تؤدي أوروبا إلى التحول من الأمن السيبراني “فجوة عدد الموظفين” إلى التوظيف القائم على المهارات
أفادت ما يقرب من 50 ٪ من المنظمات الأوروبية أن التوجيهات التنظيمية تؤثر الآن بشكل مباشر على ممارسات توظيف الأمن السيبراني ، مما دفع المنطقة قبل الوتيرة العالمية في مواجهة تحدي مواهب الأمن السيبراني ، وفقًا لبحث من معهد SANS.
ال 2025 تقرير أبحاث القوى العاملة للأمن السيبراني، الذي تم إصداره في مؤتمر RSA ، يمثل لحظة مستجمعات المياه للصناعة: لأول مرة ، المزيد من المنظمات في جميع أنحاء العالم (52 ٪) تشير إلى “عدم وجود الموظفين المناسبين “كقلقهم الأساسي بدلاً من” عدم وجود عدد كاف من الموظفين “(48 ٪).
وقال “وجهة نظري الشخصية هو أنه ليس لدينا بالفعل نقص المواهب في الأمن السيبراني”. هيلين باتون، زعيم الأمن السيبراني في سيسكو.
“تكمن القضية الحقيقية في فهم مجموعات المهارات اللازمة لأنواع الأدوار التي لديك والعثور على الأشخاص الذين لديهم مجموعات المهارات هذه.”
هذا التحول النموذجي واضح بشكل خاص في أوروبا ، حيث تقوم الأطر التنظيمية مثل NIS II و DORA بتسريع اعتماد استراتيجيات القوى العاملة القائمة على الكفاءة.
“في أوروبا ، هناك المزيد من التوجيهات ، والمزيد من اللوائح” ، قال براين كوريا، مدير تطوير الأعمال في شهادة Global Information Assurance (GIAC) ، ذراع الشهادة لـ SANS.
كانت أوروبا دائمًا هي المقدمة في ذلك – فكر في إجمالي الناتج المحلي [the General Data Protection Regulation] كمثال مثالي أصبح المعيار للعالم بأسره. “
تجمع المواهب الأوسع
من النتائج الرئيسية من البحث أن المنظمات يمكنها توسيع تجمع التوظيف بشكل كبير من خلال التركيز على سمات الشخصية والإمكانات بدلاً من الخلفية الفنية وحدها.
“نحن نستأجر للسمات ؛ يمكننا تدريب الباقي” ، قال شون ميسون، العضو المنتدب للدفاع السيبراني في الخطوط الجوية المتحدة.
عندما سئل عن السمات الأكثر أهمية ، حدد “أخلاقيات العمل أولاً وقبل كل شيء” ، تليها الكفاءة والفضول الفكري.
هذا التركيز على القدرة على التكيف على الخبرة التقنية يثبت فعاليته في الممارسة. أشار ماسون إلى أن الخطوط الجوية المتحدة حققت الاحتفاظ بالمواهب الرائعة جزئيًا لأنها تعرض الأولوية لهذه السمات الأساسية وتدعمها بفرص تدريب وفيرة.
وقال: “تتغير التكنولوجيا باستمرار ، ولا أحد يعرف بطبيعته كيف يعمل الأعمال دون تعلمها أولاً”. “إذا قمت بتوظيف شخص ذي الخصائص الصحيحة – تلك الكفاءة وأخلاقيات العمل – يمكننا أن نعلمهم كل شيء آخر يحتاجون إلى معرفته. “
هذا يعني في الممارسة العملية أن المؤسسات لا تحتاج إلى تجنيد حصريًا من علوم الكمبيوتر أو الخريجين الفنيين. يمكن للأشخاص ذوي الخلفيات المتنوعة – من العلوم السلوكية إلى الأعمال – التفوق في أدوار الأمن السيبراني ، شريطة أن يجلبوا سمات الشخصية الصحيحة.
مهارات الخامسalidation بecomes جريتيك
تمثل الأهمية المتزايدة للتحقق من صحة المهارات واحدة من أكثر التحولات إثارة في نتائج البحوث. في جميع أنحاء أوروبا ، تتطلب 65 ٪ من المؤسسات الآن الحصول على شهادة لأغراض مواجهة العميل ، بينما يستخدم 58 ٪ شهادات رسمية لقرارات التوظيف والترويج الداخلي.
“الشهادات تعطي الثقة أو تحدد توقع معرفة الفرد” ، قال أنتوني سويتزر، زعيم الأمن السيبراني في EY.
هذا النهج المزدوج التحقق من الصحة يحول وثائق المهارات من تمرين الامتثال إلى حجر الزاوية في استراتيجية المواهب التنظيمية.
هانز دي فريس من Enisa ، أكدت الوكالة الأوروبية للأمن السيبراني ، على نطاق تحدي مهارات أوروبا. وقال: “لدينا ما لا يقل عن 300000 فتحات أمان إلكترونية محددة في أوروبا”. “70 ٪ من الشركات تكافح من أجل العثور على أي قوة عاملة العمالة الماهرة ، و 50 ٪ تريد توظيف المزيد.”
لمعالجة هذه الفجوة ، طورت ENISA إطار مهارات الأمن السيبراني الأوروبي (ECSF) ، الذي يكمل الإطار الجميل من الولايات المتحدة. وقال دي فريس: “يتم تبني ECSF من قبل 16 دولة عضو في الوقت الحالي”. “إما كمعيار وطني ، أو كتوظيف في القطاع العام ، العديد من لتقييم القوى العاملة الوطنية أو حتى التصديق.”
