Cybersecurity skills gap - does it exist, really? This is a collection of misc data and studies. Draw your own conclusions.

1. Cybersecurity skills gap - really?
27.2.2021
Jari Pirhonen

2. Yhteenveto
• Tietoturvaosaajista on pulaa – mutta niin on muistakin osaajista
• Sovelluskehitys, tekoäly, data-analytiikka, robotiikka, pilvipalvelut,…
• Yritykset hakevat pääaisassa valmiita osaajia, jolloin uutena alalle tulo on haastavaa
• Pulaa perusosaamisesta
• Palveluntarjoajat ja konsulttitalot hakevat enemmän teknistä erityisosaamista, muut yritykset
liiketoimintalähtöistä moniosaamista
• Teknisten osaajien vaihtuvuus suurta, moniosaajia hankala löytää, kasvupolku teknisestä asiantuntijasta
tietoturvapäälliköksi haastava
• Yhtenäistä käsitystä suurimmista osaamistarpeista ei ole
• Esiin nousee mm. pilvipalvelujen tietoturva, IAM, sovellustietoturva, auditointi, tietoturvatietoisuuden
kehittäminen, tekninen tietoturva, liiketoimintaosaaminen, riskien arviointi, johtaminen
• Tietoturva-asiantuntijuutta pidetään edelleen erityisosaamisena sen sijaan, että osaamista
kasvatettaisiin ja integroitaisiin muun tekemisen yhteyteen
• Edelleen kysyntää perustietoturvaosaamiselle, jonka pitäisi olla esim. tietojärjestelmäylläpidon,
tietoverkkoasiantuntijoiden tai sovelluskehittäjien hallussa
• Puuttuu hyvä ymmärrys siitä, mistä osaamisesta on pula ja mitä uusille alalle tulijoille pitäisi kouluttaa
• Ammatillisessa koulutuksessa koetetaan kattaa koko tietoturvakenttä ja edellytetään käytännössä ICT tai teknistä
osaamista
• Onko tehty ponnistuksia saada alalle merkittävästi lisää osaajia? Esim. US Cyber fasttrack.

3. Teknologiateollisuuden Koulutus ja osaaminen -linjaus 2018

4. Ovatko rekrytointitarpeet Suomessa muuttuneet 6 vuodessa?
Tietoturva-alan ennakointiselvitys 2013

5. Kriisit vähentävät IT-työpaikkoja?
http://www.sooty.ca/sooty/trends/non-defence-capex.pdf

6. Tripwire 2019 Skills Gap Survey
https://www.tripwire.com/-/media/tripwiredotcom/files/white-paper/tripwire-dimensional-research-skills-gap-report.pdf

7. (ISC)2 Cybersecurity Workforce Study
https://www.isc2.org/Research/Workforce-Study
2018
2018
2019

8. (ISC)2 Cybersecurity Workforce Study 2018

9. ISACA State of Cybersecurity 2019
http://www.isaca.org/Knowledge-Center/Research/Documents/cyber/state-of-cybersecurity-2019-part-1_res_eng_0319.pdf

10. ISF Building Tomorrow’s Security Workforce

11. Security Skill Set Availability
5/2018
The Index of Cybersecurity 5/2019, www.cybersecurityindex.org
5/2019

12. Cybersecurity domains
https://www.linkedin.com/pulse/map-cybersecurity-domains-version-20-henry-jiang-ciso-cissp/

13. Scope for the Cyber Security Body of Knowledge (CyBOK)

14. NIST NICE

15. Jobs in Cyber Security
www.cyberdegrees.org www.cyberseek.org

16. RISC mindset
Resiliency—Adaptability
• comfort in uncertainty and unstructured environments
• navigating through complexity, volatility, and ambiguity
• embracing change, especially when the change isn’t our
idea
• curiosity and growth mind-set
• reinventing ourselves as a way of life
• learning from failure
Inner strength—Being your best evolved self
• self-awareness
• open mindedness and inclusion
• courage
• humility—keeps us in touch with all we don’t know
• embodying our humanity
• overcoming fear of conflict and risk
Strategic thinker—Holistic
• creative thinking
• big picture and systems thinking
• customer obsessed
• forward thinker with transformative vision
• ideas based on intuition and insights as
well as data and history
• openness to new ideas and possibilities
Collaborative spirit
• collaborative problem solving
• emotional intelligence
• heart
https://ieeecs-media.computer.org/media/marketing/cedge_digital/ce-oct19-final.pdf

