кто подал заявку. Это не то, что не на радаре или вне радара. Это просто не было бы чем-то. Мы просто выбираем из пула кандидатов. Никакой дискриминации.
(Организация частного сектора, 50-249 сотрудников)
Мы не дискриминируем позитивно, мы просто ищем лучшего человека, который может выполнить работу. Мы не крупный работодатель, как государственная служба, которая нанимает тысячи людей и может рассматривать диверсификационные стратегии. Мы просто ищем лучшего человека для работы». (Организация частного сектора, 1000 или более сотрудников)
4. Текущие навыки и пробелы в навыках
В этой главе рассматриваются навыки кибербезопасности, которые организации считают необходимыми, и масштабы текущих пробелов в навыках. Пробелы в навыках кибербезопасности возникают, когда у людей, работающих или претендующих на киберроли, отсутствуют определенные навыки, необходимые для этих ролей. Это отличается от нехватки навыков, которая представляет собой нехватку числа квалифицированных людей, работающих или претендующих на киберроли. Мы рассматриваем нехватку навыков в отношении набора персонала в Главе 6.
4.1 Пробелы в технических навыках за пределами сектора
Пробелы в базовых технических навыках
Каждый год в ходе опроса руководители отделов кибербезопасности в организациях оценивают, насколько уверенно они выполняют ряд основных задач и функций кибербезопасности. Эти функции включают технические области, охватываемые схемой Cyber Essentials, а также другие основные аспекты кибербезопасности. Некоторые задачи были добавлены с момента запуска первоначального опроса.
Рисунок 4.1 иллюстрирует, что уверенность в выполнении этих задач оставалась относительно стабильной на протяжении всех пяти лет исследования, хотя в этом году в некоторых областях наблюдалось более значительное снижение, чем отмечалось ранее.
Рисунок 4.1: Степень, в которой предприятия очень уверенно или довольно уверенно устраняют пробелы в базовых навыках за все 4 года исследования (база — это когда такие задачи не передаются на аутсорсинг, за исключением настройки новых учетных записей и аутентификации)
Базы: около 600+ предприятий, которые не передают каждую задачу на аутсорсинг
Рисунок 4.1, который фокусируется только на тех предприятиях, которые выполняют эти функции внутри компании, показывает, что области наиболее распространенных пробелов в навыках по-прежнему связаны с настройкой и конфигурированием брандмауэров, обнаружением и удалением вредоносного ПО, а также безопасным хранением и передачей персональных данных. Однако даже здесь лишь меньшинство руководителей по кибербезопасности среди всего населения бизнеса — не более одного из пяти по любому показателю — говорят, что они не уверены в способности своего бизнеса выполнять эти задачи. Хотя эта тенденция в целом соответствует тенденциям 2023 года, уверенность в выборе безопасных настроек и контроле за тем, кто имеет права администратора, значительно снизилась по сравнению с этим.
Рисунок 4.2: Степень, в которой компании уверены в выполнении основных задач по кибербезопасности (база — это уровень, в котором такие задачи не передаются на аутсорсинг, за исключением настройки новых учетных записей и аутентификации)
Базы: около 600+ предприятий, которые не передают каждую задачу на аутсорсинг. Немаркированные столбцы составляют менее 5%
Чтобы предоставить более полную картину состояния дефицита навыков среди всего числа предприятий, на рисунке 4.3 также указаны предприятия, передающие кибербезопасность на аутсорсинг, и организации разделены на различные категории: предприятия в целом, крупные предприятия (с 250 и более сотрудниками), благотворительные организации и организации государственного сектора.
Результаты на рисунке 4.3 продолжают показывать, что значительное меньшинство организаций не уверено в нескольких областях базовых навыков, и что базовые советы и рекомендации по кибербезопасности по-прежнему необходимы для предприятий за пределами киберсектора. Наиболее распространенной областью, в которой организациям не хватало уверенности, был новый кодекс, включенный в опрос за этот год, треть предприятий и благотворительных организаций сообщили, что они не уверены в том, как справляться с нарушениями кибербезопасности (33% предприятий и 34% благотворительных организаций).
В этом году есть некоторые изменения при сравнении процента организаций, не уверенных в определенных базовых задачах, с результатами исследования 2023 года. В этом году предприятия были менее уверены в ограничении программного обеспечения (22% против 18%), выборе безопасных настроек (15% против 10%), настройке автоматических обновлений (13% против 10%) и контроле того, у кого есть права администратора (9% против 6%). Между тем показатели для крупных предприятий остались в основном сопоставимыми с прошлым годом, однако больше крупных предприятий в этом году не были уверены в настройке настроенных брандмауэров (13% против 2%). Для благотворительных организаций и государственного сектора между этим и прошлым годом не произошло никаких изменений.
Рисунок 4.3: Процент неуверенных в выполнении основных задач по кибербезопасности, по типу организации
Базы: 930 предприятий; 46 крупных предприятий (с 250+ сотрудниками); 190 благотворительных организаций; 130 организаций государственного сектора. Примечание: эти цифры пересчитаны на основе полных выборок опроса, но вопросы задаются только по подвыборке. Подвыборки небольшие для крупных предприятий, благотворительных организаций и организаций государственного сектора (около 46+).
Совокупный показатель пробелов в базовых технических навыках
Мы можем использовать эти результаты для оценки доли предприятий с пробелами в базовых навыках кибербезопасности. Мы делаем это, объединяя все 10 задач, перечисленных на рисунках 4.1 и 4.2, и определяя процент организаций, которые не уверены в выполнении хотя бы одной из этих базовых функций. Это дает нам общую цифру в 44% предприятий, которые, можно сказать, имеют пробелы в базовых технических навыках. Опять же, этот показатель ниже среди организаций государственного сектора (24%) и крупных предприятий (26%) и выше среди благотворительных организаций (51%).
Опрос разработан так, чтобы быть репрезентативным для британского делового населения. Это означает, что мы можем экстраполировать наши выводы о том, что 44% предприятий имеют пробел в базовых технических кибернавыках, и оценить, что примерно 637 000 британских предприятий имеют такой пробел. [сноска 7] Это значительное падение по сравнению с опросом 2023 года, когда, по оценкам, 50% имели пробел в базовых технических кибернавыках.
Рисунок 4.4: Данные о тенденциях в области пробелов в базовых навыках
Базы: 930 предприятий
Помимо этих базовых навыков кибербезопасности, необходимых для базовой кибергигиены, некоторые организации могут решить, что им также требуются более продвинутые технические навыки для обеспечения кибербезопасности. Это может быть связано с сектором, в котором они работают, их клиентами, цепочкой поставок или отношениями с партнерами, а также с другими факторами.
Определение расширенных технических навыков, использованное здесь, было основано на данных, полученных из исследования рынка труда в сфере кибербезопасности 2018 года . Это навыки, которые могут быть важны для организаций с более сложными потребностями в кибербезопасности, и включают такие навыки, как тестирование на проникновение, криминалистический анализ, интерпретация вредоносных или инструментов мониторинга активности пользователей.
Организации оценили, насколько важно, чтобы их внутренние команды по кибербезопасности обладали этими навыками, присвоив каждому из них оценку от 0 (что означает, что они считают это совсем не важным) до 10 (что означает, что это необходимо). Как и в предыдущие годы, результаты показывают, что крупные предприятия и организации государственного сектора с большей вероятностью считают эти навыки критически важными в своей среде.
Наблюдая тенденцию с 2020 года, можно заметить, что крупные предприятия, благотворительные организации и государственный сектор теперь гораздо чаще считают эти навыки необходимыми. Это особенно актуально для государственного сектора, где доля считающих их необходимыми выросла с менее чем одного из десяти (9%) в 2020 году до более чем одного из пяти (21%). Это один из потенциальных индикаторов возросшей сложности киберугроз.
Рисунок 4.5: Воспринимаемая важность расширенных навыков кибербезопасности для тех, кто работает в сфере кибербезопасности за пределами киберсектора
Базы: 1060 предприятий; 48 крупных предприятий (с численностью персонала более 250 человек); 190 благотворительных организаций; 130 организаций государственного сектора.
Рисунок 4.6: Воспринимаемая важность расширенных навыков кибербезопасности для тех, кто работает в сфере кибербезопасности за пределами киберсектора (данные о тенденциях)
Базы: 1060 предприятий; 48 крупных предприятий (с численностью персонала более 250 человек); 190 благотворительных организаций; 130 организаций государственного сектора.
Пробелы в продвинутых технических навыках
Опрос также измеряет уровень уверенности предприятий в этих передовых технических навыках.
Рисунок 4.5 фокусируется на мнениях предприятий, которые считают этот набор навыков важным для своей организации и которые не передают их на аутсорсинг, но попытаются обеспечить их ресурсами внутри компании, если это необходимо. Эти результаты показывают, что с 2023 года мало что изменилось. Как и в 2023 году, по-прежнему есть четыре области, в которых большинство этих предприятий не чувствуют себя уверенно: криминалистический анализ нарушений (59%), тестирование на проникновение (55%), интерпретация вредоносного кода (53%) и архитектура или проектирование безопасности (53%).
Рисунок 4.7: Степень, в которой предприятия уверены в выполнении сложных задач по обеспечению кибербезопасности (когда такие задачи определены как важные для бизнеса и не переданы на аутсорсинг)
Базы: около 350+ предприятий, которые не передают каждую задачу на аутсорсинг
Опять же, мы можем рассмотреть точку зрения более широкого спектра предприятий, включая тех, кто либо передает эти задачи на аутсорсинг, либо не считает их важными для своей организации, а также благотворительные организации и организации государственного сектора.
При интерпретации этих результатов следует отметить, что это самостоятельно выявленные пробелы в навыках, когда руководитель по кибербезопасности в организации признает, что не чувствует себя уверенно. Кроме того, при расчете распространенности пробелов в продвинутых навыках мы предположили, что те, кто передает эти элементы кибербезопасности на аутсорсинг внешнему поставщику или кто не считает их важными для своей организации, не имеют пробелов в навыках.
Результаты этого анализа показывают несколько большее неравенство между различными типами организаций в распространенности этих пробелов в продвинутых навыках, хотя основные пробелы одинаковы для всех типов организаций — интерпретация вредоносного кода, криминалистический анализ нарушений и тестирование на проникновение. По всем этим задачам относительно небольшое количество благотворительных организаций в выборке заметно чаще сообщают о пробелах в навыках.
Рисунок 4.8: Процент неуверенных в выполнении сложных задач кибербезопасности, по типу организации (база из всех организаций)
Базы: 1060 предприятий; 190 благотворительных организаций; 130 организаций государственного сектора.
NB Эти цифры пересчитаны на основе полных выборок опроса, но вопросы задаются только подвыборке тех, кто не передает эти задачи на аутсорсинг. Подвыборки очень малы для организаций государственного сектора.
Процент благотворительных организаций, уверенных в выполнении определенных сложных задач, в основном совпадает между этим и прошлым годом, однако наблюдается рост числа благотворительных организаций, сообщающих о том, что они не уверены в проведении сканирования уязвимостей, по сравнению с прошлым годом (25% в 2024 году против 15% в 2023 году). Результаты государственного сектора также в основном совпадают между 2023 и 2024 годами, хотя наблюдается снижение процента организаций государственного сектора, которые не уверены в интерпретации вредоносного кода (14% в 2024 году против 25% в 2023 году). Однако есть еще больше различий между результатами этого и прошлогоднего опроса для организаций частного сектора, которые рассматриваются в разделе ниже.
Экстраполяция пробелов в продвинутых технических навыках среди представителей бизнеса
Этот анализ полной выборки компаний частного сектора позволяет нам экстраполировать результаты на более широкую совокупность предприятий Великобритании и оценить размер пробелов в навыках в каждой из этих областей:
- Около 289 000 человек (20%) имеют пробелы в навыках судебно-медицинской экспертизы (по сравнению с 26% в прошлом году) — значительное снижение
- Около 289 000 человек (20%) имеют пробелы в навыках тестирования на проникновение (по сравнению с 26% в прошлом году) — значительное снижение
- Около 260 000 человек (18%) не обладают навыками интерпретации вредоносного кода (по сравнению с 25% в прошлом году) — значительное снижение
- Около 260 000 человек (18%) испытывают нехватку навыков в области архитектуры безопасности (по сравнению с 24% в прошлом году) — значительное снижение
- Около 231 000 человек (16%) имеют пробелы в навыках в области разведки угроз (по сравнению с 19% в прошлом году) – что соответствует показателю предыдущего года
- Около 202 000 человек (14%) имеют пробелы в навыках сканирования уязвимостей (по сравнению с 18% в прошлом году) — значительное снижение
- Около 173 000 человек (12%) испытывают нехватку навыков мониторинга активности пользователей (по сравнению с 13% в прошлом году) — что соответствует показателю предыдущего года.
Совокупный показатель разрыва в технических навыках
Следуя той же процедуре, что и при расчете пробелов в базовых навыках кибербезопасности, мы объединили 7 расширенных задач кибербезопасности, указанных на рисунках 4.7 и 4.8, чтобы рассчитать процент организаций, которые не уверены в выполнении хотя бы одной из этих задач.
27% предприятий имеют пробел в продвинутых технических навыках, что эквивалентно примерно 390 000 предприятий Великобритании. 35% благотворительных организаций и 23% организаций государственного сектора также имеют пробел в продвинутых навыках. Эти результаты несколько ниже, чем зафиксированные в прошлогоднем исследовании для предприятий и государственного сектора.
Рисунок 4.9: Данные о тенденциях в области пробелов в технических навыках
Базы: 1060 предприятий; 48 крупных предприятий (с численностью персонала более 250 человек); 190 благотворительных организаций; 130 организаций государственного сектора.
4.2 Пробелы в технических навыках в киберсекторе
Как и в предыдущие годы, был проведен опрос предприятий киберсектора с целью выявления областей, в которых могут быть пробелы в технических навыках. И снова мы обнаружили, что только меньшинство сотрудников киберсектора сообщают, что их нынешним сотрудникам не хватает технических навыков — 26% сообщают, что это так, по сравнению с 22% в 2023 году. Влияние этого на способность киберкомпаний достигать своих бизнес-целей представляется скромным. 24% сообщают, что отсутствие технических навыков у сотрудников в некоторой степени повлияло на их способность достигать бизнес-целей.
Однако пробелы в технических навыках среди соискателей на работу в киберсекторе воспринимаются как гораздо более распространенные – 47% сообщают, что у соискателей, которых они видели, отсутствуют технические навыки. Этот воспринимаемый пробел в навыках – и трудности, которые он представляет при заполнении вакансий в кибербизнесе – оказывает большее влияние на их бизнес-цели. 19% сообщают, что отсутствие технических навыков у кандидатов в значительной степени повлияло на их способность достигать своих бизнес-целей, а 28% сообщили, что это в некоторой степени повлияло на их бизнес-цели.
Со временем размер этого разрыва в технических навыках, по-видимому, сократился. В 2020 году 32% киберкомпаний, оглядываясь на предыдущие 12 месяцев, сообщили, что их сотрудникам не хватает технических навыков, а 59% наблюдали разрыв в технических навыках среди кандидатов.
Объединив эти два показателя, мы можем подсчитать, что в 2024 году 30% киберкомпаний столкнулись с проблемой нехватки технических навыков (по сравнению с 49% в 2023 году).
Рисунок 4.10 иллюстрирует, какие конкретные типы наборов навыков, как считается, отсутствуют. Они взяты из Chartered Institute of Information Security (CIISec) Skills Framework .
Несмотря на то, что сохраняется существенный общий дефицит по многим различным наборам навыков, во многих областях наблюдается существенное снижение зарегистрированных пробелов в навыках, в частности, в тестировании безопасности (23%, по сравнению с 35%), управлении кибербезопасностью и управлении рисками (21%, по сравнению с 31%), мониторинге сетей и обнаружении вторжений (16%, по сравнению с 27%) и аудите и обеспечении кибербезопасности (18%, по сравнению с 28%). Только в одной области наблюдалось сопоставимое увеличение зарегистрированных пробелов в навыках с 2023 года — в криптографии и безопасности связи (24%, по сравнению с 12%).
Рисунок 4.10: Процент киберкомпаний, имеющих пробелы в навыках в следующих технических областях, среди тех, кто выявил какие-либо пробелы в навыках
Базы: 128 предприятий киберсектора, выявляющих пробелы в навыках
4.3 Навыки реагирования на инциденты
Воспринимаемая важность навыков реагирования на инциденты за пределами киберсектора
Способность реагировать на киберинциденты внутри компании по мере необходимости является важнейшей частью киберготовности организаций. Мы снова попросили организации оценить, насколько важны навыки реагирования на инциденты для их бизнеса, по шкале от 0 (что означает, что это совсем не важно) до 10 (что означает, что это необходимо). Как показано на рисунке 4.11, 20% предприятий считают эти навыки необходимыми. Это представляет собой значительное снижение по сравнению с 2023 годом, когда 24% предприятий считали навыки реагирования на инциденты внутри компании необходимыми.
Крупные предприятия (44%) и организации государственного сектора (39%) чаще считают эти навыки необходимыми.
Рисунок 4.11: Воспринимаемая важность навыков реагирования на инциденты для тех, кто работает в сфере кибербезопасности за пределами киберсектора
Базы: 930 предприятий; 48 крупных предприятий (с численностью персонала более 250 человек); 190 благотворительных организаций; 130 организаций государственного сектора.
Значительная часть предприятий (38%) выбирают аутсорсинг некоторых элементов своей кибербезопасности. Среди тех, кто так поступает, реагирование на инциденты является областью, которую очень часто выбирают для аутсорсинга – более четырех из пяти (82%) предприятий делают это.
Пробел в навыках реагирования на инциденты
Независимо от того, передано ли это на аутсорсинг или нет, способность реагировать на инцидент продолжает оставаться серьезной проблемой для организаций. Как и в предыдущие годы, мы снова обнаруживаем, что большая часть предприятий не уверена в способности своих сотрудников справиться с инцидентом, если он произойдет. Действительно, среди предприятий, которые не передают на аутсорсинг реагирование на инциденты, в этом году почти половина (48%) заявили, что не уверены в своих возможностях реагирования на инциденты, что значительно больше, чем 41% в 2023 году.
Однако растет несоответствие между оценкой предприятий в целом и организаций государственного сектора и крупных предприятий с численностью персонала более 250 человек. Несмотря на широко распространенную обеспокоенность среди предприятий в целом, только небольшое и сокращающееся меньшинство органов государственного сектора (8%, по сравнению с 13% в 2023 году) и крупных предприятий (3%, по сравнению с 7% в 2023 году) теперь говорят, что они не уверены в своей способности реагировать на инциденты.
Рисунок 4.12: Процент не уверенных в выполнении мероприятий, связанных с реагированием на инциденты
Базы: 591 предприятие; 25 крупных предприятий (с численностью персонала более 250 человек); 131 благотворительная организация; 55 организаций государственного сектора.
NB: эти цифры пересчитаны на основе полных выборок опроса, но вопрос задается только для подвыборки. Подвыборки очень малы для крупных предприятий и организаций государственного сектора (около 25+).
Рисунок 4.13: Процент не уверенных в выполнении действий, связанных с реагированием на инциденты
Базы: 591 предприятие; 25 крупных предприятий (с численностью персонала более 250 человек); 131 благотворительная организация; 55 организаций государственного сектора.
NB: эти цифры пересчитаны на основе полных выборок опроса, но вопрос задается только для подвыборки. Подвыборки очень малы для крупных предприятий и организаций государственного сектора (около 25+).
Отсутствие уверенности в реагировании на инциденты среди многих предприятий иллюстрируется обеспокоенностью, которую многие из них испытывают по поводу разработки плана реагирования на инциденты. Только 43% говорят, что они были бы уверены в разработке такого плана, по сравнению с 52%, которые не были бы уверены. Доля тех, кто не уверен, здесь аналогична той, что мы видели в 2023 году (46%). Многие благотворительные организации чувствуют то же самое (46% уверены, 47% не уверены). Опять же, уверенность в разработке плана реагирования на инциденты наиболее высока среди крупных предприятий (88%) и организаций государственного сектора (70%).
