חיפוש העבודה האחרון שלי נתן לי פרספקטיבה עדכנית על שוק אבטחת המידע בארץ ובכלל, ואני רוצה לשתף אתכם בכמה מגמות שמתרחשות לדעתי כעת:
עכשיו תורנו. אני לא יודע אם זה הטרנד מסביב למילה "סייבר" (שיווק זה דבר חשוב) או שבאמת העולם הגיע למסה מספקת של תקשוב שגם נושא אבטחת המידע תופס את המקום "הביטחוני" היחסי אבל תהיה הסיבה אשר תהיה – התחום ב"בום". כמות מודעות ה"דרושים" ביחס לחיפוש העבודה הקודם, מלפני שנתיים וחצי, גדולה באופן לא פרופורציונלי. השגשוג הזה כולל מספר מאפיינים:
ניכר שהרבה מהמעסיקים, לבטח לעומת העבר, מחפשים אחר אנשי Pen-testing ו-Reverse Engineering, בנוסף להתעוררות ב-Forensics. המון. אבל מה, בגלל שזה תחום עוד פחות מובנה בהכשרה שלו לעומת מקצועות האבט"מ ה"סטנדרטיים" וגם לעתים קרובות דורש ידע בפיתוח, קוד ויכולות מתקדמות – יוצא שיש הרבה משרות שמתפרסמות לאורך תקופה, כי לא מצליחים לאייש אותן. כנראה שיש מאבק של רבים על מעט מועמדים. כלומר, זה שוק של עובדים ולא של מעסיקים.
לדעתי פתרון אחד אפשרי למצב הוא להסב אנשי פיתוח לתחומים הנ"ל. אני חושב שזה יהיה יותר קל ומהיר לצורך מילוי הצורך הנוכחי לעומת לימוד קוד לאנשי אבטחת מידע.
מבחינת מגמות המקצוע – זה גם אומר שיש תנופה לכיוון התוקפים. יכול להיות שהתקיפות הידועות של סטוקסנט ו-RSA, פתחו תיאבון וגם כנראה שתחום התקיפה הפסיק להיות "ביישן"… אם יש יצרני נשק פיזי התקפי, למה שלא יהיו יצרני נשק התקפי דיגיטלי?!
מגמה שקיימת "בקטנה" – המחסור באנשי אבט"מ "סטנדרטיים" מוביל ליוזמת קורסים למתחילים ביוזמת חברות אבטחת מידע, דבר שראיתי אצל היצרן צ'ק פוינט (קורס לאנשי תמיכה וקורס לאנשי מכירות) ואצל חברת הייעוץ קומסק (קורס מרוכז ליועצים). וזה יפה שהם נוטלים יוזמה ולא מחכים שהשוק ישפר את עצמו.
אגב שוק שלא משפר את עצמו: להערכתי המאוד לא מדעית (שוב – לעומת חיפוש העבודה הקודם) יש עליה קטנה ברמת השכר, אבל רק קטנה. המעסיקים עדיין לא מוכנים לתגמל אנשי אבטחת מידע בהתאם לכמות המשרות הפנויות וגם בהתאם לידע וניסיון.
בנוסף, מתחילה להיות במודעות הדרושים דרישה להסמכות, בעיקר CISSP. ברור לי שדרישת הסמכות במסגרת גיוס עובד היא מגמה של התבגרות והתמסדות של התחום, אבל בפועל יש שתי מגמות מנוגדות – מצד אחד להערכתי הדרישה משמשת בעיקר את מגייסות ההשמה/משאבי האנוש שלא מבינות באבטחת מידע מספיק בכדי לבחון את הידע של המועמדים (והן גם כנראה לא צריכות) ומצד שני אני שומע מלא מעט אנשים שההסמכה הנ"ל וגם אחרות לא מבטיחות שהעובדים שמחזיקים בהסמכות אלו הם אכן עובדים מקצועיים וידענים, וזאת בלשון המעטה. כרגיל, יש ויש לכל כיוון, אבל ההסמכה לא מבטיחה שהעובד יספק את התפוקות הנדרשות.
לא ישירות לתחום התעסוקה, אבל מגמה שבהכרח תוביל לעוד עבודה – יש שגשוג, אולי אפילו בועה, של סטארטאפים בתחום אבטחת המידע/סייבר וחברות השקעה/הון סיכון מגששות, בייחוד אני רואה פעילות של JVP מירושלים, שגם פותחים חממת סייבר בבאר-שבע.
היצוא, בפועל או שיווק ראשוני, בייחוד של שירותים בתחום, לחו"ל – מתחזק, ואפילו אפריקה מתחילה להיות יעד. זו כמובן מגמה חיובית להרחבת השוק, המוניטין ואפשרויות העבודה, אבל שוב – מקור לחוסר בעובדים.
לסיכום – יש חוסר התאמה בין הביקוש והצורך לבין יכולת השוק לספק את העובדים הנדרשים ובין המוכנות של המעסיקים לשפר את תנאי ההעסקה בכדי למשוך עובדים אליהם ולמלא את החסר אצלם.
אשמח לשמוע את דעתכם בתגובות.