Diesen Monat freuen wir uns bei Forrester Research, eine neue Studie ankündigen zu können: Role Profile: Security Analyst. Ich sage oft, dass Sicherheitsanalysten den schlimmsten Job der Welt haben, und das aus gutem Grund: Die Arbeitszeiten sind lang, ein einfacher Fehler kann Auswirkungen auf das gesamte Unternehmen haben, und es ist eine Fülle von Wissen erforderlich, um erfolgreich zu sein.
Trotz dieser Faktoren wird der Sicherheitsanalyst von den meisten Sicherheitsteams als Einstiegsposition angesehen. Dies macht es für Sicherheitsverantwortliche zum Teil schwierig, Talente zu finden und zu halten – vor allem gegenüber Sicherheitsanbietern, die oft mehr zahlen, bessere Leistungen bieten und bessere Aufstiegsmöglichkeiten haben.
Die für den Erfolg erforderlichen Fähigkeiten sind eines der Haupthindernisse für den Einstieg in diese Branche. Die Befragten gaben unmissverständlich an, dass es für den Erfolg als Sicherheitsanalyst nicht ausreicht, von 8 bis 17 Uhr zu arbeiten. Und obwohl es sich um eine Einstiegsposition handelt, ergab unsere Untersuchung, dass die durchschnittliche Stellenbeschreibung für Sicherheitsanalysten Folgendes vorsieht:
Ein bis drei Jahre Erfahrung im Bereich Cybersicherheit: weniger Jahre Erfahrung mit Hochschulabschluss erforderlich, mehr Jahre Erfahrung ohne Hochschulabschluss.
Bevorzugt wird ein Bachelor-Abschluss, wobei auch ein High-School-Abschluss mit einigen Jahren Erfahrung oder Zertifizierungen in Betracht kommt.
Bevorzugte Zertifizierungen in einem oder mehreren der folgenden Bereiche: Certified Ethical Hacker (CEH), CompTIA CySA+, GIAC Certified Incident Handler.
Vertrautheit mit technischen Themen, einschließlich einer Programmier- oder Skriptsprache, Firewalls, Proxys, Sicherheitsinformations- und -ereignisverwaltung, Antivirus, Konzepte für Intrusion Protection Systems/Intrusion Detection Systems, technische Kenntnisse über Netzwerke, Betriebssysteme, Unternehmensintegrationen, WAN/LAN-Konzepte, ethische Hacking-Tools und TCP/IP-Protokolle.
Das Fazit ist, dass die Anforderungen an einen Einsteiger im Bereich der Cybersicherheit derzeit eher denen einer mittleren Position entsprechen. Immer wieder hören wir, wie schwer es ist, Sicherheitsanalysten zu finden und einzustellen, doch die Einstellungsanforderungen erfordern Erfahrungen, die die meisten potenziellen Kandidaten einfach nicht haben.
Diese Studie gibt Sicherheitsexperten Hinweise darauf, worauf sie bei qualifizierten Bewerbern achten sollten, und zwar über die traditionellen Qualifikationen wie Studienabschlüsse, Zertifizierungen und frühere Erfahrungen hinaus – und oft auch darüber hinaus. Sicherheitsverantwortliche sollten grundlegende und einzigartige Fähigkeiten in Stellenbeschreibungen hervorheben, wie z. B.:
Frühere Erfahrungen in angrenzenden Bereichen wie IT, Infrastruktur, Netzwerke oder die Verwaltung und Bereitstellung von IT-Tools.
Frühere Erfahrungen in Stresssituationen, z. B. als Rettungssanitäter, Feuerwehrmann, bei den Streitkräften oder in anderen Funktionen.
Frühere Erfahrungen im Kundensupport.
Es ist wichtig, daran zu denken, dass die Hälfte der Stellenbeschreibung dazu dient, den Bewerber zu verlocken, sich bei dem Unternehmen zu bewerben. In vielen Stellenbeschreibungen wird nicht angegeben, was genau der Bewerber von der Stelle erwarten kann. Um diesen Fallstrick zu vermeiden, sollten Sie die Entwicklungsmöglichkeiten direkt in die Stellenbeschreibung aufnehmen, um den Bewerbern zu zeigen, was sie von der Zusammenarbeit mit Ihrem Team haben werden. Sicherheitsverantwortliche sollten wertvolle Investitionen in ihr Team in Stellenbeschreibungen hervorheben, wie z. B.:
Ein Ausbildungsstipendium für CompTIA-, SANS-, GIAC- oder gleichwertige Schulungszertifikate.
Prozentualer Anteil der Zeit, die in der Funktion auf die Erweiterung der Fähigkeiten in verschiedenen Teams verwendet wird: Governance, Risiko und Compliance, Incident Response, Threat Hunters, Pentester usw.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.