4.4 Дополнительные навыки
Воспринимаемая важность дополнительных или гибких навыков в киберсекторе
Предприятия киберсектора в основном ценят важность дополнительных или «мягких» навыков. Их снова попросили оценить важность наличия этих навыков у тех, кто работает в киберсфере, используя шкалу от 0 (совсем не важно) до 10 (необходимо).
Их средняя оценка важности этих навыков составляет 8,2, что сопоставимо с показателями последних трех лет: 28% оценивают эти навыки как необходимые (10 из 10). В 2023 году этот уровень был выше, но ненамного (32%).
Выявляют ли компании киберсектора пробелы в дополнительных навыках?
В этом году исследование DSIT по секторальному анализу кибербезопасности, проведенное с использованием методологии, сопоставимой с более масштабным исследованием организаций, не связанных с киберпространством, снова предоставило количественные данные о восприятии киберкомпаниями пробелов в дополнительных навыках.
Несмотря на то, что они придают большое значение мягким навыкам, многие сообщают, что их предприятия испытывают нехватку в этой области. Чуть более трети (34%) сообщают, что их компании испытывают дефицит дополнительных навыков, что соответствует 2023 году (43%). Только 4% киберкомпаний говорят, что это в значительной степени повлияло на их способность достигать своих бизнес-целей. Как мы обсуждаем в Разделе 6.2, кандидаты с дополнительными и техническими навыками пользуются особым спросом у работодателей.
Результаты опроса показывают, что компании киберсектора в целом осознают важность дополнительных навыков (иногда называемых мягкими навыками). Мы попросили эти компании оценить, насколько важно для тех, кто работает в киберсфере, иметь дополнительные навыки, где оценка 0 означает, что это совсем не важно, а 10 означает, что это необходимо. Средний результат, аналогичный оценкам 2020, 2021 и 2022 годов, составляет 8,2 из 10. Почти каждый четвертый (28%) дает высший ответ 10.
Способность руководителей кибер-подразделений за пределами киберсектора выполнять задачи, требующие дополнительных навыков
В ходе опроса также изучается уверенность руководителей киберподразделений в выполнении конкретных задач, необходимых для разработки и внедрения надлежащей практики кибербезопасности в организациях, а именно: подготовка учебных материалов и информирование о рисках кибербезопасности старших внутренних заинтересованных лиц.
Рисунок 4.14 показывает долю организаций, в которых киберлидеры сообщили о пробелах в навыках в этих областях. И снова организации, которые чувствуют себя уверенно в этих областях, находятся в меньшинстве — действительно, доля предприятий, сообщающих об отсутствии уверенности в этом, со временем выросла, если сравнивать 2020 год с 2023 годом. Однако киберлидеры в органах государственного сектора продолжают чувствовать себя заметно более уверенно, чем их коллеги из частного и благотворительного секторов.
Рисунок 4.14: Процент неуверенных в выполнении ряда задач, требующих сочетания технических и дополнительных навыков
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 97 благотворительных организаций; около 74 организаций государственного сектора.
Рисунок 4.15: Процент не уверенных в подготовке учебных материалов или сессий
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 97 благотворительных организаций; около 74 организаций государственного сектора.
Рисунок 4.16: Процент не уверенных в необходимости сообщать о рисках кибербезопасности директорам, попечителям или высшему руководству
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 97 благотворительных организаций; около 74 организаций государственного сектора.
4.5 Навыки управления и соответствия
Выявленные самостоятельно пробелы в выполнении задач управления кибербезопасностью
Задачи управления — еще одна область, в которой значительная часть руководителей киберотделов продолжает сообщать о пробелах в навыках. Рисунок 4.17 показывает, что почти половина (48%) руководителей киберотделов в компаниях говорят, что не уверены в своей способности провести оценку рисков кибербезопасности, при этом такая же доля не уверена в разработке политик кибербезопасности, а 42% — в написании или помощи в разработке плана обеспечения непрерывности бизнеса.
В предыдущие годы благотворительные организации сообщали о схожих уровнях пробелов в навыках управления и соответствия, как и предприятия. Однако по сравнению с 2023 годом наблюдалось снижение числа благотворительных организаций, не имеющих уверенности во всех трех областях.
Контраст с компаниями в киберсекторе по-прежнему разителен: практически ни одна из них не испытывает неуверенности в этих областях.
Рисунок 4.17: Процент неуверенных в выполнении ряда задач по управлению кибербезопасностью
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 93 благотворительных организаций; около 56 организаций государственного сектора.
Рисунок 4.18: Процент не уверенных в проведении оценки рисков кибербезопасности
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 93 благотворительных организаций; около 56 организаций государственного сектора.
Рисунок 4.19: Процент не уверенных в разработке политик кибербезопасности
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 93 благотворительных организаций; около 56 организаций государственного сектора.
Рисунок 4.20: Процент не уверенных в написании или участии в плане обеспечения непрерывности бизнеса
Базы: (опрошено случайным образом половине полной выборки): около 465 предприятий; около 93 благотворительных организаций; около 56 организаций государственного сектора.
Несмотря на широко распространенное отсутствие уверенности в навыках управления и соответствия, среди работодателей киберсектора существует широкий консенсус относительно того, что эти навыки важны. Половина (50%) говорят, что для сотрудников важно понимать правовые или комплаенс-вопросы, влияющие на кибербезопасность, что соответствует 2023 году (42%).
4.6 Пробелы в навыках кибербезопасности среди неспециалистов в киберпространстве
В то время как руководители кибербезопасности и их команды в организациях должны иметь в своем распоряжении широкий спектр подробных технических и практических знаний в области кибербезопасности, не менее важно, чтобы и другие сотрудники за пределами этих команд понимали риски кибербезопасности и следовали правилам и процессам, установленным в их организации.
Восприятие пробелов в навыках
Большинство руководителей кибербезопасности считают, что высшее руководство их организаций имеет адекватное понимание рисков, правил и процессов, связанных с кибербезопасностью. В компаниях около двух третей говорят, что их старшие менеджеры понимают киберриски, с которыми они сталкиваются (66%), а около трех из пяти считают, что старшие менеджеры понимают потребности в персонале по кибербезопасности (62%) и шаги, которые необходимо предпринять при управлении киберинцидентом (60%). Чуть более половины (54%) говорят, что их менеджеры знают, когда о киберутечках необходимо сообщать внешним лицам. Это значительно ниже, чем в 2023 году для компаний.
Примечательно, что в этом году высшее руководство крупных предприятий и государственного сектора вновь проявило лучшее понимание этих вопросов, в то время как руководители благотворительных организаций, как представляется, понимают их хуже.
Рисунок 4.21: Процент руководителей кибергрупп, которые считают, что старшие менеджеры их организации понимают следующие аспекты кибербезопасности очень хорошо или довольно хорошо
Базы: 930 предприятий; 48 крупных предприятий (с численностью персонала более 250 человек); 190 благотворительных организаций; 130 организаций государственного сектора.
Таблица 4.1: Процент руководителей кибергрупп, которые считают, что старшие менеджеры их организации понимают следующие аспекты кибербезопасности очень хорошо или довольно хорошо, по сравнению с 2023 годом
Заявление | Тип организации | 2023 | 2024 |
---|---|---|---|
Риски кибербезопасности, с которыми сталкиваются их организации | Все предприятия | 69% | 66% |
Крупный бизнес | 79% | 81% | |
Благотворительность | 48% | 61% | |
Государственный сектор | 82% | 78% | |
Потребности в персонале по кибербезопасности в своей организации | Все предприятия | 65% | 62% |
Крупный бизнес | 80% | 73% | |
Благотворительность | 50% | 51% | |
Государственный сектор | 77% | 70% | |
Когда о нарушениях кибербезопасности необходимо сообщать за пределы страны | Все предприятия | 60% | 54% |
Крупный бизнес | 82% | 80% | |
Благотворительность | 60% | 58% | |
Государственный сектор | 79% | 82% | |
Действия, которые необходимо предпринять при управлении инцидентом кибербезопасности | Все предприятия | 62% | 60% |
Крупный бизнес | 75% | 83% | |
Благотворительность | 47% | 51% | |
Государственный сектор | 75% | 74% |
Базы: 930 предприятий; 48 крупных предприятий (с численностью персонала более 250 человек); 190 благотворительных организаций; 130 организаций государственного сектора.
В качественном исследовании некоторые киберлидеры заявили, что им трудно заставить высшее руководство серьезно отнестись к кибербезопасности и сосредоточить на ней время и энергию. Некоторые считали, что высшее руководство не осознает важности таких вопросов, как управление, или не считает кибербезопасность приоритетом.
Они рады рассмотреть это, но это требует множества объяснений, и в данный момент это не рассматривается как срочный приоритет. Это рассматривается как «давайте работать над этим в фоновом режиме и медленно развивать это в течение следующего года или двух».
(Организация частного сектора, 50-249 сотрудников)
Некоторые руководители киберотделов столкнулись с трудностями в убеждении своей старшей команды инвестировать в кибербезопасность. Хотя и существовало некоторое понимание ее важности, кибербезопасность не считалась неотложной проблемой.
Команда менеджеров не хочет тратить деньги. Кибербезопасность у них на радаре, но она не рассматривается как срочная. Нам нужно сделать их более осведомленными.
(Организация государственного сектора, 250-999 сотрудников)
Помимо высшего руководства, оценка киберлидерами способности неспециалистов в их организации выполнять различные задачи, связанные с кибербезопасностью, сильно различается, как показано на рисунке 4.22. Среди предприятий лишь немногие выражают неуверенность в способности неспециалистов выполнять базовые задачи, такие как выявление мошеннических писем или веб-сайтов (5%) или использование приемлемо надежных паролей (8%). Тем не менее, совместная работа с теми, кто непосредственно отвечает за кибербезопасность, возросла с 2023 года (с 19% до 27%).
Гораздо больше беспокойства вызывает уровень подготовки неспециалистов в более технически сложных областях, таких как безопасное хранение или передача персональных данных (37% не уверены, а в крупных компаниях — 49%) или обнаружение вредоносного ПО на устройствах организации (34%). В этих областях оценка киберлидеров практически не изменилась с 2023 года.
Рисунок 4.22: Процент не уверенных в том, что неспециализированный персонал способен выполнять различные задачи, которые могут повлиять на кибербезопасность
Базы: 465 предприятий; 22 крупных предприятия (с 250+ сотрудниками); 190 благотворительных организаций; 130 организаций государственного сектора. Подвыборки очень малы для крупных предприятий и организаций государственного сектора (около 20+), поэтому они не были включены.
Таблица 4.2: Процент не уверенных в том, что неспециализированный персонал сможет выполнять различные задачи, которые могут повлиять на кибербезопасность, в 2023 г. по сравнению с 2024 г.
Заявление | Тип организации | 2023 | 2024 |
---|---|---|---|
Безопасное хранение и передача персональных данных | Все предприятия | 32% | 37% |
Благотворительность | 24% | 39% | |
Государственный сектор | 17% | 26% | |
Обнаружение вредоносного ПО на устройствах организаций | Все предприятия | 33% | 34% |
Благотворительность | 32% | 34% | |
Государственный сектор | 24% | 34% | |
Работать совместно с теми, кто непосредственно отвечает за кибербезопасность | Все предприятия | 19 | 27% |
Благотворительность | 17% | 24% | |
Государственный сектор | 14% | 10% | |
Определите мошеннические электронные письма/сайты | Все предприятия | 7% | 5% |
Благотворительность | 9% | 6% | |
Государственный сектор | 13% | 13% | |
Используйте достаточно надежные пароли | Все предприятия | 9% | 8% |
Благотворительность | 6% | 7% | |
Государственный сектор | 18% | 10% |
Базы: 465 предприятий; 190 благотворительных организаций; 130 организаций государственного сектора.
Как мы обнаружили в предыдущие годы, руководители служб кибербезопасности считали, что бывает очень сложно убедить сотрудников в том, что им нужно делать, чтобы снизить риск кибератак.
Мы знаем все подводные камни, но мы пытаемся донести это до других людей.
(Организация государственного сектора, 50-249 сотрудников)
Агент по подбору персонала подчеркнул, что сотрудники, занимающиеся кибербезопасностью, должны уметь доносить преимущества кибербезопасности до остальной части организации.
Безопасность рассматривалась как блокировщик, ее нужно рассматривать как посредника. Киберспециалисты должны уметь более убедительно, чем раньше, обосновывать то, что они делают.
(Агент по подбору персонала)
4.7 Качественные выводы о будущих потребностях в навыках
В качественном исследовании этого года мы спрашивали работодателей и рекрутеров о будущих потребностях в навыках и о том, какое влияние, по их мнению, окажут ИИ и автоматизация. Некоторые спонтанно упомянули ИИ . Участники подчеркнули влияние ИИ на ландшафт угроз; ИИ может позволить субъектам угроз проводить атаки, которые быстрее, намного больше по количеству и все более изощренные. С более позитивной точки зрения участники подчеркнули роль платформ и программного обеспечения ИИ в защите от киберугроз. Инструменты ИИ уже внедряются, и некоторые киберфирмы изучают различные варианты использования ИИ .
Мы даже не поцарапали поверхность. ИИ может быть использован как угроза или для защиты вашего бизнеса. Я думаю, что это очень растущая область кибербезопасности.
(Частный сектор, 1000 и более сотрудников)
Работодатели и рекрутеры в целом считали, что ИИ, скорее всего, окажет значительное влияние на ландшафт навыков. Некоторые считали, что это произойдет быстро.
Я думаю, что [кибернавыки] должны будут меняться очень, очень быстро и быть очень, очень гибкими. Один только рост ИИ , где он будет в следующем году, через два года, будет феноменальным. Нам нужно успевать за этим темпом.
(Организация государственного сектора, 1000 или более сотрудников)
Участники считали, что ИИ повлияет на ландшафт кибернавыков несколькими способами. Некоторые говорили, что будет больше автоматизации киберзадач. В качестве примеров были приведены анализ операций безопасности первого уровня и обзор кода. Были некоторые опасения, что ИИ и автоматизация могут привести к потере рабочих мест в киберсекторе.
Некоторые участники подчеркнули, что навыки должны будут развиваться, чтобы понимать и использовать инструменты ИИ . Некоторые посчитали, что существуют риски в использовании инструментов, которые не полностью поняты и/или автоматизированы.
Маркетинг в настоящее время представляет собой в значительной степени автоматизированный и управляемый ответ на угрозы. Вот инструмент, который масштабирует все ваши журналы и зажигает свет на экране. Вы рискуете просто посмотреть на светофор и сказать: «О, точно, у меня красный свет. Я что-то должен сделать?»
(Частный сектор, 250-999 сотрудников)
Другие изменения, предсказанные участниками, — это роли, которые становятся « ИИ кибер», а не просто «кибер», и появление новых ниш и глубоких специализаций, таких как «машинное обучение кибербезопасности». Хотя все согласились, что ИИ , вероятно, изменит ландшафт навыков, также была большая неопределенность относительно того, как это будет происходить.
Я думаю, [навыки кибербезопасности] изменятся кардинально. ИИ можно рассматривать как угрозу, но также и как позитив. Как это повлияет, я думаю, очень сложно сказать.
(Организация частного сектора, 50-249 сотрудников)
5. Аутсорсинг кибербезопасности
Основное внимание в этой главе уделяется организациям за пределами киберсектора, которые передают на аутсорсинг любые аспекты кибербезопасности, и указывается перечень передаваемых на аутсорсинг функций.
5.1 Распространенность аутсорсинга
Благотворительные организации реже всего прибегают к аутсорсингу: менее 3 из 10 (28%) делают это, за ними следуют коммерческие организации (38%). Государственный сектор чаще всего прибегает к аутсорсингу: более 6 из 10 (61%) организаций передают на аутсорсинг любой аспект своей кибербезопасности.
Рисунок 5.1: Процент организаций, которые передают любые аспекты своей кибербезопасности на аутсорсинг внешним поставщикам
Базы: 930 предприятий; 190 благотворительных организаций; 130 организаций государственного сектора.
Тенденция к аутсорсингу была довольно последовательной на разных этапах этого исследования, как можно увидеть на рисунке 5.2. Организации государственного сектора чаще всего прибегали к аутсорсингу, за ними следовали предприятия и благотворительные организации.
Рисунок 5.2: Процент организаций, которые передают какие-либо аспекты своей кибербезопасности на аутсорсинг внешним поставщикам (данные о тенденциях в организациях)
Базы: 930 предприятий; 190 благотворительных организаций; 130 организаций государственного сектора.
В соответствии с оценками предыдущих трех волн этого исследования, компании в финансовом и страховом секторе по-прежнему более склонны передавать на аутсорсинг функции кибербезопасности (62% против 40%l). Напротив, секторами, наименее склонными к аутсорсингу кибербезопасности, являются развлекательные, сервисные или членские организации (17%), информация и связь (19%), сельское хозяйство (32%) и оптовая торговля (35%).
В следующих разделах описываются конкретные базовые и расширенные функции, которые передаются на аутсорсинг. Разделение между базовыми и расширенными функциями основано на определении и категоризации навыков кибербезопасности, установленных в исследовании 2021 года.
Аутсорсинг основных функций (включая реагирование на инциденты)
Рисунок 5.3 описывает типы основных функций кибербезопасности, которые разные организации передают на аутсорсинг. Среди всех типов организаций настройка брандмауэров и реагирование на инциденты или восстановление входят в тройку основных функций, переданных на аутсорсинг, а контроль прав администратора — в тройку нижних. Эта закономерность соответствует 2023 году.
Как и в предыдущие годы, большинство организаций обрабатывают по крайней мере некоторые элементы кибербезопасности внутри компании, даже если они привлекают услуги внешних поставщиков для выполнения определенных задач. Однако из организаций, которые передают на аутсорсинг, некоторые передают на аутсорсинг все основные функции кибербезопасности, которые указаны на рисунке 5.3. Сюда входят 42% благотворительных организаций, 31% предприятий и 47% организаций государственного сектора. Это похоже на предыдущие годы для государственного сектора и бизнеса, но более высокая доля благотворительных организаций сообщила об аутсорсинге всех своих киберфункций в 2024 году.
Рисунок 5.3: Процент организаций, передающих на аутсорсинг различные основные функции кибербезопасности, среди тех, кто передает на аутсорсинг любые аспекты
Базы: (среди тех, кто передает кибербезопасность на аутсорсинг): 403 предприятия; 76 благотворительных организаций; 86 организаций государственного сектора
Использование центров безопасности ( SOC )
Использование Центров безопасности операций ( SOC ) аналогично предыдущим годам (см. Рисунок 5.4 ниже). Государственный сектор (36%) и крупный бизнес (34%) чаще используют SOC , в то время как благотворительные организации (12%) и предприятия (17%) менее склонны к этому.
Рисунок 5.4: Процент организаций, которые передают функции на аутсорсинг с помощью центров обеспечения безопасности (данные по тенденциям для всех организаций)
Базы: 930 предприятий; 190 благотворительных организаций; 130 организаций государственного сектора.
Аутсорсинг других более сложных функций
Рисунок 5.4 иллюстрирует расширенные функции кибербезопасности, которые передаются на аутсорсинг предприятиями. Эта диаграмма включает два набора цифр, а именно предприятия, которые передают на аутсорсинг любой аспект кибербезопасности, а также все предприятия (включая те, которые вообще не передают на аутсорсинг).
