5 saídas para a escassez de talentos em segurança cibernética

pablo galvez
Pablo Galvez *
21/04/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A transformação digital, acelerada pela pandemia, aumentou significativamente a superfície de exposição ao risco cibernético e cada vez mais são necessárias habilidades e competências para as empresas serem capazes de se protegerem. Mesmo que não houvesse a pandemia, a atividade criminosa vem explorando vulnerabilidades cibernéticas em governos, empresas e pessoas, causando danos e prejuízos financeiros.

De acordo com a Cybersecurity Ventures, crimes cibernéticos devem crescer 15% ao ano pelos próximos cinco anos, “atingindo US$ 10,5 trilhões anualmente em 2025, ante US$ 3 trilhões em 2015, o que representa a maior transferência de riqueza econômica da história, comprometendo os incentivos para inovação e investimento, é exponencialmente maior do que os danos infligidos por desastres naturais em um ano e será mais lucrativo do que o comércio global de todas as principais drogas ilegais combinadas”.

A lacuna de força de trabalho em segurança cibernética caiu de 4 milhões para 3,1 milhões, conforme o (ISC)2 Cybersecurity Workforce Study de 2020. No entanto, essa lacuna ainda é representativa e pode se agravar com a intensificação da transformação digital em curso.

Então, há alternativas para superar a escassez de talentos de segurança cibernética?

Sim. Aqui vão algumas.

Diversidade

A segurança cibernética deve ser uma carreira acolhedora e gratificante para todos. O estudo do (ISC)2 estimou que 72% de toda a força de trabalho é composta por homens. Além disso, embora pouco mais da metade de todos os entrevistados afirmarem ter percebido um aumento no número de mulheres na segurança cibernética durante os últimos cinco anos, a diferença ainda é significativa. O estudo cita também algumas das formas de fomentar maior diversidade e presença das mulheres na segurança cibernética, conforme alguns exemplos a seguir:

  • Programas de incentivo às mulheres em formação acadêmica
  • Oferecer mentoria e apoio às mulheres em todos os níveis de trabalho
  • Eliminar lacunas de remuneração e promoção
  • Promover mais mulheres para cargos de liderança
  • Fornecer condições de trabalho mais flexíveis
  • Destacar mulheres bem-sucedidas em segurança cibernética em materiais promocionais universitários
  • Estabelecer metas de diversidade da organização
  • Tornar o material de marketing mais neutro em termos de gênero

Habilidades transferíveis vs. Habilidades técnicas

Muitos profissionais de segurança cibernética são oriundos da tecnologia da informação e há uma grande ênfase nas habilidades técnicas relacionadas ao assunto. No entanto, ressalta-se que a segurança cibernética é uma disciplina dinâmica e que requer uma ampla gama de recursos. Portanto, não apenas profissionais oriundos da TI poderão compor a base de talentos para atuarem na área. Além disso, capacitações em segurança cibernética são recentes e não suprem todas as necessidades dos profissionais. Para serem capazes de acompanhar a intensa evolução do mercado, os profissionais deverão ser pessoas curiosas, orientadas à solução de problemas, motivadas, com grande sede de conhecimento e grande capacidade de comunicação, principalmente com as pessoas não técnicas. Partindo dessas características, o leque de opções aumenta e os aspectos técnicos poderão ser desenvolvidos mais facilmente.

Tecnologias emergentes

Tecnologias como a inteligência artificial e machine learning estão impactando os mais diversos campos, incluindo a segurança cibernética. Tarefas básicas, repetitivas ou de manuseio e análise de grande volume de informações deverão migrar para soluções automatizadas, tornando a própria segurança cibernética cada vez mais relacionada ao gerenciamento do impacto nos negócios do que gerenciamento de tecnologia. Essas novas tecnologias demandarão profissionais que conduzam a segurança sob a ótica de sua efetividade na mitigação de riscos aos negócios e não da segurança pela segurança.

Portanto, a carência de talentos pode acelerar a inovação e o uso de tecnologias emergentes para otimização dos processos e os profissionais deverão “evoluir” e desenvolver habilidades diferentes das técnicas.

Todos são responsáveis

Por melhor que sejam os processos e controles abrangidos pela segurança cibernética, e por maior que seja o esforço das áreas de segurança, a defesa contra ameaças é responsabilidade de todos. A carência de talentos não é justificativa para não se desenvolver uma cultura de segurança cibernética que envolva todos dentro de uma organização, desde a alta administração até a força de trabalho em geral. Isso vai além de treinamentos únicos e campanhas pontuais. É necessário um comprometimento real, com investimento contínuo de tempo e energia para o desenvolvimento dessa cultura, que permita à organização se defender de ataques de engenharia social e phishing, por exemplo. Podemos não ter todos os talentos de que gostaríamos, mas temos uma cultura que oferece a defesa inicial.

Outsourcing

A contratação ou desenvolvimento interno de novos talentos demanda esforço e pode não alcançar os resultados esperados nos prazos almejados. Por isso, o outsourcing de partes do processo pode suprir “gaps” de capacidades. Vale ressaltar que isso não eximirá a responsabilidade das empresas sobre o assunto. Normalmente são contratados serviços que atendam as etapas de monitoramento, identificação e resposta a incidentes cibernéticos, mas já são oferecidos no mercado serviços mais abrangentes. Há um significativo esforço tecnológico para a viabilização desta “externalização” de etapas de um processo de segurança cibernética, o que também trará a exposição de vulnerabilidades com um parceiro, o qual resulta no crescimento da área de exposição. Mas não deixa de ser mais uma opção para presente escassez de talentos.

Essas são algumas opções para contornar a escassez de mão de obra. A melhor opção será aquela que atenda a necessidade de sua empresa. Tudo dependerá do desenvolvimento da compreensão dos riscos cibernéticos incorridos e objetivos a serem alcançados. Qual a competência sua empresa quer alcançar? Após isso, será possível definir uma estratégia e adotar uma ou mais soluções que melhor se enquadre para a sua realidade.

* Pablo Galvez é auditor sênior de segurança cibernética, de segurança da informação e de TI

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório