Laut dem aktuellen ISACA-Report "State of Cybersecurity 2020" berichten 66 Prozent der befragten Branchenexperten, dass es ein schwieriges Unterfangen darstelle, Spezialisten im Bereich IT-Sicherheit zu halten. Die ISACA-Studie klärt auch darüber auf, was die fünf häufigsten Gründe für die Abwanderung von IT-Security-Profis sind. Wir verraten Ihnen, warum Ihre Sicherheitsspezialisten die Flucht ergreifen - und wie Sie der Fluktuation Einhalt gebieten.
Die Security der Anderen kann mehr
Wenn konkurrierende Unternehmen ihren Mitarbeitern deutlich mehr bieten können, sind die Möglichkeiten, Spezialisten zu halten, im Regelfall überschaubar. Dabei ist Geld allerdings nicht immer der wesentliche Punkt - und gerade wenn das so ist, ist es umso wichtiger herauszufinden, warum das Gras denn bei der Konkurrenz grüner erscheint.
Wenn Mitarbeiter sich dazu entschließen, in ein anderes Unternehmen zu wechseln oder diese Absicht erkennen lassen, sollten IT-Security-Verantwortliche im Rahmen ehrlicher Gespräche herausfinden, welche Aspekte des Konkurrenzangebots den Mitarbeiter besonders ansprechen. Diese Insights können vom HR-Team für künftige Stellenausschreibungen und Einstellungsprozesse verwendet werden, um neue Sicherheitsprofis zu finden und zu halten.
Sicherheitsprofis ohne Perspektive
In die Schulung und Weiterbildung von IT-Sicherheitsspezialisten zu investieren, ist auf vielen Ebenen essenziell - auch, um die Security-Profis halten zu können. Fortlaufende, an den Skills der Mitarbeiter ausgerichtete Fort- und Weiterbildungsinitiativen machen die Mitarbeiter Ihres Security Teams nicht nur fit für aktuelle und kommende Bedrohungen - sie machen Ihr Unternehmen auch zu einem attraktiven Arbeitgeber, der seinen Mitarbeitern alle Möglichkeiten bietet, sich fachlich weiterzuentwickeln. Das ist ein wesentlicher Faktor, wenn es darum geht, (nicht nur) Security-Spezialisten im Unternehmen zu halten.
IT-Sicherheitsverantwortliche tun gut daran, Security-Profis, die sich durch besondere Leistungen hervortun, zu identifizieren. Auch wenn eine Beförderung aus diversen Gründen vorerst nicht durchsetzbar ist, sollten Sie solche Spezialisten wissen lassen, dass Sie sie in der Zukunft für höhere Aufgaben im Sinn haben. Das schmälert die Chancen, dass diese besonders wichtigen Mitarbeiter sich außerhalb des Unternehmens nach neuen Karriere-Chancen umsehen.
Sparzwang frisst Security
Auch wenn kleine und mittelständische Unternehmen nicht mit den Big Playern in Sachen monetäre Aussichten konkurrieren können: Diese Firmen sollten zumindest alles daran setzen, in ihrem Bereich in Sachen Gehälter und sonstige Benefits konkurrenzfähig zu bleiben. Lippenbekenntnisse der Geschäftsleitung, der IT-Sicherheit oberste Priorität einzuräumen, reichen an dieser Stelle nicht, sondern müssen von entsprechenden Investments in Security-Programme und -Initiativen untermauert werden. Dazu gehört natürlich auch eine standesgemäße Entlohnung von IT-Sicherheitsspezialisten.
Die Investition in fähige Security-Fachleute sind dabei absolut alternativlos: Wie die ISACA-Studie zeigt, weist die Mehrheit der befragten Unternehmen offene Stellen im Bereich IT-Sicherheit auf. In einem von drei Fällen dauert es sechs Monate oder länger, um diese Stellen mit geeigneten Kandidaten zu besetzen. Angesichts der heutigen Bedrohungslage erscheint es mehr als nur ein bisschen riskant, über solche Zeiträume mit Personalengpässen im Bereich Security zu arbeiten.
Wenn ein Unternehmen qualifizierte Sicherheitsspezialisten verliert, ist es sehr schwierig - wenn nicht gar unmöglich -, diese vakanten Stellen zeitnah und gleichwertig nachzubesetzen. Dieser Punkt sollte insbesondere den Entscheidern verdeutlicht werden, wenn es darum geht, Security-Profis angemessen zu entlohnen.
Stress - mit Sicherheit
Im Bereich IT-Sicherheit zu arbeiten, bringt ein bedeutendes Stresslevel mit sich. Das liegt einerseits an der allgemein steigenden Bedrohungslage, andererseits auch an zeitsensitiven Notfällen, deren Bearbeitung weit über normale Büroarbeitszeiten hinausgehen kann.
Es gibt jedoch Wege, um das Stressniveau innerhalb von Security Teams abzusenken - vorausgesetzt, das Team verfügt über eine gute Struktur. Die ist zum Beispiel durch übergreifende Trainingsmethoden zu erreichen, die verhindern, dass nur ein einziger Mitarbeiter einen bestimmten Bereich bearbeiten kann. Gleichzeitig stärkt das das Miteinander und ermöglicht den Teammitgliedern, ihre Fähigkeiten zu erweitern.
Mangelware Management-Support
Es ist Aufgabe des CISO, sein Team zu unterstützen - und zwar nicht nur dadurch, die notwendigen Ressourcen bereitzustellen. Er sollte auch dafür sorgen, dass anerkannt wird, wie diffizil sich der Schutz von Unternehmensnetzwerken im Digitalisierungs-Zeitalter gestaltet - und das notfalls auch gegenüber dem Vorstand deutlich macht.
Darüber hinaus kann das Management die Security-Abteilung auch in Form von Zertifizierungs-Offensiven, dem Besuch von Events und Konferenzen oder einfach positive Rückmeldung für gute Leistungen unterstützen.