Как и в 2023 году, чуть менее 1 из 5 компаний (18%) передают на аутсорсинг любую из этих расширенных функций. Снова наблюдается примерно равномерный разброс между функциями, которые передаются на аутсорсинг, при этом наиболее часто, как и в прошлом году, передаются на аутсорсинг автоматизированная защита от вредоносных сетей, интерпретация вредоносного кода и сканирование уязвимостей. Обратите внимание, что из-за небольших базовых размеров благотворительных организаций и государственного сектора мы не сообщали об их долях для расширенных функций кибербезопасности, которые передаются на аутсорсинг.
Рисунок 5.5: Процент предприятий, передающих на аутсорсинг различные расширенные функции кибербезопасности, среди тех, кто передает на аутсорсинг любые аспекты
Базы: 930 предприятий; 403 предприятия передают кибербезопасность на аутсорсинг
В ходе качественного исследования мы обнаружили, что некоторые организации, передающие данные на аутсорсинг, делают это весьма специфично и ограниченно, например, проводя тестирование на проникновение, обучая персонал или консультируя по политикам и процедурам кибербезопасности.
Мы передаем мониторинг конечной точки на аутсорсинг бизнесу, а также используем их для консультирования по нашим политикам и процедурам в области кибербезопасности. У них есть знания и опыт.
(Организация частного сектора, 1000 или более сотрудников)
Другим организациям необходим постоянный аутсорсинг обязанностей по обеспечению кибербезопасности, поскольку у них нет внутренних ресурсов, навыков и знаний.
Мы отдали на аутсорсинг, потому что нас здесь всего двое [в ИТ-отделе], мы не можем следить за всем. Это объем и набор навыков, которые они могут принести. Они смогли остановить кибератаки, идущие по электронной почте, и остановить любые текущие угрозы.
(Организация частного сектора, 50-249 сотрудников)
6. Нехватка кадров и навыков
В этой главе рассматриваются подходы организаций к набору персонала, нехватка навыков — нехватка числа квалифицированных специалистов, работающих или претендующих на кибер-роли, а также исследование изменений в пуле кандидатов. В ней также будет уделено внимание изучению проблем и барьеров, с которыми сталкиваются организации при попытках решить проблему нехватки навыков и изменений в пуле кандидатов.
6.1 Подходы к подбору персонала
Чуть менее половины (47%) компаний киберсектора пытались нанять кого-то на должность в киберсфере с начала 2022 года. Это соответствует показателю прошлого года, когда попытки нанять сотрудников предпринимали чуть более половины (53%).
Как показано на рисунке 6.1, это снижение также отражается на среднем количестве вакансий, сообщаемых каждой киберфирмой. После резкого увеличения до 8,2 в 2023 году этот показатель снова снизился до среднего значения 6,1 на фирму.
Рисунок 6.1: Среднее количество вакансий на киберфирму за последние 4 года
Базы: 84 предприятия киберсектора, в которых с начала 2022 года были вакансии в киберпространстве.
В этой главе мы сосредоточимся на подходе и опыте 47% кибербизнеса, которые недавно пытались набрать сотрудников. Затем, позже в этой главе, мы также рассмотрим тех, у кого были вакансии, которые им было трудно заполнить.
Наиболее распространенные методы подбора персонала
На рисунке 6.2 показаны наиболее распространенные методы работы с общественностью, используемые киберкомпаниями, которые недавно пытались нанять сотрудников на кибердолжности, а также их сравнение с методами, о которых сообщалось в 2023 году.
И снова результаты в целом сопоставимы с результатами, полученными в предыдущие годы: однако использование социальных сетей снова вышло вперед по сравнению с другими методами. Теперь упоминается 43%, из всех методов охвата социальные сети показали самый резкий рост с первого года исследования в 2020 году, когда их упоминали всего 26%. Следующими по популярности являются рекомендации из уст в уста (33%) и обращение в агентство по подбору персонала общего профиля (27%). Как агентства по подбору персонала общего профиля, так и специализированные агентства по подбору персонала отметили рост использования за последний год, причем у агентств общего профиля был статистически значимый рост.
Кроме того, увеличилось число тех, кто сообщил, что использовал сайты по подбору персонала общего профиля, такие как Indeed (с 15% в 2023 году до 27% в 2024 году).
Чуть меньше половины (44%) кибербизнеса использовали один метод набора персонала. Из остальных, каждый четвертый (25%) использовал два метода набора персонала, а 23% использовали три или более. Лишь немногие (8%) не использовали ни одного метода набора персонала за последний год.
Примечательно, что использование профессиональных сетей — либо через «сарафанное радио» (33%), либо с помощью профессионального сетевого сайта, такого как LinkedIn (43%) — остается наиболее популярным подходом для тех, кто ищет сотрудников на должности в сфере кибербезопасности, опережая более широкий поиск с использованием агентства (32% — специалисты общего профиля, 30% — специалисты) или объявления о вакансии (20%).
Рисунок 6.2: Процент киберкомпаний с вакансиями, которые использовали следующие методы подбора персонала (без подсказки — допускается несколько ответов)
Базы: предприятия киберсектора, у которых были вакансии в кибер-ролях с начала 2022 года. 2024: 84; 2023: 96; 2022: 118; 2021: 81; 2020: 139
Качественные выводы о стоимости подбора персонала
В качественном исследовании этого года мы спрашивали работодателей и рекрутеров о стоимости подбора персонала. Самые популярные формы подбора персонала — устное общение и социальные сети — имеют очевидное преимущество в том, что они дешевле, чем использование кадрового агентства. Одна киберкомпания заявила, что тратит около 160 000 фунтов стерлингов в год на агентов по подбору персонала. После перехода на LinkedIn их годовые расходы на подбор персонала упали до 10 000 фунтов стерлингов.
Хотя услуги рекрутинговых агентов стоят дороже, чем другие методы подбора персонала, другие варианты могут быть менее успешными. Например, несколько работодателей дали объявления о вакансиях и не получили вообще никакого ответа. Рекрутеры также экономят время работодателей, фильтруя кандидатов. Некоторые работодатели выразили чувство неизбежности использования услуг рекрутинговых агентов.
Мы делаем внутренние рекомендации, так что это позволяет избежать агентской комиссии. Потому что это, вероятно, самая большая часть расходов в этой сфере. Но это то, что мы включаем в стоимость ведения бизнеса. Было бы лучше, если бы этого не было, но это то, что есть на самом деле.
(фирма киберсектора, 1000 или более сотрудников)
Агенты по подбору персонала признали, что работодатели предпочли бы не платить агентские сборы и что иногда к ним прибегают в качестве последнего средства, если другие методы не сработали. Рекрутеры заявили, что им приходится быть конкурентоспособными по ценам, и что некоторые клиенты, особенно новые, будут вести переговоры по ценам. Один рекрутер заметил, что сборы в Великобритании (около 15% от годовой зарплаты кандидата) ниже, чем на других европейских рынках, где они могут варьироваться от 20% до 35%.
Очевидно, что внутренние команды по поиску талантов испытывают сильное давление, чтобы попытаться найти людей напрямую, так что вам не придется платить внешние сборы, что нормально. Что есть, то есть. Что касается более сложных ролей, когда они пробовали эти пути и не преуспели в течение трех или шести месяцев, то обычно они приходят к нам, потому что у нас довольно глубокие связи.
(Агент по подбору персонала)
Агенты по подбору персонала объяснили, что работодатели используют их, потому что их сети позволяют им находить нужных людей на должности. Эти сети создаются с помощью рекомендаций, отраслевых сетей, LinkedIn и поиска работы. Сети также включают в себя пул ранее размещенных кандидатов. Рекрутеры сказали, что им часто приходится конкурировать с внутренними командами по подбору талантов. Однако они считают, что внутренние команды не имеют своих сетей или глубокого понимания киберпространства.
Хотя кибер — это ниша, в киберпространстве так много ниш, что бывает сложно точно определить набор навыков. Хорошим примером является аналитик безопасности. Вы можете получить работу аналитика безопасности с зарплатой 35 тыс. фунтов стерлингов, а затем вы можете получить работу аналитика безопасности с зарплатой 120 тыс. фунтов стерлингов. Это может быть аналитик безопасности по реверс-инжинирингу вредоносного ПО или аналитик безопасности по администрированию систем. Это две совершенно разные работы.
(Агент по подбору персонала)
Работодатели также повысили требования к зарплате, когда их спросили о стоимости набора персонала. Некоторые упомянули расходы и время, необходимые для того, чтобы ввести новых сотрудников в курс дела.
В прошлом году ко мне обратился человек, который на бумаге выглядел очень хорошо, хотел получать зарплату примерно на 25% выше рыночной, и у него не было никакого практического опыта.
(фирма киберсектора, 1-9 сотрудников)
Качественные результаты о влиянии удаленной работы на подбор персонала
В качественном направлении есть некоторые свидетельства отхода от удаленной работы. Удаленная и гибридная работа стали широко распространены во время пандемии, расширяя доступный кадровый резерв. Некоторые работодатели отметили, что все больше людей возвращаются в офис. Рекрутеры говорят, что клиенты все чаще хотят, чтобы кандидаты работали в определенных местах.
Теперь компании хотят больше присутствия в офисе. В прошлом году нужно было просто найти нужные навыки, теперь они хотят это в географии, что ограничивает пул.
(Агент по подбору персонала)
Работодатели и рекрутеры подчеркнули преимущества работы в офисе с точки зрения сотрудничества, обмена знаниями, адаптации новых сотрудников, общения и безопасности (особенно для менее опытных сотрудников). Личное присутствие считалось особенно важным для руководящих и торговых ролей, а также для консультационных заданий, которые должны быть на месте.
Похоже, что в офисе время от времени будет больше людей, и это даст преимущества в плане сотрудничества и, возможно, социальных аспектов.
(Организация государственного сектора, 1000 или более сотрудников)
Агенты по подбору персонала посчитали, что может быть несоответствие между тем, что хотят работодатели и сотрудники в плане очной работы. Один рекрутер отметил, что люди с 5-12-летним опытом работы часто имеют молодые семьи и ценят возможность работать из дома некоторое время или все время.
Это определенно откат назад. Многие организации сейчас действительно говорят, что хотят, чтобы люди возвращались в офис два-три дня в неделю. Есть некоторые клиенты, с которыми я работаю, которые хотят, чтобы люди возвращались в офис четыре-пять дней в неделю.
(Агент по подбору персонала)
Продолжение предложения удаленной работы может стать потенциальным преимуществом для организаций, которые испытывают трудности с конкуренцией по уровню заработной платы и на которых негативно повлияло расширение пула талантов.
Быть гибким в плане баланса между работой и личной жизнью определенно будет привлекательно для людей, особенно, когда мир снова вернется к офисным ролям. Продвижение баланса между работой и личной жизнью действительно имеет ключевое значение.
(Агент по подбору персонала)
Качественные результаты по подбору кадров в государственном секторе
В этом году мы изучили подбор персонала в государственном секторе в качественном исследовании. Работодатели и рекрутеры постоянно подчеркивали проблему заработной платы. Агент по подбору персонала привел пример организации государственного сектора, предлагающей зарплату в размере 75 000 фунтов стерлингов для должности начальника службы безопасности, которая, исходя из показателей частного сектора, должна была быть ближе к 175 000 фунтов стерлингов. Рекрутеры заявили, что организации государственного сектора обходят трудности с зарплатой, снижая уровень требуемого опыта для должности, а также используя подрядчиков для заполнения пробелов.
Им необходимо предложить кандидатам правильный уровень заработной платы на начальном этапе, если они хотят иметь постоянных сотрудников и привлекать нужные таланты.
(Агент по подбору персонала)
Были упомянуты и другие барьеры для организаций государственного сектора, хотя и реже, чем зарплата. Они заключались в том, что рост удаленной работы сделал преимущества работы/жизни, связанные с государственным сектором, менее привлекательными (хотя это может измениться, как обсуждалось в предыдущем разделе), бюджетные ограничения на киберресурсы и пенсии стали менее привлекательными, чем были. Однако некоторые работодатели и рекрутеры считали, что организации государственного сектора имеют некоторые явные преимущества, которые они могут предложить киберперсоналу. Это были лучшие общие пакеты (например, пенсии и право на отпуск), баланс между работой и личной жизнью, включая гибкий график, стабильность работы, интересная работа и чувство цели.
Привлекательная часть работы в государственном секторе, и то, что мы хотим продвигать, это социальная ценность. Когда вы работаете в государственном секторе, вы меняете жизнь людей. Также есть стабильность. Стабильность карьеры, большая пенсия, хорошие льготы.
(Государственный сектор, 1000 и более сотрудников)
Некоторые заявили, что правительство могло бы потенциально сыграть положительную роль в качестве киберработодателя, пересмотрев зарплаты в государственном секторе, а также помогая развивать таланты через должности начального уровня и ученичество.
Качественные результаты по набору на должности начального уровня и учеников
Работодатели считали, что набор на начальный уровень и ученичество имеют ряд преимуществ. Он более доступен (и некоторые организации просто не могут позволить себе более опытных кандидатов). База кандидатов более разнообразна и может также привнести другие навыки, такие как гибкие навыки. Также может быть проще формировать персонал в соответствии с потребностями организации.
Есть проблемы с получением людей с нужными навыками. Например, мы используем множество наборов инструментов Microsoft, возможности типа Defender. Все это стоит дорого, поэтому мы постараемся разработать и вырастить свои собственные.
(фирма киберсектора, 1000 или более сотрудников)
Однако работодатели часто говорили, что набор на начальный уровень и ученичество имеет некоторые существенные недостатки. Ключевым препятствием является нехватка или полное отсутствие ресурсов для обучения этих сотрудников. Связанный с этим момент заключается в том, что поддержка неопытного персонала может отнимать значительное количество времени у старших сотрудников и, в случае с киберфирмами, отвлекать их от работы с клиентами. Может быть сложнее обучать младших сотрудников удаленно, поскольку мало или совсем нет возможности учиться посредством наблюдения и неформальных бесед.
Я думаю, что нам нужно нанять старших сотрудников в кибер, потому что мы не можем предложить ту поддержку и наставничество, которые предлагает младший специалист по кибер. Это должен быть кто-то, кто может прийти на руководящий уровень и сразу взяться за дело.
(Организация частного сектора, 1000 или более сотрудников)
Некоторые работодатели считали, что неопытным кандидатам может не хватать базовых рабочих навыков. Некоторые предположили, что пандемия могла усугубить эту проблему.
Я не знаю, COVID ли это или какой-то другой фактор, но в целом их готовность приходить на работу на полный рабочий день, кажется, довольно низкая. И есть довольно много проблем с благополучием и проблемами с возможностями, с которыми столкнулись многие из новых сотрудников в начале карьеры за последние три-четыре года. Их последние этапы обучения часто проходили полностью виртуально». (Компания киберсектора, 1000 или более сотрудников)
Работодатели считали, что эти роли несут в себе больший риск того, что кандидат не подходит, потому что у него нет послужного списка. Другой риск заключается в том, что они уходят после обучения. Для киберфирм особой проблемой является то, что клиенты хотят работать с более опытными людьми.
Иногда это может быть боевым крещением. Трудно оценить, как они пойдут, пока они фактически не начнут работу. Есть такой элемент: если нет послужного списка, то что вы можете измерить?» (Организация частного сектора, 50-249 сотрудников)
Работодатели подняли конкретные преимущества и барьеры в отношении ученичества. Некоторые посчитали, что эти кандидаты могли бы быть еще более податливыми и энтузиастичными, поскольку они решили начать работать в сфере кибербезопасности вместо того, чтобы поступать в университет.
Очень, очень большой плюс — это способность вырастить себя. То, чему мы научились, привлекая учеников, — это то, что вы действительно выращиваете себя, и вы можете формировать их, воспитывать их и заставлять их соответствовать пробелам в вашей организации.
(Организация государственного сектора, 1000 или более сотрудников)
Еще одним преимуществом ученичества, которое упомянули работодатели, является то, что может быть доступно государственное финансирование. Несколько работодателей также подчеркнули преимущества для учеников, поскольку они могут учиться на рабочем месте, получать зарплату и получать квалификацию.
С нашей точки зрения, ученичество с получением степени — это лучшее предложение. Они недостаточно хорошо рекламируются. Я разговариваю со многими людьми о наших учениках с получением степени. Правительство оплачивает 95% от этого, и мы платим 5% за всю трехлетнюю степень. Этот студент выходит без долгов, и мы платим ему зарплату, и я думаю, что им нужно больше продвигать это.
(фирма киберсектора, 1-9 сотрудников)
Однако работодатели также считали, что ученичество имеет некоторые явные недостатки. Некоторые из них связаны с тем, что ученики считаются выпускниками школ. Работодатели считали, что они даже менее подготовлены к работе, чем выпускники, поскольку они моложе и не имеют опыта обучения в университете. Работодатели говорили, что ученики требуют большей поддержки и пастырской заботы, чем другие должности начального уровня.
Нам приходится окружать этих учеников гораздо большей пастырской атмосферой, чем выпускников, и нам потребовалось некоторое время, чтобы понять, как именно это выглядит, и в чем разница между поддержкой, пониманием и наставничеством, которые нужны 17-, 18-летнему парню, и 22-, 23-летним или 40-летним.
(фирма киберсектора, 1000 или более сотрудников)
Киберкомпании особенно беспокоились по поводу учеников, работающих с клиентами, из-за их возраста и неопытности.
Это действительно беспокоит меня, предлагая ученичество, это их недостаток опыта. Они должны быть ориентированы на клиента с самого начала, и я бы беспокоился, если бы поставил перед клиентом 18-летнего выпускника школы, будут ли они иметь авторитет?» (фирма киберсектора, 1-9 сотрудников)
Некоторые работодатели считали, что содержание курса для стажировок по кибербезопасности не всегда актуально. Например, курсы не включают новые области, такие как ИИ . Один работодатель прокомментировал, что курсы, как правило, отстают от отрасли на год.
Многие из них не поспевают за индустрией. Они отстают примерно на год. Он [ученик кибертехнологов] изучает основы, но некоторые из этих основ отпадут. Многое из этого можно автоматизировать. Некоторые из вещей, которым он сейчас обучается, будут автоматизированы другой частью нашего бизнеса.
(фирма киберсектора, 1-9 сотрудников)
Связанная с этим проблема заключается в том, что часть содержания курса может быть неактуальна для работодателей. В качестве примера можно привести учеников, работающих в консалтинговой фирме, которые изучают практические навыки, такие как работа с инструментом управления уязвимостями, которые они не будут использовать. Также может возникнуть практическая проблема встраивания работы в учебу. Некоторые работодатели заявили, что было бы полезно, если бы работодатель внес вклад в содержание курса, чтобы оно было более актуальным и релевантным (например, включало бы гибкие навыки).
Мы спрашиваем их, чему вы научились сегодня? И они говорят о вещах, которые, ну, на самом деле нам нужно знать об этом? Такие вещи, как сканирование уязвимостей, как этичный хакинг, симуляции. Мы на самом деле ничем из этого не занимаемся.
(Организация государственного сектора, 1000 или более сотрудников)
Мы спросили работодателей, что побудило бы их брать на работу сотрудников начального уровня или учеников. Они сказали, что должна быть четкая потребность (например, бизнес растет), а также достаточные внутренние ресурсы для поддержки младшего персонала. Что касается ученичества, работодатели сказали, что приветствовали бы какую-то финансовую помощь, такую как финансирование или налоговые льготы.
Какая-то стипендия, у нас абсолютно нет денег. Это привлекло бы хороших кандидатов, и это было бы здорово. Вы видите это в других секторах, например, в образовании. Мы даем им стипендию, и это привлекает людей.
(Организация государственного сектора, 1000 или более сотрудников)
Работодатели заявили, что было бы полезно иметь доступ к информации и поддержке. В частности, они хотели бы понять преимущества киберученичества, что охватывает ученичество и его актуальность для их организации.
Зависит от того, что включено в киберученичество. Я ищу всесторонние знания о технологиях и о том, как они работают, и применение к ним системы управления. Поэтому, чтобы предлагать это в будущем, мне нужно будет увидеть хорошо структурированную программу ученичества.