17. Tivi, CompTIA, CIO.com
https://www.tivi.fi/uutiset/tv/4eae1156-8343-42be-bf36-1659467855cd
• Etujärjestö CompTIA:n mielestä etsityimmät osaajat työskentelevät nykyään softan
suunnittelijoina, it:n tukitoimintojen ekspertteinä ja tietoverkkojen ammattilaisina, tässä
järjestyksessä. Näiden perässä tuleekin sitten sankka ja alati kasvava joukko erilaisia
kyberturvan asiantuntijoita ja uusien teknologoiden hallitsijoita.
• Kyberturvan osaajille riittää pomminvarmasti töitä, koska yrityksissä vallitsee niin suuri huoli
tietoturvasta ja tietomurroista, sanoo Global Executive Solutions Groupin kyberturvasta
vastaava Jeff Friess. Hänen mukaansa yritysten tietoturvan piirissä on aina enemmän avoimia
työpaikkoja kuin niiden hakijoita.
• "Pelkästään Yhdysvalloissa jää vuoteen 2020 mennessä täyttämättä kaksi miljoonaa kyberturvan
ammattilaisen paikkaa. Kun näitä osaajia ei löydy, yritysten ovet jäävät auki hakkereille ja
kaikenlaisille kyberrikollisille ynnä kiristysohjelmien levittäjille".
• Erotukseksi edellä mainituista ammattiryhmistä, hänen mielestään tietoturvan analyytikoilla pitää
olla mieluummin lavean alan osaamista kuin pelkästään kapeiden alueiden taitoja.
• "Tietoturvan osaajilla on oltava strategista näkemystä yritys-it:n ja sen informaation suojaamisesta.
Heidän pitää osata myös viestiä ongelmista hallitusten jäsenten ymmärtämällä tavalla".

18. https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-cybersecurity-the-human-challenge-wp.pdf

19. https://www.exabeam.com/wp-content/uploads/research-report/salary_survey_report_2020.pdf

20. indeed.fi – search ”title:security” – 24.5.19
• Security Engineer
• Information Security Officer
• Information Security Architect
• Security Architect and Specialist
• Network Security Engineer
• Game Security Engineer
• Cyber Security Engineer
• Security Architect - Cloud
• Security Specialist
• Security Software Architect
• Privacy and Security Representative
• Cloud Security Advisor
• IT Security Consultant - Cloud
• Managed Services Network & Security Associate Engineer
• Security Awareness Training Analyst
• Network Security Architect
• IT Security Support Engineer
• Security Information Security Professional
• IAM Security Consultant Network Security Consultant
• Security Consultant
• Security Architect and Specialist
• Security Risk Consultant
• Cyber Security Analyst
• Junior Security Consultant
• Senior Security Advisor
• Information Security Management Consultant
• Lead information security manager
• Information Security Consultant
• Security Engineer
• Senior Analyst for Security Operations Center

21. indeed.fi – search ”title:security” – 13.12.20
• Information security director
• Security specialist
• IoT security operations architect
• Security testing specialist
• Cyber security specialist
• Security engineer
• Security consultant
• Senior security consultant
• Cloud security architect
• Security architect
• Developer – security solutions
• Security software developer
• VP of security
• Business manager – network and security
• Network security specialist
• AWS security architect
• Cloud security engineer
• Cyber security account manager
• Software engineer, security
• Solution sales specialist – security
• Cybersecurity awareness consultant

23. Cybersecurity education in Finland
https://www.jyu.fi/it/fi/tutkimus/julkaisut/it-julkaisut/kyberalan_koulutus_suomessa_verkkoversio.pdf

24. TAMK kyberturvaaja 2019
• Osaamis-/koulutustarvekartoitus Tampere, Oulu, Turku, pääkaupunkiseutu.
• Kohteena pk-yritykset, mutta joitakin isompiakin mukana.
• Vastausprosentti pieni.
• Yllättäen osaamistarve/vaje tuntuu olevan pääosin perustason tietoturvaosaamista. Jopa
perustason tietotekniikka tai ns. digitaidot ovat niitä, joissa osaamistarpeita nähtiin.
• Johtamisen/hallinnoinnin puutteet nousi jonkin verran esiin. Kyselyissä toivottiin "johdon
herättelevää koulutusta".
• Jonkin verran nousi esiin myös laitteisiin liittyvät asiat, joita lähinnä pidettiin
"tuntemattomina". IoT-laitteet ja kehitys, mobiililaitteiden tietoturvan toteuttaminen
• Kenelläkään (edes yrityksillä itsellään) ei ole oikein käsitystä osaamistarpeista tällä alueella.

25. Digibarometri 2020
FISC jäsenyrityksille kohdistetussa kyselyssä
2020 havaittiin, että noin 60 % prosenttia
tutkimukseen osallistuneista yrityksestä
koki tietoturvan osaajista ja osaamisesta
pulaa yrityksessään. Osaamisvaje nähtiin
suurimmaksi haasteeksi yritysten kasvun
kannalta. Osaavaa työvoimaa koettiin
tarvittavan erityisesti seuraavilla
tietoturvan osa-alueilla:
• ohjelmisto-osaaminen
• liiketoiminnallinen osaaminen
• strateginen kyberturvallisuusosaaminen
• kryptografia/kryptologia
• tekninen kyberturvallisuus
• ylläpidon ja valvonnan osaaminen
• Järjestelmäarkkitehtuurin osaaminen

26. PwC 2020
https://www.pwc.com/gx/en/issues/cybersecurity/digital-trust-insights/cyber-talent-workforce.html

27. ESG & ISSA 2020
https://www.esg-global.com/esg-issa-research-report-2020

28. The Fastest-Growing Cybersecurity Skills 10/2020
https://www.burning-glass.com/wp-content/uploads/2020/10/Fastest_Growing_Cybersecurity_Skills_Report.pdf

29. Jobs in 2030
https://www.wsj.com/articles/jobs-in-2030-health-care-booms-employers-want-more-11610101800

30. Employment projections in a pandemic environment
https://www.bls.gov/opub/mlr/2021/article/employment-projections-in-a-pandemic-environment.htm
“Several industries and occupational groups are projected to see increased demand in the moderate impact
scenario. Increased telework will drive demand for information technology (IT) and computer-related
occupations, particularly those involved in IT security. Employment growth in the computer systems design and
related services industry is projected to be much faster (26.1 %) than the average for all industries (3.7 %) .
Information security analysts were among the top 10 fastest growing occupations”

31. Yhteenvetoa tietoturvavastaavien kommenteista
• Selkeää kuvaa tietoturvaosaamisen kokonaistarpeista ei ole
• Osaajat hakeutuvat ensimmäiseksi alan tuote- ja konsulttiyrityksiin
• Public cloud ja IAM turvaosaajista on pula ja kova kilpailu
• Teknisiä ”kyberhakkereita” tulvii markkinoille, hakeutuvat turva-alan
yrityksiin, vaihtavat tiuhaan työpaikkaa, kasvupolkua ei löydy.
• Moniosaajia, kokonaisuuden hallitsijoita, riskinäkökulman omaavia
henkilöitä vähemmän eikä päteviä hakijoita riitä.
• Tietoturvaosaamista tarvittaisiin arkkitehdeille, kehittäjille, yms.

32. Lainauksia
• ”Tämä pula nousee aina esiin, mutta kukaan ei osaa maalata selkeää kuvaa. Toisaalta minusta selkeä ja järjestelmällinen tutkimus asiasta olisi kyllä paikallaan.”
• ”Tarvetta olisi ihmisille jotka näkevät ilmiöt ja osaavat mitoittaa niiden merkitystä omalta kantilta, sekä oman yrityksen kantilta. Ihmiset jotka ymmärtävät riskien
hallintaa ja toimia kokonaisuutena, sekä jotka osaavat löytää oikeat ja vaikuttavimmat paikat parannuksiin. Ihmiset jotka ymmärtävät ettei tekniikka ole
ratkaisevassa asemassa vaan tukemassa tekemistä ja ymmärtävät ettei yritysten toiminta ole hyökkäys-puolustusasetelmia vaan häiriöttömän liiketoiminnan
jatkuvaa tukemista.”
• ”Hakijoita tietoturvapesteihin riittää. Hakijoiden osaamiskirjo on tosin levinnyt. Kynnys hakea tietoturva-alalle on matala, kun ei ne rekrytoivat kuitenkaan osaa
arvioida osaamisen tasoa. Alalle ei myöskään ole kehittynyt superstara -kulttuuria, kuten esimerkiksi koodaripuolelle. Koodarit tekevät uutta, tuottavaa työtä.
Tietoturvaihmiset nähdään usein talkkareina, jotka pitää saada paikalle viemärin tulviessa. ”
• ”Asiantuntijoille ei löydy välttämättä yrityksistä ns. etenemispolkua. Tahtotilaa tuntuu olevan päästä asiantuntijasta päällikköpaikkaan ja päälliköitä tarvitaan toki
vähemmän. Meille tarvitaan lisää devausosaajia, jotka osaa myös tietoturvaa ja privacy by design -ajattelua. Tämän kombon osaamisen ohella ja on olennaista
kyky jakaa tätä tietoa muille devaajille. Tietoturva-asiantuntijahommat meillä moniottelua, kun palveluita ja tekniikoita pitää ymmärtää laidasta laitaan.”
• ”Ns. tylsiin hommiin (compliance, governance, vendor security mgmt) ei meinaa saada päteviä tekijöitä mistään. Jos ottaa junnun, niin kaverit viihtyy hommassa
max. vuoden kunnes saavat CV:n rivin jolla mennä eteenpäin kiinnostavampiin hommiin. Erityisesti Tanskassa on ihan karnevaalimeininki kun jengillä on 5v aikana
10 eri työpaikkaa ja ovat kovin "urasuuntautuneita" ja päteviä... Mun hommissa perehdyttämiseen menee n. vuosi joten tollaset hyppijät on ihan turhaa sakkaa.”
• ”Teknisellä puolella on suuria retentio-ongelmia pentestaajien ja vuln. scan koordinaattorien suhteen. Tuntuu siltä, ettei noille pysty maksamaan tarpeeksi rahaa,
että pysyisivät meidän CERT/pentest/scan compliance tiimeissä vuotta paria pitempään ennen kuin konsulenttitalot tai isommat yritykset houkuttelevat leipiinsä eri
tasoisten 'manager' -tittelien ja 'kiinnostavampien kohteiden' –varjolla. Meidän CERT-tiimi esim. uusitui juuri täysin viimeisen kahden vuoden aikana - eli kaikki 12
henkilöä vaihtoivat työpaikkaa ja on ollut työn ja tuskan takana rekrytä samaa tahtia uusia tilalle, kun wanhat muuttuu managereiksi ja CISOiksi siellä sun täällä”
• ”Public cloud tietoturvaosaajia sekä IAM osaajia kaivataan kaikkialle, kilpailu on kovaa”
• ”Sitten päästään murheenkryyniosastolle, eli pätevät IDM heebot. Ei löydy mistään. Ollaan rekrytty sellaisia nyt koko pohjoismaiden leveydeltä useampi vuosi
jatkuvasti ja ollaan onnistuttu löytämään yhteensä kolme pätevää ja yksi kätevä käsistään tohon jengiin. Melkein kaikki jotka osaa suihkahtaa konsulteiksi alta aika
yksikön. Vähänkään pätevämpi seniorijengi joka myös pysyisi palkkalistoilla pitempään tuntuu olevan todella katoava luonnonvara.”