تحديد صأايت قيقتل
يكشف البحث أيضًا عن تغيير أساسي في كيفية تقييم المنظمات المواهب الأمنية السيبرانية. ظهرت القدرة التقنية حيث تبحث المنظمات المعيار رقم واحد في المرشحين ، مما يزيح الخبرة في العمل ، والتي سيطرت تقليديًا على توظيف أولويات التوظيف. يحتل التحقق من صحة الشهادة الآن ثاني أهم مؤهل.
هذه النتائج تتحدى أساليب التوظيف التقليدية. قال “إننا بحاجة إلى التركيز على التوظيف القائم على القدرة ، وليس فقط التوظيف القائم على المهارات ، لأنها ليست مجرد مهارة-إنها المعرفة ، إنها كل المهارات اللينة”. ماثيو إيسينور من وزارة الدفاع الأمريكية في قمة القوى العاملة SANS.
وردد هذا المنظور من قبل Aus Alzubaidi، كبير مسؤولي أمن المعلومات (CISO) في مجموعة MBC ، الذي قام بتغيير نهج التوظيف بشكل جذري. وقال: “قبل عامين ، كانت هناك 70 ٪ من الخبرة الفنية ، و 30 ٪ من الموقف والملاءمة الثقافية”. “اليوم ، نقترب من 25 ٪: 75 ٪ ، حيث 75 ٪ من الملف الشخصي يدور دائمًا حول الموقف.”
البحث أيضًا يسلط الضوء على الانفصال الحاسم الذي يجب معالجته للمؤسسات لتحقيق النجاح في التوظيف القائم على المهارات: الاختلاف بين فرق الأمن في الموارد البشرية وفرق الأمن السيبراني.
بينما تتفق كلتا المجموعتين عمومًا على أن فرقهما فعالة – حيث تشير 65 ٪ من المجيبين إلى أنهما يلتقيان أو يتجاوزون الأهداف – تختلف وجهات نظرهم حول سلطة التوظيف والمؤهلات بشكل كبير. فقط 8 ٪ من مديري الأمن السيبراني يرون أن الموارد البشرية هي صانع القرار الرئيسي في التوظيف ، بينما يعتقد 23 ٪ من متخصصو الموارد البشرية أنهم يحملون هذه السلطة.
“قبل 10 سنوات ، كان التوظيف عملية صلبة: لقد كتبت توصيفًا وظيفيًا ، وأرسلتها إلى الموارد البشرية ، وانتظرت المرشحين” ، قال Alzubaidi. “هذا لا يعمل بعد الآن.”
قامت منظمته بتحويل هذه العلاقة من خلال توفير التدريب على الأمن السيبراني للموظفين ، ومساعدتهم على فهم المداخن التقنية الحديثة وأطر الأمن.
أنجح المنظمات هي خلق تكامل أعمق بين هذه الوظائف. جواو مويتا، CISO في Airbus ، يصف نهجهم. وقال “شريكنا في مجال الموارد البشرية هو جزء من القسم ، ويجلس يوميًا مع الفريق وحضور اجتماعاتنا الأسبوعية”. “هذا ليس شخصًا يجلس في الموارد البشرية نتحدث إليه من حين لآخر – إنه حقًا جزء من فريق الأمن.”
يمكّن هذا التكامل الموارد البشرية من الحصول على نظرة عميقة على عمليات الأمن السيبراني ، مما يؤدي إلى توظيف أكثر فعالية. وقال مويتا: “عندما أخبر شريكنا التجاري للموارد البشرية ، نحتاج إلى مهندس معماري ، فإنهم يعرفون بالضبط ما يفعله المهندس المعماري”. “إنهم يفهمون الملف الشخصي ، والعقلية التي نتوقعها ، والواجهات ، ونوع فهم الأعمال التي يجب أن يتمتع بها الشخص.”
يمثل هذا التحول الدراماتيكي في أولويات التوظيف – من الخبرة الفنية إلى سمات الشخصية والملاءمة الثقافية – تغييرًا أساسيًا في كيفية معالجة المنظمات تحدي مهارات الأمن السيبراني. بدلاً من التنافس على مجموعة محدودة من المرشحين المؤهلين تقنيًا ، تحدد المنظمات ذات التفكير الأمامي الإمكانات في الأشخاص ذوي الخلفيات المتنوعة الذين يظهرون الكفاءة المناسبة والعقلية.
الملكية التنفيذية
وسط كل هذا التغيير ، كارين ويتزل من NICE تقدم منظورًا مهمًا حول مستقبل تطوير القوى العاملة للأمن السيبراني. وقالت: “لم يعد من الممكن معاملة الأمن السيبراني كقسم لاحقة أو معلنة”. “يجب أن يصبح جزءًا لا يتجزأ من استراتيجية وثقافة كل منظمة. “
وقال دي فريس من إنيسا إن اللوائح الأوروبية تدفع الآن مسؤولية الأمن السيبراني إلى مستوى مجلس الإدارة. وقال: “يجب على شركات البنية التحتية الحرجة الآن توفير تدريب إلزامي للأمن السيبراني لجميع المديرين التنفيذيين ، الذين يجب عليهم الإبلاغ عن استراتيجيتها الإلكترونية في تقارير نهاية العام”.
هذا يمثل تحولًا أساسيًا في المساءلة. وقال دي فريس: “عندما تحدث الانتهاكات ، لا ينبغي أن يكون مدير تكنولوجيا المعلومات هو الذي يواجه عواقب – يجب أن يكون الرئيس التنفيذي هو الذي فشل في إعطاء الأولوية للأمن”.
وأضاف “عندما تتعرض المستشفيات للهجوم وتعرض بيانات المريض ، فإن الأرواح الحقيقية تتعرض للخطر”. “هذه المسؤولية تقع مع القيادة ، والتي يجب أن تفهم ما هو على المحك حقًا.”