(фирма киберсектора, 1-9 сотрудников)
Работодатели также хотели бы получить информацию о практических аспектах, таких как поиск поставщиков обучения, как составить программы ученичества и какая поддержка доступна. Некоторые отметили, что правительство могло бы сыграть свою роль в повышении осведомленности о киберученичестве и предоставлении информации.
Нам нужно знать, как это работает, какие выгоды от этого получит организация.
(Организация государственного сектора, 50-249 сотрудников)
Что касается вакансий начального уровня, работодатели заявили, что было бы полезно понимать потенциальные пути карьерного роста, а также какие учебные ресурсы и финансирование доступны. Как мы видели в разделе 2.3, работодатели и рекрутеры посчитали, что Cyber Career Framework Совета по кибербезопасности Великобритании является ценным ресурсом для новых участников сектора.
6.2 Труднозаполняемые вакансии
Как и в предыдущие годы, большинство этих компаний по найму столкнулись с некоторыми трудностями при заполнении этих вакансий. В этом году семь из десяти (70%) киберфирм с вакансиями заявили, что у них была по крайней мере одна вакансия, которую было трудно заполнить — небольшое увеличение по сравнению с 67%, которые сообщили об этом в 2023 году.
В целом, мы оцениваем, что (55%) вакансий в этом году трудно заполнить. Для сравнения, в 2023 году этот показатель составлял 37%.
Причины труднозаполняемых вакансий
Основные причины, по которым эти вакансии трудно заполнить, остались неизменными, как показано на рисунке 6.3. Без подсказок киберфирмы чаще всего говорят, что причиной трудно заполнить вакансии является отсутствие технических навыков или знаний, на что ссылаются более половины (52%).
Это также было главной причиной, указанной в исследованиях 2021, 2022 и 2023 годов. Другие значимые причины включали низкую заработную плату или льготы, которые не соответствовали ожиданиям кандидатов (26%), или отсутствие гибких навыков (24%). Доля, сообщивших, что отсутствие опыта работы было препятствием для найма, снизилась с 27% в 2023 году до 16% в 2024 году. Она достигла 35% в 2021 году, что говорит о том, что пул кандидатов с соответствующим профессиональным опытом увеличивается по мере развития сектора, даже если это не обязательно приводит к подходящим наборам навыков для удовлетворения рыночного спроса.
Рисунок 6.3: Наиболее распространенные причины, которые приводят компании киберсектора для объяснения труднозаполняемых вакансий (без подсказки — допускается несколько ответов)
Базы: Предприятия киберсектора, в которых с начала 2022 года возникли вакансии в киберсфере, которые было трудно заполнить. 2024: 84; 2023: 64; 2022: 79; 2021: 46; 2020: 79.
Конкретные роли, на которые влияет нехватка навыков
Опрос снова выявил широко распространенную нехватку навыков как на должностях универсалов, так и на должностях специалистов. Среди предприятий киберсектора с труднозаполняемыми вакансиями 40% сообщают, что это были должности универсалов, что составляет 13% от общей численности населения сектора.
Как показано на рисунке 6.4, чаще всего это были должности специалистов общего профиля в сфере кибербезопасности (31%). [сноска 8] Лишь небольшое меньшинство сообщило, что это были должности специалистов общего профиля в сфере продаж (10%) или ИТ (5%), или должности на уровне высшего руководства (5%).
Рисунок 6.4: Процент компаний киберсектора, которые столкнулись с трудностями при заполнении следующих вакансий специалистов широкого профиля (допускается несколько ответов)
Базы: 180 предприятий киберсектора; 58 из них имели труднозаполнимые вакансии в киберсфере с начала 2022 года.
Однако большинство этих труднозаполняемых вакансий, как правило, были связаны с должностями специалистов — 59% против 40% в должностях общего профиля. В отличие от предыдущих лет, наиболее частой труднозаполняемой специализацией в этом году была сфера управления безопасностью, соответствия требованиям и юриспруденция, упомянутая почти тремя из десяти тех, у кого была труднозаполняемая вакансия (28%).
Тестирование на проникновение, наиболее часто упоминаемая область нехватки навыков в предыдущих опросах (упоминавшаяся 19% в 2023 году), была упомянута только 9% тех, у кого в этом году были вакансии, которые трудно заполнить. Это может указывать на то, что предложение этого набора навыков на рынке начинает более точно отражать спрос, который имеет решающее значение, но ограничен относительно небольшой подгруппой фирм. Для подтверждения этой тенденции потребуются дополнительные волны исследований.
Рисунок 6.5: Процент компаний киберсектора, которые столкнулись с трудностями при заполнении следующих вакансий специалистов (допускается несколько ответов)
Базы: 180 предприятий киберсектора; 58 из них имели труднозаполнимые вакансии в киберсфере с начала 2022 года.
Определенные уровни или классы, наиболее пострадавшие от нехватки навыков
Как показано на рисунке 6.6, большая часть нехватки навыков по-прежнему наблюдается на должностях среднего или более высокого уровня, требующих не менее 3 лет опыта, при этом по сравнению с 2023 годом этот показатель значительно вырос. Это хорошо согласуется с результатами предыдущих лет, хотя в этом году значительно меньше респондентов сообщают, что их труднозаполняемые должности находятся на уровне главного специалиста или выше, требуя более 6 лет опыта (22% по сравнению с 42% в 2023 году).
Рисунок 6.6: Процент предприятий киберсектора, которые столкнулись с трудностями при заполнении вакансий на следующих уровнях, среди тех, у кого были вакансии, которые было трудно заполнить
Базы: Предприятия киберсектора, в которых с начала 2022 года возникли вакансии в киберсфере, которые было трудно заполнить. 2024: 58; 2023: 64; 2022: 79; 2021: 46; 2020: 79
Это нашло отражение в качественном исследовании; найти кибер-сотрудников со средним опытом может быть особенно сложно. Один агент по подбору персонала предположил, что пандемия сделала этот дефицит более острым.
Это люди с опытом работы 5-9 лет. У нас была всемирная чума 4 года назад, поэтому их не существует. Так что вы либо нанимаете меньше, чем вам нужно, либо больше.
(Агент по подбору персонала)
Качественные выводы о труднозаполняемых вакансиях
Работодатели и рекрутеры отметили, что вакансии, связанные с облачными технологиями, архитектурой безопасности, безопасной разработкой и анализом угроз, являются особенно сложными для заполнения.
Рынок изменился за последние несколько лет. После пандемии многие организации полностью перешли на облачные технологии, без физического сервера. Наблюдается огромный рост числа организаций, желающих стать более облачными или ориентированными на облако.
(Агент по подбору персонала)
Пара упомянула, что опыт в области ИИ в дефиците. Как мы обсуждаем в разделе 4.7, это растущая область важности в секторе.
AI в целом — это то, что сейчас особенно популярно. Его трудно найти, он также очень новый, так что ни у кого нет 20-летнего опыта в Gen AI .
(фирма киберсектора, 1000 или более сотрудников)
Агенты по подбору персонала отметили, что работодатели иногда хотят сложное сочетание навыков, например, очень специфические технологии в определенном месте (потому что роль предполагает личное присутствие). Одним из примеров сложной роли для заполнения был работодатель, который искал кого-то, кто обладал бы как навыками облачных вычислений, так и навыками кодирования, и кто также хорошо вписался бы в команду.
Они ищут кого-то с очень, очень сильным бэкграундом в облаке. Они также хотят немного кодирования. Облако и кодирование обычно представляют собой два разных набора навыков. Они хотят кого-то с яркой личностью, который впишется в команду и все такое.
(Агент по подбору персонала)
Кандидаты, которые обладают как дополнительными (иногда называемыми soft skills), так и техническими навыками, продолжают пользоваться большим спросом. Как мы обнаружили в предыдущие годы, способность понимать как технические, так и деловые элементы кибербезопасности высоко ценится.
Люди, которые имеют действительно глубокий и широкий технический бэкграунд в области безопасности, но также могут говорить и общаться с бизнесом. Это довольно редкий набор навыков.
(Агент по подбору персонала)
Одной из областей, где нехватка кадров не была выявлена киберфирмами, были должности начального уровня. Эти должности определялись самыми разными способами. Как показано на рисунке 6.7, определения минимальных требований для работы «начального уровня» в кибербезопасности варьировались от отсутствия квалификации вообще до наличия A-Levels, степени бакалавра или 2-3 лет опыта работы.
Аналогично в качественном направлении, было несколько различных пониманий того, что такое роль начального уровня, и не было общепринятого определения того, что квалифицировало бы человека для назначения на одну из этих ролей. Возможно, важно более точно определить «начальный уровень», чтобы позволить будущим кандидатам определить, к какому типу и уровню квалификации они должны стремиться.
Рисунок 6.7: Процент киберкомпаний, которые выбрали следующее в качестве минимального требования для должности начального уровня
Базы: 180 предприятий киберсектора. Показаны только определенные категории, упомянутые 10% или более.
7. Вакансии в сфере кибербезопасности
В этой главе представлен профиль вакансий в сфере кибербезопасности в Интернете. Он основан на нашем анализе данных о вторичных вакансиях с использованием платформы Lightcast Analyst. В нем исследуется количество вакансий, роли, навыки, квалификации и уровни опыта, востребованные, откуда исходит спрос (как с точки зрения секторов экономики, так и географически), а также предлагаемые уровни заработной платы. Эти данные сосредоточены на 2023 календарном году (с 1 января по 31 декабря 2023 года).
В то время как результаты опроса, рассмотренные в других главах, основаны на случайной выборке предприятий из более широкой совокупности, представленные в виде диаграммы результаты этого вторичного анализа основаны на полном наборе данных онлайн-объявлений о вакансиях.
7.1 Основные и все кибер-должности
В отдельно опубликованном техническом отчете изложена методология, использованная для этого анализа. Подход соответствует подходу предыдущих лет, что позволяет понять изменения на рынке кибер-труда с течением времени. Стратегия поиска следует стратегии исследования 2023 года, используя платформу Lightcast Analyst для проведения двух поисков (соответствующих поиску «основных» и «включенных» ролей, использованных в исследованиях 2021 и 2022 годов). Это включает поиск:
- Основные киберроли официально обозначены или общепризнаны как должности в сфере кибербезопасности. Они имеют больший спрос на навыки и инструменты, напрямую связанные с кибербезопасностью, такие как информационные системы, криптография, обеспечение информации, сетевые сканеры и операции по безопасности. Другими словами, это должности, где какой-то аспект кибербезопасности является основной функцией работы. Обычно это включает в себя такие должности, как архитектор кибербезопасности, инженер по кибербезопасности, консультант по кибербезопасности, аналитик центра операций безопасности ( SOC ) и тестер на проникновение.
- Все роли в кибербезопасности включают основные роли в кибербезопасности, упомянутые ранее, в дополнение к ролям, которые могут быть формально не обозначены или общепризнанны как должности в кибербезопасности, но они все равно требуют навыков кибербезопасности. Наряду с навыками кибербезопасности они требуют более общих навыков в области ИТ и бизнеса, таких как управление проектами, оценка рисков, сетевая инженерия, SQL, системное администрирование и техническая поддержка. Это может быть связано с тем, что работа требует легких знаний и применения технических навыков кибербезопасности (например, для ИТ-специалистов или ролей в области управления, регулирования и соответствия) или потому, что роль в работе включает функции кибербезопасности среди прочего (например, сетевые инженеры, чья роль включает, но шире, чем просто сетевая безопасность). Типичные названия должностей включают в себя компьютерную поддержку, аналитика ИТ-поддержки и аналитика приложений.
Стоит отметить, что все эти роли в кибербезопасности обычно требуют сочетания технических и нетехнических навыков кибербезопасности. Поэтому их нельзя просто разделить на технические и нетехнические работы в кибербезопасности.
Чтобы было ясно, это другое различие от формальных и неформальных киберролей, обсуждавшихся в предыдущих главах, которое касается того факта, что большинство организаций, особенно микропредприятий, имеют людей, выполняющих киберфункции в значительной степени на ad hoc или неформальной основе. Напротив, все вакансии, включенные в этот вторичный анализ, по определению имеют технические аспекты кибербезопасности в своих должностных инструкциях. Все они являются формальными киберролями.
7.2 Количество вакансий
Ежемесячная тенденция по основным и всем онлайн-вакансиям в сфере кибербезопасности представлена на рисунке 7.1 и охватывает двухлетний период с января 2022 года по декабрь 2023 года. За последние двенадцать месяцев (т. е. с января 2023 года по декабрь 2023 года) спрос на специалистов по кибербезопасности замедлился.
В 2023 году было 97 319 соответствующих вакансий. Это включает 48 492 вакансий по основным киберролям (в среднем 4 041 в месяц) и 48 827 других вакансий, требующих навыков в области кибербезопасности.
По сравнению с уровнем 2022 года это говорит о том, что количество основных вакансий в сфере кибербезопасности сократилось на 32% (с 71 054 в 2022 году). Спрос на «все киберроли» также снизился на 39% за этот период времени.
Рисунок 7.1: Ежемесячное количество основных и всех кибер-онлайн-вакансий с января 2022 г. по декабрь 2023 г.
Источник: Базы Lightcast: 257 354 онлайн-объявлений о вакансиях с января 2022 г. по декабрь 2023 г. (из них 97 319 в 2023 г.); 119 546 в основных кибер-сферах (48 492 в 2023 г.)
На рисунке 7.2 показано, как изменился объем вакансий в сфере кибербезопасности с января 2021 года. Вакансии за каждый последующий месяц индексируются по отношению к январю 2021 года, индекс которого равен 100. Индексы указывают на некоторые сезонные спады спроса в оба года, однако это падение ожидаемо и наблюдается в основных кибервакансиях, более широких кибервакансиях и во всех цифровых секторах.
На диаграмме показано, что с января 2021 года наблюдался более значительный рост числа вакансий по основным киберролям и всем киберролям, чем по всем цифровым секторам. Несмотря на высокий спрос на специалистов по кибербезопасности в 2021 году и начале 2022 года, к концу 2022 года этот спрос несколько замедлился. Как отражено в обеих диаграммах, в 2023 году наблюдалось замедление активности по набору персонала не только на должности специалистов по кибербезопасности, но и в цифровом секторе в целом.
Рисунок 7.2: Индекс онлайн-объявлений о вакансиях (январь 2021 г. = 100)
Источник: Базы Lightcast: 3 506 124 онлайн-объявлений о вакансиях с января 2021 г. по декабрь 2023 г. (из них 985 675 в 2023 г.); 173 132 в основных киберсферах (48 492 в 2023 г.); 3 332 992 во всех цифровых секторах (888 356 в 2023 г.)
В качественном исследовании рекрутеры заявили, что спрос на рынке кибербезопасности ослаб. Это было связано с экономическими перспективами и ограничением расходов организациями. Рекрутеры заявили, что у компаний нет бюджета на найм, а некоторые даже впервые сократили расходы на кибербезопасность. Еще одним упомянутым фактором является перестройка рынка после всплеска спроса после COVID.
Из-за COVID наступило настоящее ускорение. Все перешли на облачные вычисления, и оковы спали с организаций, когда они снова начали расти и развиваться, и весь рынок немного сошел с ума. На рынке был экстремальный спрос, и он несколько смягчился за последние 12 месяцев. Вероятно, нужно было немного смягчить ситуацию, потому что зарплаты и спрос немного вышли из-под контроля.
(Агент по подбору персонала)
Несколько крупных киберфирм упомянули, что на них повлияло снижение расходов на услуги кибербезопасности. Одна фирма провела сокращения и в результате наняла меньше сотрудников.
В этом году нам пришлось провести реструктуризацию. Мы провели некоторые сокращения. Мы увидели, что рынок затихает где-то в январе этого года, поэтому мы решили сократить число людей, которых собирались набрать.
(фирма киберсектора, 1000 или более сотрудников)
7.3 Географические различия
Оставшаяся часть этой главы посвящена только онлайн-объявлениям о вакансиях с января по декабрь 2023 года. На рисунке 7.3 показана доля объявлений о вакансиях на основные кибер-роли из каждого региона Великобритании (где регион был указан в списке вакансий) на 2023 год. На тепловой карте более темный цвет указывает на более высокую плотность кибер-вакансий в этом регионе. В соответствии с прошлогодним отчетом, самая сильная концентрация объявлений о вакансиях приходится на Лондон и Юго-Восток. Однако в таких регионах, как Западный Мидленд (8% с 6,3%), Йоркшир и Хамбер (до 8% с 6,8%).
Примечательно, что, по нашим оценкам, в 22% этих вакансий [сноска 9] не было указано региональное местоположение (т. е. должности были помечены как «Удаленная» или «По всей Великобритании»). Это снижение по сравнению с 2022 годом (28%), что говорит о тенденции к снижению количества вакансий для удаленной работы и работы из дома во всех регионах в сфере кибербезопасности. Как мы обсуждали в разделе 6.1, в качественном исследовании как работодатели, так и агенты по подбору персонала отметили, что наблюдается отход от удаленной работы.
Рисунок 7.3: Процент основных вакансий в сфере кибербезопасности из каждого региона Великобритании (где местоположение известно) Рейтинг
-
Лондон (29%)
-
Юго-Восток (13%)
-
Северо-Запад (11%)
-
Юго-Запад (9%)
-
Западный Мидленд (8%)
-
Йоркшир и Хамбер (8%)
-
Шотландия (7%)
-
Восточная Англия (6%
-
Восточный Мидлендс (4%)
-
Северо-Восток (2%)
-
Уэльс (2%)
-
Северная Ирландия (2%)
Источник: Lightcast Base: 38 012 объявлений о вакансиях в Интернете с данными о местоположении с января 2023 г. по декабрь 2023 г.
На рисунке 7.4 показаны города с наибольшим количеством вакансий в сфере кибербезопасности, а также тепловая карта, на которой выделены пятнадцать лучших местных органов власти Великобритании с точки зрения рейтинга коэффициента местоположения [сноска 10]
Пять крупнейших городов по количеству вакансий в абсолютном выражении снова остались неизменными по сравнению с 2021 и 2022 годами: наибольшее количество вакансий в сфере кибербезопасности отмечено в Большом Лондоне, Манчестере, Бристоле, Бирмингеме и Лидсе.
С точки зрения рейтинга Location Quotient по вакансиям рабочей силы Рединг занимает первое место по вакансиям в сфере кибербезопасности. Некоторые из регионов с самым высоким спросом включают Челтнем, Бристоль и Манчестер. В 2023 году также наблюдался высокий спрос в таких регионах, как Глостер, Гилфорд, Кембридж, Бирмингем и Белфаст.
Рисунок 7.4: Количество основных вакансий в сфере кибербезопасности и коэффициенты местоположения в 15 ведущих местных органах власти Великобритании
Источник: Lightcast Base: 37 806 онлайн-объявлений о вакансиях с данными о местоположении местных органов власти с января 2023 г. по декабрь 2023 г.
7.4 Рекламируемые вакансии
Рисунок 7.5 перечисляет основные киберроли, определенные по названию должности. Данные о вакансиях могут содержать несколько вариаций похожих названий (например, Cyber Security Analyst и Cyber Analyst), и поэтому, как и в предыдущие годы, были объединены незначительные вариации ролей. [сноска 11]
Рисунок 7.5: Наиболее часто встречающиеся названия должностей среди основных выявленных кибер-должностей
Источник: Lightcast Base: 17 560 онлайн-объявлений о вакансиях с названиями должностей за период с января 2023 года по декабрь 2023 года, включающими одну из 50 самых популярных должностей (из 48 492 основных объявлений о вакансиях в киберсфере).
Четыре наиболее востребованные должности остались неизменными по сравнению с 2022 годом, однако с некоторыми изменениями в относительной пропорции. Вакансии аналитика безопасности увеличились с 16% до 25% в 2023 году. Доля вакансий архитектора безопасности снизилась с 11% в 2022 году до 3% в 2023 году.
Четыре самых популярных названия должностей предполагают постоянный спрос на специалистов по кибербезопасности на руководящих должностях среднего звена, особенно в таких областях, как консалтинг, профессиональные услуги, финансы и государственный сектор, как будет рассмотрено далее в разделе 7.5. Однако многие из этих ролей будут иметь взаимодополняющие наборы навыков и могут отражать то, как работодатели и рекрутеры определяют и классифицируют роли.
7.5 Секторы, требующие специалистов по кибербезопасности
Вакансии в наборе данных обычно рекламируются через кадровое агентство, и почти половина вакансий в наборе данных связана с рекрутерами. Однако для вакансий с указанным работодателем данные предполагают следующую разбивку по секторам.
Это не обязательно полная разбивка. Как отмечалось ранее в этой главе, набор данных Lightcast может не включать некоторых ключевых крупных работодателей, которые не публикуют объявления о вакансиях напрямую. Ниже перечислены секторы с самым высоким спросом на основные кибер-должности в 2023 году. Важно отметить, что почти 17 000 (42%) основных кибер-должностей были опубликованы кадровыми агентствами, что говорит о спросе среди работодателей на использование рекрутеров [сноска 12] . Следовательно, ниже рассматриваются основные секторы для основных кибер-должностей, за исключением деятельности по трудоустройству.
Рисунок 7.6: Процент объявлений о вакансиях на основные кибер-должности, поступающих из определенных секторов (где указан работодатель)
Источник: Lightcast Base: 23 667 основных объявлений о вакансиях в киберпространстве с данными по сектору с января по декабрь 2023 г. (без учета объявлений кадровых агентств). [сноска 13]
Двумя крупнейшими работодателями для основных кибер-ролей в 2023 году были Unilever и CGI. Дальнейшее изучение основных работодателей для основных кибер-ролей подчеркивает, что сохраняется значительный спрос в государственном секторе (например, NHS), профессиональных услугах и финансах (например, Lloyds Banking Group, Deloitte, Barclays, KPMG, EY), телекоммуникациях (например, BT, Vodafone), а также аэрокосмической и оборонной отраслях (например, BAE Systems).
7.6 Требуемые навыки, квалификация и опыт
Востребованные навыки
По сравнению с прошлым годом не произошло никаких существенных изменений в типе навыков, требуемых для основных киберролей. Три основных технических навыка, упомянутых в описаниях вакансий, — это навыки кибербезопасности, аудит и компьютерная безопасность. Другие востребованные области навыков включают ISO/IEC 27001, уязвимость, управление рисками, Microsoft Azure, тестирование на проникновение и программирование (например, Python). На рисунке 7.7 представлены некоторые из самых востребованных навыков.
Рисунок 7.7: Основные навыки, требуемые для основных должностей в сфере кибербезопасности
Источник: Lightcast Base: 48 492 онлайн-объявлений о вакансиях с января 2023 г. по декабрь 2023 г.
Требования к опыту
Рисунок 7.8 демонстрирует, что за последний год наиболее распространенным запросом от работодателей, желающих заполнить основные должности в сфере кибербезопасности, были кандидаты со средним опытом (2–6 лет, 61%), за которыми следовали кандидаты начального уровня (22%).
Такое предпочтение опыту среднего уровня согласуется с результатами предыдущих исследований.
Рисунок 7.8: Процент основных и всех объявлений о вакансиях в сфере кибербезопасности, в которых запрашиваются следующие уровни минимального опыта (где указаны какие-либо минимальные требования)
Источник: Lightcast Base: онлайн-объявления о вакансиях с минимальным опытом работы, размещенные с января 2023 г. по декабрь 2023 г.; 13 211 по основным кибер-профессиям; 70 284 по всем кибер-профессиям.
Требования к образованию
Рисунок 7.9 показывает минимальные требования к образованию, которые работодатели ищут в основных и более широких вакансиях в кибер-сфере. Результаты показывают, что 80% основных работодателей в кибер-сфере требуют от кандидатов как минимум степень бакалавра (или эквивалент), а еще 9% хотят иметь послевузовскую квалификацию, такую как степень магистра или доктора философии. Пропорциональная доля требований для более широких кибер-должностей схожа: чуть более 80% работодателей ищут кандидатов со степенью бакалавра или выше. Это соответствует результатам предыдущего исследования.
Рисунок 7.9: Процент основных и всех объявлений о вакансиях в сфере кибербезопасности, в которых запрашиваются следующие уровни минимального образования (где указаны какие-либо минимальные требования)
Источник: Lightcast Bases: онлайн-объявления о вакансиях с минимальным опытом работы, размещенные с января 2023 года по декабрь 2023 года; 10 552 по основным кибер-специалистам; 54 379 по всем кибер-специалистам.
Качественные результаты оценки квалификации кандидатов
В качественных интервью работодатели и рекрутеры в целом считали, что квалификации, такие как Certified Information Systems Security Professional (CISSP), полезны и могут дать кандидату более благоприятный вес, особенно с учетом требования о пятилетнем опыте в соответствующих областях. Как мы обнаружили в предыдущие годы, работодатели высоко ценят ощутимый опыт. Это особенно касается кандидатов, которые имеют особенно релевантный опыт. Агент по подбору персонала привел пример финтех-компании, нанимающей человека, который работал с другими финтех-компаниями для создания их практик безопасности. Работодатели и рекрутеры считали, что квалификации имеют большее значение для очень технических должностей, где ожидаются такие квалификации, как сертификаты CREST (Council of Registered Ethical Security Testers). Они считали, что квалификации также могут быть полезны при наборе на младшие должности, где у кандидатов нет большого опыта. Некоторые работодатели оценивают потенциал кандидатов начального уровня и младших кандидатов с помощью оценок, таких как «захват флага» (игровое упражнение, предназначенное для проверки навыков кибербезопасности).
Если кто-то хочет младшего сотрудника, то ему, возможно, нужно иметь какие-то начальные квалификации, но клиенты на самом деле больше смотрят на то, какой реальный жизненный опыт вы можете принести, а не на квалификацию. В идеальном мире у вас есть и квалификации, и реальный жизненный опыт.
(Агент по подбору персонала)
7.7 Зарплаты
Используя платформу Lightcast Analyst, мы оцениваем средние зарплаты, усредняя средние значения объявленных зарплат и количество наблюдений. За 12 месяцев 2023 года средняя объявленная зарплата составила £56 800 для основной вакансии в кибер-сфере (при медианном значении £55 000). Обратите внимание, что из-за обновленной платформы мы не предоставляем полный анализ временных рядов.
Для сравнения, для всех должностей сотрудников в коде 62 Стандартной отраслевой классификации (SIC) 2007 года, который является отраслевым кодом компьютерного программирования, консалтинга и смежных видов деятельности, средняя годовая заработная плата увеличилась на 5% с 48 600 фунтов стерлингов в 2022 году до 51 300 фунтов стерлингов в 2023 году (при медианном увеличении на 5% с 42 000 фунтов стерлингов в 2022 году до 44 100 фунтов стерлингов в 2023 году). [сноска 14]
Использование этого значения в качестве показателя для ИТ-вакансий в Великобритании позволяет предположить, что надбавка к заработной плате для основных должностей в сфере кибербезопасности составляет приблизительно 25% по сравнению с ИТ-должностями (при сравнении средних зарплат). [сноска 15] На рисунке 7.10 показан процент основных кибердолжностей, предлагающих зарплаты в следующих диапазонах, где зарплата рекламируется.
Также стоит отметить, что около 70% основных онлайн-вакансий в сфере кибербезопасности не содержат никакой информации о зарплате, по сравнению с 75% в прошлом году. Это может указывать на ограниченную прозрачность зарплат для должностей в сфере кибербезопасности или на то, что продолжает расти использование кадровых агентств и, следовательно, нераскрытые зарплаты в объявлениях о работе.
Рисунок 7.10: Процент основных объявлений о работе в киберпространстве, предлагающих следующие зарплаты (где указывается зарплата или диапазон зарплат)
Источник: Lightcast Base: 14 176 основных объявлений о вакансиях в сфере кибернетики с данными о зарплатах, которые можно сопоставить с определенным регионом Великобритании с января по декабрь 2023 года (остальные находятся в Великобритании, но могут включать национальные или удаленные местоположения)
Географические различия в зарплатах
В Лондоне самая высокая средняя объявленная зарплата для основных кибер-ролей, и он постоянно опережает другие регионы, как показано на рисунке 7.11. Хотя есть различия в зарплатах между регионами, неравенство в оплате труда между регионами продолжает сокращаться (т. е. разница в 23 200 фунтов стерлингов между самым высоким и самым низким регионом в 2021 году, 18 800 фунтов стерлингов в 2022 году и 18 300 фунтов стерлингов в 2023 году).
Рисунок 7.11: Средние предложения по зарплате для основных вакансий в сфере кибербезопасности по регионам (где рекламируется зарплата или диапазон зарплат)
Источник: Lightcast Base: 14 176 основных объявлений о кибер-вакансиях с данными о зарплатах, которые можно сопоставить с определенным регионом Великобритании с января по декабрь 2023 года (остальные находятся в Великобритании, но могут включать национальные или удаленные местоположения)
8. Текучесть кадров в киберсекторе
В этой главе измеряется текучесть кадров в киберсекторе и причины, по которым сотрудники покидают свои должности (если работодатели знают о причинах). Эти статистические данные впервые были включены в отчет за 2021 год. Как и в прошлом году, временной период, отраженный в этих статистических данных, составляет последние 18 месяцев перед опросом, что на этот раз примерно соответствует началу января 2022 года.
8.1 Оценка текучести кадров в кибер-отрасли
Мы оцениваем, что 11% кибер-работников (в киберсекторе) покинули свои должности в течение 18 месяцев до опроса (т. е. примерно с января 2022 года). Это минимальная оценка, поскольку размер общей рабочей силы в наших расчетах предполагает, для простоты, что все эти сотрудники были на своих должностях 18 месяцев назад (т. е. они не присоединились и не ушли в течение последних 18 месяцев, что возможно). Коэффициент текучести кадров такой же, как и в двух последних волнах данных (11% в 2023 и 2022 годах).
8.2 Почему сотрудники уходят со своих должностей
Всего 8% ушли по собственному желанию, а остальные 3% ушли по причине увольнения или сокращения штатов. Это согласуется с предыдущими двумя волнами исследования, где 9% ушли по собственному желанию, а 2% были уволены.
В случаях, когда сотрудники уходили по собственному желанию, мы спрашивали работодателей о причинах этого. Важно отметить, что эти данные, показанные на рисунке 8.1, охватывают восприятие работодателями причин, по которым эти сотрудники покидали свои должности, что может отличаться от собственных взглядов сотрудников. Наиболее распространенной причиной, предлагаемой работодателями, является то, что сотрудники ушли, потому что предложение компании было недостаточно хорошим, и сотрудники искали лучшую оплату или льготы в другом месте. Это похоже на прошлый год.
Рисунок 8.1: Причины, по которым работодатели заставляют сотрудников увольняться с кибер-должностей, среди тех, где сотрудники увольняются по собственному желанию (без подсказки — допускается несколько вариантов ответа)
Базы: 49 предприятий киберсектора, у которых сотрудники уволились по собственному желанию. Показаны только определенные категории, упомянутые 5% или более.
Как видно из таблицы ниже, восприятие работодателями причин увольнения сотрудников по собственному желанию оставалось неизменным, особенно в период с 2023 по 2024 год.
Рисунок 8.2: Причины, по которым работодатели заставляют сотрудников увольняться с кибер-должностей, среди тех, где сотрудники увольняются по собственному желанию (данные о тенденциях) (без подсказки — допускается несколько ответов)
Базы: предприятия киберсектора, сотрудники которых уволились с начала 2021 года. 2024:49; 2023:57; 2022:78; 2021:49 Показаны только определенные категории, упомянутые 5% или более опрошенных.
В качественном исследовании работодатели заявили, что зарплата является ключевой причиной перемещения персонала. Более мелкие киберфирмы объяснили, что они теряют людей из-за более крупных конкурентов, которые могут предложить больше возможностей и большую оплату. Работодатели государственного сектора заявили, что киберперсонал может уйти на более высокооплачиваемые должности в частном секторе. Если они получили квалификацию, их рыночная стоимость увеличивается.
Он действительно хорошо справился. Он получил 2.1 по программе обучения на степень. Но мы не смогли его удержать, потому что были другие компании, которые предлагали похожую работу за гораздо большую плату.
(Организация государственного сектора, 1000 или более сотрудников)
Некоторые работодатели заявили, что киберперсонал уволился из-за образа жизни. В этом году мы специально спрашивали о выгорании в качественном исследовании. Несколько работодателей посчитали, что выгорание на самом деле не является проблемой в их организации. Они сказали, что следят за тем, чтобы сотрудники не работали сверхурочно и регулярно брали отпуск. Для других работодателей выгорание было более серьезной проблемой. Роли реагирования на инциденты и восстановления, а также работа в сфере продаж были выделены как особенно напряженные. Один агент по подбору персонала считает, что по мере того, как кибербезопасность становится все более заметной, давление на старших руководителей увеличивается. Они видели, как люди из-за этого уходили с руководящих должностей, чтобы вернуться на технические руководящие должности.
Впервые я увидел, как это [выгорание] начало поднимать голову около шести или семи лет назад. Я думаю, это происходит из-за возросшей осведомленности о кибербезопасности в организациях, страха, что компании не хотят стать следующей компанией на первой странице газеты или жертвой атаки с использованием программ-вымогателей. Поэтому люди могут чувствовать, что это работа 24/7, что ваша голова будет на плахе, если произойдет нарушение.
(Агент по подбору персонала)
Работодатели пытались снизить риск выгорания, предоставляя сотрудникам время простоя и отпуска. Некоторые из них внедрили ресурсы для благополучия, такие как поддержка психического здоровья.
Без предупреждения вы внезапно просите людей потенциально работать 100 часов в неделю в течение двух или трех недель. Поэтому у нас есть довольно хорошие протоколы для мониторинга этого и обеспечения того, чтобы люди понимали, что у них есть кто-то в качестве резерва, чтобы они могли пережить простой». (фирма киберсектора, 1000 или более сотрудников)
В качественном исследовании мы спрашивали работодателей об их подходе к удержанию персонала. Работодатели упоминали возможность развивать навыки посредством обучения и работы с новыми инструментами, предлагая карьерный рост и выполняя интересную работу.
Работодатели считали, что хорошая культура на рабочем месте и чувство принадлежности к команде побуждают сотрудников оставаться с ними. Работодатели использовали такие стратегии, как вручение наград сотрудникам, празднование повышения по службе и предоставление отпуска для благотворительной работы. Одна киберфирма подчеркнула положительную роль, которую играет их политика в области охраны окружающей среды, социальных отношений и управления ( ESG ) в их рабочей культуре.
Я думаю, что на самом деле люди остаются ради команды, здесь главное команда. Дело не только в конкурентоспособной зарплате, но и в культуре компании. У компании действительно сильная политика ESG . Дело не только в том, чтобы приходить на работу, чтобы зарабатывать деньги, дело в том, чтобы приходить на работу, чтобы быть частью чего-то большего.
(фирма киберсектора, 1-9 сотрудников)
Некоторые работодатели заявили, что гибкий график работы и возможность работать на дому могут стать эффективной стратегией удержания сотрудников.
Речь не всегда идет о деньгах, речь идет о предоставлении людям хорошего баланса между работой и личной жизнью.
(фирма киберсектора, 1000 или более сотрудников)
9. Предложение навыков кибербезопасности
В этой главе рассматривается предложение навыков кибербезопасности в Великобритании. Она опирается на методологии, использованные в предыдущем исследовании Cyber Skills in the UK Labour Market (2023) и исследовании UK Cyber Security Recruitment Pool . В этих отчетах оценивается численность рабочей силы в сфере кибербезопасности Великобритании и предстоящий пул рекрутинга на основе обзора существующей литературы и широкого спектра наборов данных по рынку труда.
Кроме того, эта ветка предоставляет статистику по оценочным характеристикам пула рекрутинга в сфере кибербезопасности с точки зрения демографии, разнообразия, местоположения, образования, доходов и входа в кадровый резерв в сфере кибербезопасности. Она также исследует пути в кибербезопасность, включая высшее и дополнительное образование, ученичество, а также инициативы по переподготовке и переквалификации.
В этой главе представлен обновленный вариант предыдущего исследования с использованием самых последних данных, если таковые имеются.
9.1 Роль высшего образования
В этом разделе рассматриваются последние данные о результатах зачисления в аспирантуру от Управления статистики высшего образования ( HESA ) и Jisc. Исследовательская группа сделала индивидуальный запрос данных о зачислении и результатах в области кибербезопасности и компьютерных наук, охватывающих учебный год 2021/22 (последние доступные данные).
Высшее образование Великобритании предоставляет широкий спектр курсов, модулей и возможностей для изучения кибербезопасности как на уровне бакалавриата, так и на уровне магистратуры. Поскольку спрос на специалистов по кибербезопасности в последние годы вырос, сектор высшего образования отреагировал путем предоставления:
- Специализированные курсы по кибербезопасности (по кибербезопасности или цифровой криминалистике)
- Общие курсы по информатике или вычислительной технике с одним или несколькими модулями по кибербезопасности
- Нетехнические курсы с модулями по кибербезопасности (например, модули по киберпреступности в психологии)
Национальный центр кибербезопасности ( NCSC ) сертифицировал несколько из этих степеней на уровне бакалавра и магистра в рамках программы степеней, сертифицированных NCSC . Он также поддержал развитие Академических центров передового опыта в области исследований кибербезопасности ( ACE-CSR ) и Академических центров передового опыта в области образования в области кибербезопасности ( ACE-CSE ).
Курсы
В таблице 9.1 показано количество курсов, предлагаемых высшими учебными заведениями Великобритании по кибербезопасности и информатике (на основе уникальных названий курсов, предлагаемых в 2020/21 и 2021/22 учебных годах).
Таблица 9.1: Количество курсов и поставщиков по кибербезопасности и информатике (2019/20 и 2020/21 учебные годы)
Уровень квалификации | Кибербезопасность | Информатика |
---|---|---|
Бакалавриат | 316 (из 74 университетов) | 2418 (из 131 университета) |
Другое УГ | 12 (из 10 университетов) | 192 (из 56 университетов) |
Аспирантура | 252 (из 84 университетов) | 2178 (из 127 университетов) |
Общий | 580 | 4,788 |
Источник: Анализ данных Jisc/ HESA (2020–2022 гг.)
Это определяет 74 университета, предлагающих курсы бакалавриата по кибербезопасности, и 84 университета, предлагающих курсы магистратуры по кибербезопасности в Великобритании. Это небольшое увеличение по сравнению с 70 и 80 университетами соответственно в прошлогоднем отчете. Кроме того, количество предлагаемых курсов, связанных с кибербезопасностью, увеличилось на 4% (с 557 до 580).
Число университетов, предлагающих курсы по компьютерным наукам, увеличилось, а число программ бакалавриата и магистратуры также увеличилось на 2% (с 4691 до 4788).
Несмотря на меньший рост предложения курсов по кибербезопасности и информатике по сравнению с предыдущими годами, спрос на изучение кибербезопасности и информатики увеличился более заметно в предыдущем году. Таблицы 9.2 и 9.3 содержат обновленные данные (из предыдущего исследования кибернавыков) по зачислению студентов и выпускников как по кибербезопасности, так и по информатике на 2021/22 учебный год.
Таблица 9.2 показывает рост на 14% числа студентов, зачисленных на курсы по кибербезопасности с 2020/21 по 2021/22 учебный год, в то время как Таблица 9.3 показывает рост на 7% числа студентов, зачисленных на курсы по компьютерным наукам. Таблицы также показывают, что число выпускников по кибербезопасности и компьютерным наукам выросло на 34% и 26% соответственно. Это подчеркивает относительно сильный рост предоставления услуг по кибербезопасности как на уровне бакалавриата, так и на уровне аспирантуры, что указывает на то, что многие высшие учебные заведения реагируют на растущий спрос на специалистов по кибербезопасности в экономике, а также на возросший спрос среди студентов на изучение навыков кибербезопасности.
Таблица 9.2: Распределение численности студентов и лиц, прошедших обучение по курсам кибербезопасности в высших учебных заведениях Великобритании (вузы, 2020/21 и 2021/22 учебные годы)
Учебный год | Количество вузов, предлагающих соответствующий курс в 2020/21 учебном году | Количество вузов, предлагающих соответствующий курс в 2021/22 учебном году | Количество студентов, зачисленных в 2020/21 учебном году | Количество студентов, зачисленных в 2021/22 учебном году | Количество выпускников в 2020/21 учебном году | Количество выпускников в 2021/22 году |
---|---|---|---|---|---|---|
Бакалавриат | 69 | 74 | 13,240 | 14,140 | 2,580 | 3,220 |
Аспирантура | 68 | 84 | 5,030 | 6,750 | 1,750 | 2,570 |
Общий | 93 | 97 | 18,270 | 20,890 | 4,330 | 5,790 |
Источник: Анализ данных Jisc/ HESA (2020–2022 гг.) (числа округлены до ближайшего десятка, сумма может не совпадать из-за округления).
Таблица 9.3: Распределение численности студентов и кандидатов на курсы компьютерных наук в высших учебных заведениях Великобритании (вузы, 2020/21 и 2021/22 учебные годы)
Учебный год | Количество вузов, предлагающих соответствующий курс в 2020/21 учебном году | Количество вузов, предлагающих соответствующий курс в 2021/22 учебном году | Количество студентов, зачисленных в 2020/21 учебном году | Количество студентов, зачисленных в 2021/22 учебном году | Количество выпускников в 2020/21 учебном году | Количество выпускников в 2021/22 году |
---|---|---|---|---|---|---|
Бакалавриат | 128 | 131 | 104,290 | 103,270 | 23,630 | 24,850 |
Аспирантура | 124 | 127 | 41,700 | 52,620 | 14,730 | 23,590 |
Общий | 132 | 134 | 145,990 | 155,890 | 38,360 | 48,440 |
Источник: Анализ данных Jisc/ HESA (2020–2022 гг.) (числа округлены до ближайшего десятка, сумма может не совпадать из-за округления).
В таблицах показано, что за последний доступный год (2021/2022) число лиц, зачисленных на курсы по кибербезопасности, увеличилось на 14%, а число выпускников вузов по кибербезопасности увеличилось на 34%.
Кроме того, число студентов, изучающих информатику, также увеличилось на 7%, а число выпускников вузов по информатике увеличилось на 26%.
Профили студентов
В этом разделе представлена разбивка выпускников по специальностям «Кибербезопасность» и «Информатика» за последний год, по которому имеются данные (2021/22), по гендерной идентичности, этнической принадлежности, месту жительства, возрасту и поступлению из государственных школ.
Гендерная идентичность
В предыдущих исследованиях был выявлен значительный гендерный разрыв в отрасли кибербезопасности. Рисунок 9.1 подчеркивает гендерный разрыв на уровне бакалавриата и магистратуры как для курсов по кибербезопасности, так и для других курсов по компьютерным наукам. Это подчеркивает, что на киберкурсах только 14% выпускников на уровне бакалавриата и 24% на уровне аспирантуры идентифицируют себя как женщины. Это говорит о небольшом увеличении участия женщин в аспирантуре по сравнению с предыдущим годом (увеличение на 3%); однако уровень участия остается низким по сравнению как с компьютерными науками, так и с более широким участием в высшем образовании.
Рисунок 9.1: Гендерная идентичность выпускников факультетов кибербезопасности и компьютерных наук (2021/22)
Источник: Анализ данных Jisc/ HESA (2021/22). База: студенты бакалавриата по кибернетике, n=3215, аспиранты по кибернетике, n=2561, студенты бакалавриата по компьютерным наукам, n=24790 и аспиранты по компьютерным наукам, n=23550.
Рисунок 9.2 показывает, что в учебном году 2021/22 не менее 19% студентов, изучающих кибербезопасность, и 14% студентов, изучающих информатику, были представителями этнических меньшинств. Наблюдается небольшое снижение доли студентов, изучающих кибербезопасность, на 3% и на 3% по информатике по сравнению с цифрами, указанными в отчете за предыдущий год, хотя это также может быть связано с дальнейшим ростом доли лиц с неизвестной этнической принадлежностью.
Рисунок 9.2: Этническая принадлежность выпускников факультетов кибербезопасности и компьютерных наук (2021/22)
Источник: Анализ данных Jisc/ HESA (2021/22). База: Киберкурсы, n =5790 и Компьютерные науки, n =48440
Место жительства
На следующих рисунках показано место жительства (т. е. предыдущие домашние адреса) студентов, изучающих кибербезопасность и компьютерные науки, в 2021/22 учебном году. На рисунке 9.3 показано, что 89% студентов бакалавриата по кибербезопасности — из Великобритании. Если сравнивать с данными исследования Cyber Recruitment Pool (2018/19), то соотношение студентов из Великобритании (около 90%) оставалось неизменным в последние годы. Более пристальный взгляд на студентов, изучающих кибербезопасность, на всех уровнях (бакалавриат и магистратура) в 2021/22 учебном году показывает, что 72% студентов были из Великобритании, 25% студентов не из ЕС и 3% — из ЕС.
Рисунок 9.3: Место жительства студентов, обучающихся по направлениям бакалавриата по кибербезопасности и компьютерным наукам (2021/22)
Источник: Анализ данных Jisc/ HESA (2021/22). База: Киберкурсы, n =14 140 и Компьютерные науки, n =103 270
Рисунок 9.4 показывает, что доля аспирантов по компьютерным наукам из стран, не входящих в ЕС, продолжает расти с 56% в 2020/21 до 64% в 2021/22, что превышает уровень зачисления студентов из Великобритании. Кроме того, доля аспирантов по кибербезопасности из стран, не входящих в ЕС, выросла с 45% до 60%, что также превышает уровень зачисления студентов из Великобритании. Это подчеркивает международную привлекательность Великобритании как места для кибербезопасности и компьютерных наук.
Рисунок 9.4: Место жительства студентов, обучающихся в аспирантуре по направлениям «Кибербезопасность и компьютерные науки» (2021/22)
Источник: Анализ данных Jisc/ HESA (2021/22). База: Киберкурсы, n =6750 и Компьютерные науки, n =52620
Дальнейший анализ показывает, что из 1292 выпускников по кибербезопасности из Великобритании, которые были трудоустроены (и указали код должности SOC2020) на момент опроса Graduate Outcomes, 96% (1143) сообщили, что остались работать в Великобритании. Это говорит о том, что удержание выпускников на внутреннем рынке кибербезопасности сильнее, чем в предыдущем году, когда 90% выпускников по кибербезопасности из Великобритании сообщили, что остались работать в Великобритании.
Государственный школьный маркер
Маркер посещения «государственных школ» является полезным показателем для изучения разнообразия студентов, поступающих на определенные курсы. На рисунке 9.5 показана доля студентов, проживающих в Великобритании и зачисленных на курсы по кибербезопасности и другим компьютерным дисциплинам. Это подчеркивает, что по крайней мере 75% студентов, зачисленных на курсы по кибербезопасности, имеют опыт обучения в государственных школах, по сравнению с 73% для более широких курсов по информатике. Очень небольшая доля приходится на школы, финансируемые из частных источников. Обратите внимание, что есть также значительная группа «неизвестных»; многие из этих студентов, вероятно, также посещали школы, финансируемые из государственных источников.
Рисунок 9.5: Государственный школьный маркер – студенты факультета кибербезопасности и компьютерных наук из Великобритании – зачисленные в 2021/22 учебном году
Источник: Анализ данных Jisc/ HESA (2021/22). База: студенты, проживающие в Великобритании, зачисленные на курсы по кибернетике, n = 15 110 и компьютерным наукам, n = 100 050.
На уровне бакалавриата, Рисунок 9.6 показывает, что 73% студентов, зачисленных на курсы по кибербезопасности, находятся в возрасте от 18 до 24 лет. Однако 26% студентов бакалавриата, зачисленных на курсы по кибербезопасности, находятся в возрасте 25 лет и старше, и эта цифра увеличивается до 66% на уровне аспирантуры. Это может указывать на значительный спрос среди студентов старшего возраста или тех, кто стремится повысить свою квалификацию в области кибербезопасности, чтобы сделать это через систему высшего образования.
Рисунок 9.6: Студенты, изучающие кибербезопасность (вверху) и компьютерные науки (внизу) — зачисленные в 2021/22 учебном году
Источник: Анализ данных Jisc/ HESA (2021/22). База: Киберкурсы, n =20 890 и Компьютерные науки, n =155 880
На рисунке 9.7 представлен процент студентов, обучающихся на очной, заочной и других формах обучения по возрасту. Это подчеркивает, что молодые студенты более склонны учиться на очной форме, в то время как более зрелые студенты, скорее всего, будут учиться на заочной форме, как правило, с учетом работы или других обязательств. Это означает, что изучение достаточного предоставления возможностей заочной или дистанционной формы обучения в области кибербезопасности для зрелых студентов может помочь стимулировать повышенный спрос.
Рисунок 9.7: Студенты факультета кибербезопасности «Эпоха» — зачисленные в 2021/22 учебном году (все уровни)
Процент зачисленных студентов (по возрасту, по уровню)
Источник: Анализ данных Jisc/ HESA (2021/22). База: Полная занятость (FT), n = 16 250; Неполная занятость (PT), n = 4 650
Результаты выпускников
Последние данные HESA о результатах обучения выпускников охватывают 2020/21 учебный год и основаны на ответах на опрос о результатах обучения выпускников.
Выпускников спрашивают об их деятельности в течение примерно 15 месяцев после окончания учебы, поэтому полученные ответы могут показать активность, имевшую место в период с декабря 2021 года по сентябрь 2022 года (для тех, кто завершил опрос результатов обучения после окончания учебы). Из 4429 студентов, окончивших курсы по кибербезопасности в 2020/21 учебном году, чуть менее 50% (2022) приняли участие в опросе результатов обучения. Аналогичным образом, чуть более 40% (16658) выпускников по компьютерным наукам приняли участие в опросе результатов обучения.
Рисунок 9.8 показывает общие результаты выпускников, окончивших в 2020/21 учебном году. Результаты показывают, что в последний год 66% выпускников по кибербезопасности устроились на постоянную работу, а еще 10% выпускников по кибербезопасности устроились на работу и продолжили обучение. Количество выпускников, устроившихся на постоянную работу, выше, чем в предыдущем году, в то время как количество устроившихся на работу и продолжающих обучение, ниже (60% и 11% соответственно). Еще 7% устроились на неполную занятость.
Это означает, что из примерно 4400 студентов, окончивших вуз по кибербезопасности в 2020/21 году, и из примерно 5800 выпускников по кибербезопасности в 2021/22 году, мы оцениваем, что примерно 85% из них выйдут на рынок труда в течение 15 месяцев. Мы рассмотрим сектора и роли для этих выпускников в последующих подразделах.
Мы также отмечаем, что 7% выпускников по кибербезопасности остались безработными в течение пятнадцати месяцев после выпуска. Это сопоставимо с 5% среди всех выпускников [сноска 16] , что потенциально указывает на повторяющуюся проблему в отношении обеспечения того, чтобы выпускники по кибербезопасности обладали навыками межличностного общения и навыками прохождения собеседования, а также способностью проходить технические тесты, часто требуемые для получения должности выпускника.
Рисунок 9.8: Общие результаты выпускников (2020/21 учебный год)
Источник: Анализ данных Jisc/ HESA (2020/21). База: Киберкурсы, n = 2020 и Компьютерные науки, n = 16 660
Результаты занятости
Используя коды Стандартной классификации профессий ( SOC ) на 2020/21 учебный год, мы можем понять самые популярные карьеры для выпускников по кибербезопасности. На рисунке 9.9 показаны основные рабочие места, основанные на доле выпускников по кибербезопасности в каждой роли.
Данные свидетельствуют о том, что 30% выпускников кибервузов трудоустраиваются на должности специалистов по кибербезопасности; этот показатель остается относительно стабильным с 2019/20 учебного года и может свидетельствовать о дальнейшем использовании нового кода SOC для «специалистов по кибербезопасности», а также о более целенаправленных результатах трудоустройства.
Доля выпускников кибер-специалистов в профессиональных ролях в области программирования и разработки программного обеспечения ниже на 10% по сравнению с 11% в 2019/20 году. Однако значительная часть выпускников кибер-специалистов переходит на должности, связанные с ИТ, которые могут потребовать специфических знаний в области кибер-технологий, и многие из тех, кто заявляет, что они работают на «ролях программирования» и т. д., в конечном итоге могут работать в фирмах по кибербезопасности.
Рисунок 9.9: Основные должности на основе Стандартной классификации профессий ( SOC ) 2020 года для выпускников вузов по кибербезопасности (2019/20)
Источник: Анализ данных Jisc/ HESA (2020/21). База: Общее количество выпускников, n=1530 в сфере занятости FT или PT. На рисунке 9.10 показаны основные должности для выпускников в области компьютерных наук, при этом 40% этих выпускников работают программистами и специалистами по разработке программного обеспечения. Доля выпускников в этой должности снизилась с 42% в 2019/20 учебном году. Однако только 1% выпускников в области компьютерных наук 2020/21 учебного года считают, что они работают на должностях специалистов по кибербезопасности (не показано на диаграмме ниже). Хотя это отражает важный приток, это подчеркивает продолжающуюся гонку за талантами в широком спектре цифровых секторов для выпускников в области компьютерных наук.
Рисунок 9.10: Основные рабочие места на основе Стандартной классификации профессий ( SOC ) 2020 года для выпускников факультета компьютерных наук (2020/21)
Источник: Анализ данных Jisc/ HESA (2020/21). База: Общее количество выпускников, n=12 700, работающих по найму или по найму Что касается пула киберрекрутинга, используя оценки Обзора результатов выпускников, мы предполагаем, что следующее количество выпускников высших учебных заведений, вероятно, будут работать в сфере ИТ и кибербезопасности каждый год (таблицы 9.4 и 9.5 ниже)
Таблица 9.4: Предполагаемое количество выпускников, переходящих на должности, связанные с ИТ
Тип курса | Количество выпускников | Доля в занятости FT | Доля в должностях, связанных с ИТ | Подразумеваемая численность населения |
---|---|---|---|---|
Кибербезопасность | 5,790 | 66% | 95% | 3,630 (округленно) |
Другая компьютерная наука | 48,440 | 66% | 85% | 27,170 (округленно) |
Общий | 30,800 |
Таблица 9.5: Предполагаемое количество выпускников, переходящих на должности специалистов по кибербезопасности ( SOC 2135)
Тип курса | Количество выпускников | Доля в занятости FT | Доля в SOC 2135 (кибер | Подразумеваемая численность населения |
Кибербезопасность | 5,790 | 66% | 30% | 1150 (округленно) |
Другая компьютерная наука | 48,440 | 66% | около 1% | 320 (округленно) |
Общий | 1,470 |
---|
Эти данные показывают, что количество выпускников, переходящих на должности в сфере ИТ, увеличилось примерно на 7000 (+31%) с прошлогоднего отчета. Кроме того, количество выпускников на должностях «SOC2135 Cyber Security Professional» увеличилось примерно на 300 (+28%) с прошлого года.
Число выпускников, переходящих на должности «SOC2135 Cyber Security Professional», увеличилось с 1150 на 28% до 1470 за последний год. В предыдущем отчете предполагалось, что до 4000 выпускников, вероятно, выйдут на более широкий рынок труда в сфере кибербезопасности каждый год. Это связано с тем, что код SOC 2135, вероятно, значительно недооценивает количество специалистов по кибербезопасности (например, лиц, работающих на должностях, связанных с кибербезопасностью, в программировании, сетях, консалтинге и т. д.).
Это означает, что ответ, который они предоставляют в рамках опроса о результатах обучения выпускников в отношении своей текущей роли, может быть отнесен к другой области (например, программированию или консультированию), даже если их роль сосредоточена на кибербезопасности.
Мы отмечаем рост числа выпускников в области ИТ и кибербезопасности и можем предположить, что около 5000 выпускников сектора высшего образования могут выйти на более широкий рынок труда в сфере кибербезопасности.
Зарплаты
Анализ данных Graduate Outcomes также указывает на диапазоны зарплат для тех, кто работает полный рабочий день. Рисунок 9.11 показывает, что выпускники факультетов кибербезопасности и компьютерных наук имеют схожие доходы, со средним доходом в диапазоне £25,001 - £30,000 в течение 15 месяцев после выпуска. Это соответствует предыдущему году.
Рисунок 9.11: Заявленные зарплаты тех, кто работает на условиях полной занятости (2020/21 учебный год)
Источник: Анализ данных Jisc/ HESA (2020/21). База: Киберкурсы, n =1030 и Компьютерные науки, n =8280
Рисунок 9.12 также показывает заявленные зарплаты выпускников в киберпрофессиональных ролях. Медианная зарплата выпускников кибер- и компьютерных наук в киберпрофессиональных ролях находится в диапазоне зарплат от 30 000 до 35 000 фунтов стерлингов, что подчеркивает надбавку к заработной плате на уровне выпускника. Кроме того, существует более высокая доля выпускников кибер-специалистов, получающих более высокие зарплаты (например, более 70 000 фунтов стерлингов), если рассматривать конкретно киберпрофессиональные роли.
Рисунок 9.12: Заявленные зарплаты тех, кто работает полный рабочий день в качестве киберспециалистов (2020/21 учебный год)
Источник: Анализ данных Jisc/ HESA (2020/21). База: Киберкурсы, n =320 и Компьютерные науки, n =120
9.3 Оценка размера пула кадров для кибербезопасности
Предыдущее исследование Cyber Skills in the UK Labour Market (2023) дало оценку около 133 400 специалистов по кибербезопасности, работающих в Великобритании. В этом разделе пересматривается и обновляется предыдущая оценка с использованием обновленных данных за последние 12 месяцев. Чтобы создать эту оценку, мы рассмотрели различные источники данных, рассмотренные в этом разделе.
По нашим оценкам, численность рабочей силы в сфере кибербезопасности к 2023 году увеличится до 136 800 штатных единиц. Оценка рабочей силы по отраслевому анализу кибербезопасности DSIT (2024)
С 2017 года DSIT отслеживает размер и масштаб сектора кибербезопасности Великобритании в рамках Cyber Sectoral Analysis. Хотя это охватывает только эквивалент полной занятости ( FTE ), связанный с ролями в сфере кибербезопасности, это дает полезный индикатор масштаба числа рабочих мест в частных фирмах, которые торгуют продуктами и услугами в сфере кибербезопасности. Соответствующие цифры из всех опубликованных на сегодняшний день секторных анализов показаны в Таблице 9.6.
За последний год рост занятости в секторе кибербезопасности замедлился по сравнению с предыдущими годами, составив, по оценкам, 5% по сравнению с двузначным ростом в предыдущие годы (за исключением 2020 года).
Несмотря на общий рост занятости в секторе кибербезопасности, мы отмечаем, что некоторые из крупнейших компаний по кибербезопасности (в соответствии с более широкой технологической отраслью) объявили о сокращении сотрудников (обычно в диапазоне 5–10 % [сноска 17] ) в 2023 году.
Таблица 9.6: Количество штатных единиц в секторе кибербезопасности Великобритании, 2017–2023 гг.
Год | Число | Увеличивать | Годовой прирост |
---|---|---|---|
2017 | 31,339 | ||
2018 | 36 000 (оценка [сноска 18] , так как в 2018 году не было заказано ни одного исследования) | 4,661 | 15% |
2019 | 42,855 | 6,885 | 19% |
2020 | 46,683 | 3,828 | 9% |
2021 | 52,727 | 6,044 | 13% |
2022 | 58,005 | 5,278 | 10% |
2023 | 60,689 | 2,684 | 5% |
Исследование рабочей силы в сфере кибербезопасности ISC2
Исследование ISC2 Cybersecurity Workforce Study 2023 показывает, что в Великобритании насчитывается около 367 300 человек (+8,3% по сравнению с 2022 годом), а нехватка составляет около 73 400 человек.
Мы не можем подтвердить их оценку нашими данными, учитывая различия в методологиях между нашими двумя исследованиями (изложенными далее в этом разделе) и ограниченную опубликованную техническую информацию о размере выборки Великобритании и репрезентативности данных ISC2. Оценка также может иметь погрешность.
Оценки численности персонала по кибербезопасности
Недавно ONS обновило Стандартную систему классификации профессий до «SOC2020», которая включает классификацию должностей для «специалистов по кибербезопасности» в соответствии с кодом SOC 2135. Ежегодный опрос населения [сноска 19] (октябрь 2022 г. — сентябрь 2023 г.) дает оценку количества рабочих мест в Великобритании в соответствии с SOC2135 (специалисты по кибербезопасности).
По оценкам, существует 58 200 рабочих мест в соответствии с SOC2135. Однако это в контексте 1 468 200 ИТ-специалистов ( SOC 213), где многие сотрудники, работающие в кибер-роли, могут быть альтернативно закодированы в таких областях, как менеджеры ИТ-проектов, программисты и разработчики программного обеспечения, сетевые инженеры и более широкий персонал по качеству и тестированию.
Таким образом, оценка числа рабочих мест в 58 200 человек дает весьма полезную выборку специалистов по кибербезопасности; однако она может недооценивать истинную распространенность кибернавыков и киберспециалистов в экономике Великобритании.
Это означает, что наша исследовательская группа стремится оценить численность сотрудников сферы кибербезопасности в Великобритании, используя данные ежегодного обследования населения, исследования отраслевого анализа кибербезопасности DSIT , анализа вакансий и более широкого моделирования.
В исследовании «Кибернавыки на рынке труда Великобритании» за 2023 год говорится, что «по самым скромным подсчетам, по состоянию на конец 2022 года в сфере кибербезопасности будет работать около 133 400 человек».
Обновляя данные на 2023 год, мы оцениваем:
- По состоянию на конец 2022 года мы сохраняем оценку численности рабочей силы в 133 400 человек.
- Мы предполагаем, что приток (новых людей в отрасль) составит 8100 человек в 2023 году.
- Мы предполагаем отток в размере 4700 человек, исходя из того, что до 3,5% сотрудников сферы кибербезопасности покидают сектор в течение года в связи с выходом на пенсию или увольнением.
- Это говорит о том, что по состоянию на конец 2023 года численность специалистов по кибербезопасности оценивается в 136 800 человек.
Изучение всех выпускников вузов, работающих в сфере кибербезопасности в Великобритании
Дополнительный индивидуальный запрос данных был сделан для выпускников, которые работают на должностях в соответствии с кодом SOC213 (ИТ) и SOC2135 (специалисты по кибербезопасности) по всем направлениям получения степени.
Целью данного поиска является выявление выпускников любой специальности (т. е. за пределами курсов по кибербезопасности или компьютерным наукам), которые работают в сфере кибербезопасности в течение пятнадцати месяцев после окончания вуза.
Этот запрос данных охватывал выборку из 765 выпускников, которые заполнили опросник Graduate Outcomes Survey и указали свой статус занятости по коду SOC2135 (специалисты по кибербезопасности). Это подчеркивает, что:
- 59% этих студентов изучали курс по кибербезопасности.
- 17% изучали курс «Вычислительная техника» или «Компьютерные науки»
- 17% изучали курсы, связанные с STEM (естественные науки, технологии, инженерия и математика)
- 4% изучали бухгалтерский учет, бизнес, экономику и/или финансы
- 3% изучали гуманитарные и/или общественные науки
**Рисунок 9.13: Выпускной курс по специальности «Специалисты по кибербезопасности» (2020/21 учебный год)
Источник: Анализ данных Jisc / HESA 2 (2020/21). База: 765 специалистов по кибербезопасности; Киберкурсы, n = 449; Компьютерные науки, n = 130; STEM, n = 132; Бухгалтерский учет, бизнес, экономика и финансы, n = 33; Гуманитарные и общественные науки [сноска 20] , n = 21.
Таким образом, Рисунок 9.13 показывает, что хотя значительная часть специалистов по кибербезопасности имеет опыт работы в области кибербезопасности, вычислительной техники и компьютерных наук, выпускники других специальностей вносят свой вклад в киберсектор. Это подчеркивает потенциал в поощрении выпускников из широкого спектра направлений в профессию в области кибербезопасности, а также в последипломные учебные лагеря по переподготовке.
9.4 Роль дополнительного образования
Как указано в исследовании DSIT Cyber Recruitment Pool, дополнительное образование (FE) становится все более важным маршрутом для студентов по мере их продвижения в промышленность или дальнейшего обучения. В Великобритании многие студенты, которые продолжают изучать кибербезопасность (или более широкие курсы по ИТ или вычислениям), могут пройти курсы FE по ИТ, вычислениям или программированию, которые могут включать элементы кибербезопасности в учебную программу. Это предыдущее исследование показало, что более 50 000 студентов ежегодно записываются на курсы 3-го уровня в области ИКТ в Англии, из которых примерно 60% учатся для получения диплома, около 25% для получения квалификации A-Level, а остальные для получения сертификатов или квалификаций BTEC.
В последующих разделах рассматривается приток талантливых специалистов на рынок труда в сфере кибербезопасности через такие каналы, как ученичество, программы переподготовки и повышения квалификации, а также более широкий приток на рынок труда (например, миграция).
Ученичество
Дальнейшее образование (FE) продолжает предоставлять все более важный маршрут для студентов, изучающих кибербезопасность, знакомя их с основами кибербезопасности, сетей и ИТ. Дальнейшее образование может стать ступенькой к карьере в области кибербезопасности.
В таблице 9.7 указано количество зачисленных на программы ученичества, их начало и достижения в программах ученичества на основе ИКТ в 2021/22 и 2022/23 учебных годах. [сноска 21]
Число учащихся, обучающихся по программам ученичества [сноска 22] в области ИКТ в Англии, за последние годы значительно возросло: на 9% — с 42 150 в 2020/21 учебном году до 46 080 в 2021/22 учебном году, а затем еще на 14% — до 52 510 в 2022/23 учебном году.
Число начавших ученичество [сноска 23] увеличилось на 10% с 22 820 в 2021/22 учебном году до 25 100 в 2022/23 учебном году, что свидетельствует о продолжающемся значительном росте числа студентов, проходящих ученичество в области ИКТ.
Таблица 9.7: Количество программ ученичества в области ИКТ (2020/21, 2021/22) в Англии
Тип ученичества | 2021/22 | 2022/23 | ||||
---|---|---|---|---|---|---|
Зачисления | Начинается | Достижения | Зачисления | Начинается | Достижения | |
Среднее ученичество | 70 | 420 | 560 | 10 | 20 | 40 |
Расширенное ученичество | 12,310 | 4,310 | 22,110 | 11,880 | 5500 | 24,440 |
Высшее ученичество | 10,440 | 4,040 | 23,410 | 13,210 | 4,730 | 28,030 |
Общий | 22,820 | 8,770 | 46,080 | 25,100 | 10,250 | 52,510 |
Источник: Департамент образования (учебный год 2022/23) Данные об ученичестве и стажировках Данные об ученичестве и стажировках. [сноска 24]
Таблица 9.8: Количество начатых программ ученичества в области ИКТ (2022/23) в Англии
Подробный уровень | Рамки/Стандарты | Женский | Мужской | Всего стартов |
---|---|---|---|---|
2 | Специалисты в области ИТ и телекоммуникаций | 0 | 0 | 10 |
2 | Пользователь ИТ | 0 | 0 | 0 |
3 | Специалист по кибербезопасности-ST0865 | 10 | 20 | 30 |
3 | Специалист по обработке данных-ST0795 | 1,990 | 2,310 | 4,310 |
3 | Цифровой маркетолог-ST0122 | 1,390 | 900 | 2,290 |
3 | Технический специалист по цифровой поддержке-ST0120 | 170 | 290 | 460 |
3 | Техник по информационным коммуникациям-ST0973 | 340 | 3,220 | 3,560 |
3 | Технический специалист по инфраструктуре-ST0125 | 0 | 20 | 20 |
3 | Специалисты в области ИТ и телекоммуникаций | 0 | 40 | 40 |
3 | Технический специалист по ИТ-решениям-ST0505 | 30 | 250 | 280 |
3 | Специалист по техническим продажам IT-ST0115 | 140 | 350 | 490 |
3 | Пользователь ИТ | 0 | 10 | 10 |
3 | Техник радиосетей-ST0757 | 10 | 40 | 40 |
3 | Специалист по разработке программного обеспечения-ST0128 | 60 | 270 | 330 |
3 | Техник по унифицированным коммуникациям-ST0130 | 0 | 30 | 30 |
4 | Поддержка приложений Lead-ST0949 | 10 | 40 | 50 |
4 | Бизнес-аналитик-ST0117 | 760 | 700 | 1,460 |
4 | Специалист по кибербезопасности (2021)-ST1021 | 90 | 340 | 430 |
4 | Специалист по кибербезопасности-ST0124 | 0 | 10 | 10 |
4 | Аналитик данных-ST0118 1,970 | 3,410 | 5,380 | |
4 | Инженер DevOps-ST0825 | 60 | 210 | 260 |
4 | Специалист по цифровой доступности-ST0863 | 0 | 10 | 10 |
4 | Специалисты в области ИТ и телекоммуникаций | 0 | 0 | 0 |
4 | Младший аниматор-ST0488 | 0 | 0 | 0 |
4 | Сетевой инженер-ST0127 | 50 | 870 | 920 |
4 | Разработчик программного обеспечения-ST0116 | 260 | 700 | 960 |
4 | Тестер программного обеспечения-ST0129 | 40 | 150 | 190 |
4 | Устранение неполадок унифицированных коммуникаций-ST0131 | 0 | 0 | 0 |
6 | Технический специалист по кибербезопасности (интегрированная степень)-ST0409 | 20 | 90 | 110 |
6 | Специалист по обработке данных (интегрированная степень)-ST0585 | 70 | 150 | 220 |
6 | Профессионал в области цифровых и технологических решений-ST0119 | 500 | 1,440 | 1,940 |
6 | Профессионал в области цифрового пользовательского опыта (UX) (интегрированная степень)-ST0470 | 60 | 40 | 100 |
7 | Специалист по данным искусственного интеллекта ( ИИ )-ST0763 | 90 | 260 | 350 |
7 | Специалист по цифровым и технологическим решениям (интегрированная степень)-ST0482 | 220 | 590 | 810 |
7 | Игровой программист-ST0953 | 10 | 20 | 30 |
Общий | 8,340 | 16,750 | 25,100 |
Источник: Департамент образования (учебный год 2022/23), данные по ученичеству и стажировкам . [сноска 25]
Роль ученичества / ученичество с получением степени
Таблица 9.9 показывает количество зачислений на ученичество, начало и достижения [сноска 26] в Англии. В 2022/23 учебном году было 580 новых начинаний на ученичество по кибербезопасности. Таким образом, количество студентов, начинающих ученичество по кибербезопасности, увеличилось на 18% за последний год.
Таблица 9.9: Количество программ ученичества в Англии, 2020-2023 гг.
Рамки/Стандарты | Тип | 2020/21 | 2021/22 | 2022/23 |
---|---|---|---|---|
Аналитик кибервторжений-ST0114 | Зачисление | 20 | 10 | 0 |
Технический специалист по кибербезопасности (интегрированная степень)-ST0409 | Зачисления | 170 | 220 | 270 |
Специалист по кибербезопасности-ST0865 | Зачисления | 20 | 60 | 70 |
Специалист по кибербезопасности (2021)-ST1021 | Зачисления | 20 | 340 | 730 |
Специалист по кибербезопасности-ST0124 | Зачисления | 680 | 380 | 160 |
Общий | Зачисления | 910 | 1,010 | 1,230 |
Аналитик кибервторжений-ST0114 | Начинается | 0 | 0 | 0 |
Технический специалист по кибербезопасности (интегрированная степень)-ST0409 | Начинается | 70 | 100 | 110 |
Специалист по кибербезопасности-ST0865 | Начинается | 20 | 40 | 30 |
Специалист по кибербезопасности (2021)-ST1021 | Начинается | 20 | 320 | 430 |
Специалист по кибербезопасности-ST0124 | Начинается | 270 | 30 | 10 |
Общий | Начинается | 380 | 490 | 580 |
Аналитик кибервторжений-ST0114 | Достижения | 10 | 0 | 0 |
Технический специалист по кибербезопасности (интегрированная степень)-ST0409 | Достижения | 0 | 30 | 20 |
Специалист по кибербезопасности-ST0865 | Достижения | 0 | 0 | 10 |
Специалист по кибербезопасности (2021)-ST1021 | Достижения | 0 | 0 | 60 |
Специалист по кибербезопасности-ST0124 | Достижения | 140 | 140 | 110 |
Общий | Достижения | 150 | 170 | 200 |
Источник: Департамент образования (учебный год 2022/23), данные по ученичеству и стажировкам .
Рост числа студентов, начинающих, зачисленных и получающих квалификации в ученичестве, ориентированном на кибербезопасность, дополнительно подчеркивается на рисунке 9.14. Это подчеркивает устойчивый рост числа учеников по кибербезопасности с течением времени.
Эти данные свидетельствуют о том, что в 2022/23 году в Англии в пул киберрекрутинга войдут 580 новых сотрудников, и эта цифра будет выше по всему Соединенному Королевству.
Рисунок 9.14: Количество программ ученичества в Англии с 2020 по 2023 г.
Источник: Департамент образования. База: 5120 студентов, которые начали, были зачислены или прошли стажировку в Англии, 1440 в 2020/21 учебном году; 1670 в 2021/22 учебном году; 2010 в 2022/23 учебном году.
Переподготовка и повышение квалификации
В дополнение к квалификациям, полученным в результате дальнейшего и высшего образования, некоторые работодатели также будут искать потенциальных сотрудников с соответствующими навыками, часто подтвержденными поставщиками сертификации и обучения. В последние годы все больше внимания уделяется тому, как сертификация и модели обучения могут быстро повысить квалификацию людей для перехода на должности в сфере кибербезопасности или расширения их знаний.
Кроме того, внедрение инновационных моделей обучения, таких как академии и учебные лагеря по кибербезопасности, а также расширенный доступ к недорогим платформам онлайн-обучения также стимулируют интерес к обучению в области кибербезопасности.
Как упоминалось в разделе 2.4, в ходе бизнес-опроса 180 компаний киберсектора среди квалифицированного персонала:
- 42% сотрудников имеют специальное высшее образование (например, ученую степень), связанное с кибербезопасностью.
- 38% сотрудников имеют общее высшее образование в области компьютерных наук/ИТ.
- 18% компаний имеют сотрудников, прошедших обучение по кибербезопасности.
- 10% получили квалификацию, пройдя другую стажировку
- 72% сотрудников имели ту или иную форму технической аккредитации.
Это подчеркивает важность широкого спектра технической аккредитации и ученичества в дополнение к высшему образованию. Исследование Cyber Recruitment Pool (2021) подробно изучает эти пути. В следующем разделе приведены обновленные оценки и комментарии, если таковые имеются.
- Сертификации: По состоянию на январь 2023 года в Великобритании насчитывалось около 8500 членов (ISC)², имеющих сертификацию CISSP (на 8% больше, чем в январе 2021 года). CompTIA также является распространенным поставщиком сертификации, предлагая Network+, CySA+, Security+, PenTest+ и другие. По состоянию на 2023 год более 700 000 специалистов по всему миру получили сертификацию CompTIA Security+.
- Инициативы по переподготовке и повышению квалификации: Великобритания является домом для целого ряда инициатив по переподготовке и повышению квалификации. Сюда входят такие поставщики, как Immersive Labs, Capslock, QA, SANS и другие, а также онлайн-обучение. В прошлогоднем отчете отмечалось, что имеются ограниченные данные по количественной оценке этих маршрутов; однако возможно, что в настоящее время до 1500 человек могут войти в кадровый резерв по этому маршруту. Это основано на знании ряда инициатив, выявленных в Великобритании, например, Assured Skills Academies, финансируемые инициативы по навыкам, Career Transition Partnership и т. д.
- Вооруженные силы: более 14 000 человек покидают Вооруженные силы каждый год. В 2021/22 году более 10 000 уволившихся со службы воспользовались поддержкой Career Transition Partnership (схема поддержки уволившихся с работы). Из них 477 поступили на должности специалистов по науке, исследованиям, инжинирингу и технологиям в 2021/22 году , из которых 74 указали должность «специалиста по кибербезопасности» в рамках SOC2020. Это на 32% больше (с 56 в 2020/21 году до 74 в 2021/22 году).
- Привлечение международных талантов: в дополнение к повышению квалификации населения, пул рекрутинга в сфере кибербезопасности также может быть увеличен за счет изучения возможностей Великобритании привлекать международные таланты и поощрять глобальный обмен знаниями. Программа Global Talent Visa одобрила около 2300 виз (с января 2020 года по август 2021 года) и включает исследователей и сотрудников, приезжающих в Великобританию для участия в деятельности в сфере кибербезопасности. Однако у нас нет подробной разбивки этих цифр.
В прошлогоднем отчете подсчитано, что эти четыре маршрута могут ежегодно генерировать около 2500 человек в пуле кибервербовки. Мы сохраняем эту оценку как консервативную, учитывая ограничения в отношении данных на уровне детализации.
Подводя итог, мы оцениваем, что приток кадров в сфере кибербезопасности в Великобритании увеличился за последние двенадцать месяцев, увеличившись с 7000 человек в 2022 году до 8100 человек в 2023 году. Сюда входят:
- Около 5000 выпускников вузов, специализирующихся на кибербезопасности, информатике и других специальностях высшего образования (увеличение по сравнению с 4000 в предыдущем отчете)
- Около 2500 человек прошли переподготовку, переквалификацию, смену профессии или международную миграцию
- Начинается не менее 600 новых программ ученичества (в Англии).
В разделе 6.1 мы представили результаты качественного исследования восприятия работодателями преимуществ и недостатков набора на должности начального уровня и программ ученичества.
9.5 Оценка дефицита кибер-персонала
Предыдущее исследование пула киберрекрутинга показало нехватку около 11 200 человек в год в рабочей силе кибербезопасности – это называется ежегодным «дефицитом киберрабочей силы». Следует отметить, что это отличается от пробелов в навыках и нехватки навыков, обсуждаемых в Главах 4 и 6.
В этом году мы пересмотрели эту оценку на основе последних данных до 3500 человек в год. Составные части этого расчета следующие, объединяющие оценки из остальной части этой главы:
- По нашим оценкам, в 2023 году численность рабочей силы составит около 136 800 человек.
- По нашим оценкам, в 2023 году в сферу кибербезопасности было принято в общей сложности около 8100 человек. Это включает около 5000 человек, поступивших из высших учебных заведений (раздел 9.1), до 2500 человек, проходящих переподготовку, переквалификацию или поступивших в британский кадровый резерв в других местах, и до 600 человек, проходящих стажировку в области кибербезопасности.
- Как показано в Главе 9, до 3,5% сотрудников сферы кибербезопасности покидают сектор в течение года. Это дает оценку около 4800 уволившихся в год.
- По данным DSIT Cyber Sectoral Analysis 2024 , занятость в секторе кибербезопасности за последний год выросла на 5%. Это говорит о том, что в 2024 году для удовлетворения спроса потребуется около 6800 новых человек, в дополнение к около 4800 человек для замены тех, кто покидает сектор, т.е. общая потребность в поставках рабочей силы в сфере кибербезопасности составит около 11 600 человек в год.
- В совокупности эти результаты свидетельствуют о чистом ежегодном дефиците около 3500 человек (т.е. рынку Великобритании требуется не менее 11 600 дополнительных человек, но только 8100 человек пополняют ряды рабочей силы каждый год).
- Это меньше предыдущей оценки разрыва в размере около 11 200 человек; однако это обусловлено как факторами спроса, так и предложения. Что касается предложения, то в Великобритании за последний год наблюдалось улучшение в отношении предложения выпускников, связанных с кибербезопасностью. Однако, как показывают анализ вакансий и секторальный анализ, спрос на специалистов по кибербезопасности остается высоким, но в 2023 году был ниже, чем в предыдущие годы. Мы также отмечаем, что это только «годовая оценка». Общий разрыв в навыках остается постоянным и ежегодно накапливается.
На рисунке 9.15 представлена визуальная сводка дефицита рабочей силы на 2023 год.
Рисунок 9.15: Сводная диаграмма «Разрыва в кибер-трудовых ресурсах»
10. Выводы и рекомендации
Наше исследование дает полную картину спроса и предложения на дефицит и нехватку кибернавыков в Великобритании, а также того, как развивается рынок труда в сфере кибербезопасности. Основные выводы из этого отчета за 2024 год следующие:
Спрос на специалистов по кибербезопасности замедлился, хотя сектор более устойчив, чем более широкий цифровой сектор. Замедление спроса, наблюдавшееся во второй половине 2022 года, продолжилось в течение 2023 года. Основные вакансии в киберсфере сократились на 32%, а «все киберроли» — на 39%. Это снижение спроса может быть связано с более широкими макроэкономическими условиями, а также с более широкими увольнениями в сфере технологий по всему миру. В качественном исследовании рекрутеры объяснили смягчение рынка бюджетными ограничениями из-за экономических перспектив, а также перестройкой рынка после всплеска спроса после COVID. Наша оценка дефицита рабочей силы в киберсфере — годовой дефицит персонала в кибербезопасности — снизилась до примерно 3500 человек по сравнению с прошлогодней оценкой в примерно 11 100 человек. Это связано с меньшими темпами роста рабочей силы, а также с долгожданным увеличением предложения выпускников по кибербезопасности. Тем не менее, этот разрыв остается постоянным и ежегодно накапливается. Другими словами, даже несмотря на то, что в этом году дефицит рабочей силы сократился, общая нехватка специалистов по кибербезопасности продолжает расти с каждым годом, поскольку накапливается неудовлетворенный спрос прошлых лет.
Пробелы в базовых и продвинутых навыках остаются неизменными, но доля компаний, не уверенных в своих навыках управления инцидентами, продолжает расти. За шесть лет проведения этого опроса мы неизменно обнаруживали, что около половины компаний имеют пробелы в базовых навыках, а около трех из десяти — пробелы в продвинутых навыках. Среди компаний, которые не передают управление инцидентами на аутсорсинг, почти половина (48%) не уверены, что смогут справиться с нарушением или атакой в области кибербезопасности. Доля компаний, не уверенных в себе, неуклонно росла с течением времени; в 2020 году она составила 27%. Это может быть отчасти связано с восприятием того, что ландшафт угроз становится все более сложным для навигации. Руководители киберподразделений постоянно поднимали этот вопрос в качественных исследованиях, и в этом году в отношении ИИ в частности, поскольку он может обеспечить более быстрые, гораздо более многочисленные и все более сложные атаки. Это подчеркивает важность того, чтобы руководители киберподразделений доводили до советов директоров и высшего руководства необходимость инвестирования в навыки и инструменты кибербезопасности.
В рабочей силе в киберсекторе по-прежнему преобладают специалисты широкого профиля. Второй год количественное исследование оценивает долю рабочей силы в фирмах киберсектора, которые выполняют каждую из специализаций по кибербезопасности, соответствующих структуре киберкарьеры Совета по кибербезопасности Великобритании. Большинство (62%) рабочей силы являются специалистами широкого профиля по кибербезопасности. В новом вопросе этого года мы обнаружили, что 83% фирм с сотрудниками, занимающими должность специалиста широкого профиля, считали, что их обязанности включают консультирование персонала по вопросам рисков и средств контроля кибербезопасности, в то время как половина (51%) считали, что специалисты широкого профиля отвечают за инструктаж и обучение не связанного с кибербезопасностью персонала по вопросам осведомленности и безопасной практики кибербезопасности. В качественном исследовании мы услышали два разных понимания того, что такое «специалист широкого профиля»: один человек или команда с широким спектром обязанностей по кибербезопасности или старший сотрудник, такой как главный сотрудник по безопасности или консультант, который должен работать по всей области. Помимо этого, распределение ролей в области кибербезопасности в секторе не перекошено в сторону одной специализации. Среди сотрудников, не связанных с киберпространством, преобладают специалисты широкого профиля, поскольку команды зачастую небольшие, а 84% сотрудников частного сектора, имеющих обязанности в сфере киберпространства, включили эти задачи в существующую должность.
Имеются свидетельства отхода от удаленной работы. По нашим оценкам, в 22% объявлений о работе для основных кибер-ролей не было указано региональное местоположение (т. е. роли были помечены как «Удаленная» или «По всей Великобритании»), что ниже 28% в 2022 году, хотя все еще выше, чем в 2020 году (13%). В качественном исследовании мы услышали, что работодатели все чаще просят кибер-персонал работать в офисе, что накладывает географические ограничения на имеющийся кадровый резерв. Поскольку спрос на кибер-специалистов замедлился, рынок стал менее ориентированным на кандидатов; агенты по подбору персонала посчитали, что может быть несоответствие между тем, чего хотят работодатели и сотрудники с точки зрения очной работы. Организации, которые борются за конкуренцию по зарплате, потенциально могут привлекать кандидатов, предлагая удаленную работу. Это может быть особенно актуально для организаций государственного сектора; в качественном исследовании работодатели и рекрутеры постоянно подчеркивали зарплату как проблему для набора и удержания персонала.
Отсутствие разнообразия рабочей силы остается постоянным — расширение пула талантов по-прежнему остается ключевой проблемой. Доля женщин и людей с ограниченными возможностями в кибер-работе по-прежнему ниже, чем в рабочей силе Великобритании в целом и в цифровой рабочей силе. Процент кибер-работы из этнических меньшинств соответствует рабочей силе Великобритании, но есть свидетельства тенденции к снижению с течением времени. В качественном исследовании мы снова услышали, что отсутствие разнообразных кандидатов является существенной проблемой. Одной из сохраняющихся трудностей в диверсификации пула талантов является то, что гендерный разрыв на курсах по кибербезопасности остается большим: только 14% женщин заканчивают обучение на уровне бакалавриата и 24% на уровне аспирантуры.
Начальные должности и ученичество могут помочь заполнить пробелы в навыках, диверсифицировать рабочую силу и создать кадровый резерв для будущего. В качественном исследовании мы обнаружили, что работодатели видят явные преимущества в наборе сотрудников начального уровня и учеников, но недостатки могут быть значительными, особенно для небольших организаций. Это помогает объяснить последовательные выводы в опросе и анализе вакансий о том, что сотрудники со средним опытом более востребованы. На начальных должностях работодатели хотели бы понять потенциальные карьерные пути и какие учебные ресурсы и финансирование доступны. В отношении ученичества работодатели приветствовали бы финансовую помощь, такую как финансирование или налоговые льготы, а также информацию о преимуществах киберученичества и практических аспектах, таких как поиск поставщиков обучения, составление программ ученичества и любая доступная поддержка.
Cyber Career Framework Совета по кибербезопасности Великобритании играет положительную роль в решении проблем с навыками. Cyber Career Framework был хорошо принят в качественном исследовании как инструмент, который может помочь как работодателям, так и отдельным лицам понять потенциальные карьерные пути в сфере кибербезопасности. В Великобритании существует ряд инициатив по переподготовке и повышению квалификации, которые могут позволить лицам с передаваемыми навыками перейти на киберроли, и, как мы уже обсуждали выше, число выпускников и учеников по кибербезопасности растет. Cyber Career Framework можно использовать для создания общего понимания между отдельными лицами, работодателями и поставщиками образовательных услуг относительно содержания курсов. Немногие работодатели или рекрутеры, принимающие участие в качественном исследовании, сталкивались с Cyber Career Framework, поэтому ее профиль необходимо повысить.
ИИ может преобразовать ландшафт кибернавыков. Качественное исследование выявило далеко идущее влияние ИИ на рынок труда. Рост автоматизации может привести к исчезновению некоторых рабочих мест, в то время как навыки должны развиваться, чтобы организации моглиэффективно использовать инструменты кибербезопасности ИИ . Могут быть риски, связанные с опорой на эти инструменты, если они недостаточно поняты или не управляются. Другие ожидаемые изменения заключались в том, что существующие роли стали « ИИ- кибер», а не просто «кибер», и возникли новые ниши и глубокие специализации. Хотя существует неопределенность относительно того, как именно ИИ изменит ландшафт навыков, очевидно, что обучение и набор персонала должны будут скорректироваться, чтобы отразить изменения, которые он вносит.
Подразумеваемое
В нашем отчете за 2021 год мы изложили ряд рекомендаций, которые были разработаны с участием правительства и заинтересованных сторон отрасли. Эти рекомендации были сосредоточены на трех широких областях:
- Влияние на отношение и поведение членов совета директоров и всего персонала в отношении кибербезопасности.
- Составление карты карьерных путей в сфере кибербезопасности и предоставление ИТ-специалистам возможности получить навыки в сфере кибербезопасности или перейти на должности киберспециалистов.
- Повышение разнообразия в кадровом резерве, улучшение карьерного роста на руководящие должности для различных групп и поощрение набора большего количества сотрудников начального уровня.
Наши выводы показывают, что все эти области фокуса остаются важными. Мы подчеркиваем важную роль, которую должна играть Cyber Career Framework Совета по кибербезопасности Великобритании .
В исследовании этого года мы увидели некоторые сдвиги в ландшафте кибернавыков. Предложение выросло, а спрос остыл из-за макроэкономических факторов и более масштабных увольнений и заморозки набора в цифровом секторе. Однако «разрыв» все еще сохраняется.
Кроме того, потребность в навыках кибербезопасности, вероятно, будет расти, поскольку ландшафт угроз продолжает расширяться. В качественном исследовании руководители и рекрутеры кибербезопасности подчеркнули, как ИИ может привести к более быстрым, более масштабным и все более сложным атакам. Кроме того, внедрение ИИ в бизнесе может привести к новым векторам риска, например, к возросшей потребности в безопасности API (интерфейса прикладного программирования), поскольку компании увеличивают интеграцию сторонних решений и облачной инфраструктуры. Мы ожидаем, что Великобритании понадобится больше специалистов по кибербезопасности в различных областях, чтобы помочь выявить и управлять этим риском.
Таким образом, исследование этого года подчеркивает некоторые дополнительные последствия для правительства и промышленности:
- Необходимо развивать начальный уровень трубопровода, если рынок продолжит остывать. Сохранение этого таланта делает более приоритетным поиск способов поощрения потенциальных работодателей нанимать начальный уровень киберперсонала. Также могут быть возможности для увеличения начального уровня маршрутов через государственный сектор и инициативы, такие как схема Cyber Advisor, чтобы помочь расширить принятие кибербезопасности в экономике и предоставить возможности для начального уровня таланта работать в отрасли
- Навыки, связанные с ИИ в кибербезопасности, будут становиться все более важными для сотрудников и организаций. Это потенциально имеет широкомасштабные последствия для обучения и подбора персонала, а также помогает организациям понять, как покупать и внедрять услуги кибербезопасности, связанные с ИИ .
- Необходимо тщательно рассмотреть вопрос размещения и удержания соответствующих выпускников. Высшие учебные заведения в последние годы позитивно отреагировали на спрос рынка кибербезопасности и увеличили предложение. Помимо обеспечения достаточного потока для промышленности и государственного сектора, также должны быть ресурсы в государственном секторе и академических кругах для работы в «передовых» областях, таких как безопасность оборудования, и решения проблем, связанных с недостатком кибербезопасности в экономике (например, более широкое внедрение среди благотворительных организаций, МСП и критической инфраструктуры).
- Пути к занятости в отрасли потенциально могут быть расширены. Для того чтобы справиться с меняющимся ландшафтом угроз, может быть полезно найти способы поддержки киберстартапов из более широких областей или тех, которые решают нишевые проблемы. Это может также включать дальнейшие пути поддержки для поощрения предпринимательства и стартапов в секторе кибербезопасности.
Приложение: Стандарты и аккредитации Ipsos
Стандарты и аккредитации Ipsos обеспечивают нашим клиентам душевное спокойствие, поскольку они всегда могут рассчитывать на нас в плане предоставления надежных и устойчивых результатов. Наше внимание к качеству и постоянному совершенствованию означает, что мы внедрили подход «с первого раза» во всей нашей организации.
ИСО 20252
Это международный стандарт маркетинговых исследований, который заменяет BS 7911/MRQSA и включает IQCS (Схему контроля качества интервьюера). Он охватывает 5 этапов проекта маркетинговых исследований. Ipsos MORI стала первой компанией в мире, получившей эту аккредитацию.
ИСО 27001
Это международный стандарт информационной безопасности, призванный обеспечить выбор адекватных и соразмерных мер безопасности. Ipsos MORI стала первой исследовательской компанией в Великобритании, получившей эту награду в августе 2008 года.
ИСО 9001
Это международный стандарт компании, ориентированный на постоянное улучшение посредством систем управления качеством. В 1994 году мы стали одними из первых, кто принял деловой стандарт ISO 9001.
Общество изучения рынка ( MRS ) Партнерство с компанией
Являясь партнером компании MRS , Ipsos MORI одобряет и поддерживает основные ценности бренда MRS : профессионализм, исследовательское совершенство и эффективность бизнеса, а также обязуется соблюдать Кодекс поведения MRS во всей организации.
Закон о защите данных 2018 г.
Компания Ipsos MORI обязана соблюдать Закон о защите данных 2018 года. Он охватывает обработку персональных данных и защиту конфиденциальности.
HMG Cyber Essentials
Это поддерживаемая правительством схема и ключевой результат Национальной программы кибербезопасности Великобритании. Ipsos прошла оценку для сертификации Cyber Essentials в 2016 году. Cyber Essentials определяет набор элементов управления, которые при правильном внедрении обеспечивают организациям базовую защиту от наиболее распространенных форм угроз, исходящих из Интернета.
Честные данные
Ipsos зарегистрирована как компания «Fair Data», согласившись придерживаться 10 основных принципов. Принципы поддерживают и дополняют другие стандарты, такие как ISO, и требования законодательства о защите данных.
-
В этом обзоре основное внимание уделяется предприятиям. ↩
-
Для данного исследования (например, в формулировке вопроса) мы определили нейроразнообразие как включение людей с такими состояниями или нарушениями обучения, как аутизм, синдром Аспергера, дислексия, диспраксия и синдром дефицита внимания и гиперактивности (СДВГ). ↩
-
Обратите внимание, что доля людей с ограниченными возможностями среди кибер-работников введена с 2021 года. ↩
-
Данные по сравнению пола, этнической принадлежности и инвалидности взяты из DCMS Sectors Economic Estimates . Мы используем данные с июля 2022 года по июнь 2023 года. ↩
-
Обратите внимание, что вопрос о доле разнообразной рабочей силы на руководящих должностях был введен с 2021 года. ↩
-
Опрос был сосредоточен на активности за 18 месяцев, предшествовавших интервью. ↩
-
Данные о численности предприятий взяты из оценок численности предприятий BEIS в 2022 году , которые оценивают 1 447 900 предприятий частного сектора с сотрудниками. Это последняя оценка на момент публикации этого отчета. Для экстраполированных цифр, представленных здесь и далее в этой главе, мы округлили до 3 значимых цифр. Эти цифры, конечно, подвержены погрешности, как и все результаты опроса. Погрешность для предприятий по этому результату составляет ±2–4 процентных пункта. Мы не проводили такую же экстраполяцию для благотворительных организаций или организаций государственного сектора, учитывая относительно небольшие размеры выборки для этих 2 групп. ↩
-
В разделе 2.3 рассматривается, что включают в себя универсальные роли. ↩
-
Из 48 492 объявлений о вакансиях 10 480 (22%) не имели известного регионального местоположения. ↩
-
Коэффициенты местоположения рассчитываются с использованием общего числа рабочих мест для региона местного самоуправления. Средний спрос установлен на уровне 1,0. Более высокий коэффициент местоположения указывает на то, что спрос на основных кибер-сотрудников выше, чем в среднем по Великобритании. Обратите внимание, что данные в отчете этого года доступны для уровня местного самоуправления. ↩
-
Мы классифицировали 50 лучших должностей, представленных в данных. Это охватывает 17 560 из 48 492 основных вакансий за последний 12-месячный период. Мы классифицировали 50 лучших должностей по ключевым кибердолжностям, и более широкий обзор данных показывает, что Рисунок 7.5 считается репрезентативным для более широких должностей для ролей в кибербезопасности. ↩
-
Это относительно соответствует показателю предыдущего года, когда 44% основных объявлений о вакансиях в киберпространстве с данными по сектору за период с января по декабрь 2022 года были размещены кадровыми агентствами. ↩
-
Деятельность в сфере здравоохранения обычно относится к сектору здравоохранения и социального обеспечения — NHS является крупнейшим работодателем в сфере кибербезопасности в этом секторе. ↩
-
Источником данных является Ежегодное обследование рабочего времени и доходов Управления национальной статистики (ONS, предварительные данные за 2023 год). ↩
-
Сравнивая медиану вакансий в сфере кибербезопасности за 2023 год (55 000 фунтов стерлингов) со медианой всех вакансий в сфере ИТ за 2023 год (определяется как SIC 62, получаем предварительную медиану в 44 100 фунтов стерлингов) ↩
-
https://www.hesa.ac.uk/news/31-05-2023/sb266-higher-education-graduation-outcomes-statistics ↩
-
https://techcrunch.com/2023/12/30/cybersecurity-not-immune-brutal-layoffs-2023/ ↩
-
По оценкам Perspective Economics в ежегодных оценках британского отраслевого анализа кибербезопасности с использованием исторических показателей среднегодового темпа роста (CAGR). ↩
-
https://www.nomisweb.co.uk/datasets/aps218/reports/employment-by-status-and-occupation?compare=K02000001 ↩
-
Гуманитарные и общественные науки включают (но не ограничиваются) такие курсы, как история, философия и религия, политические науки, искусство и современные языки. ↩
-
В таблицах 9.7, 9.8, 9.9 и на рисунке 9.14 числа округлены до ближайшего десятка в целях статистического контроля раскрытия информации. ↩
-
Число зачисленных на ученичество — это количество зачисленных на уровне программы за каждый учебный год — учащиеся будут подсчитаны за каждое пройденное ими ученичество, и, следовательно, учащиеся могут быть подсчитаны более одного раза. ↩
-
Начало ученичества — это количество программ ученичества, которые начинаются в учебном году, показывающее набор на программы — важно отметить, что ученик учитывается для каждого ученичества, которое он начинает у поставщика. Поэтому может быть некоторое дублирование. ↩
-
Источник: Департамент образования (учебный год 2022/23), данные по ученичеству и стажировкам. ↩
-
Примечание: низкие значения (менее 10) округлены до 0 в целях статистического контроля раскрытия информации. ↩
-
Достижения ученичества означают, что учащийся достиг конечной точки оценки; это не обязательно то же самое, что и окончание его обучения/ученичества. ↩