A crise de talentos na segurança cibernética: como a sua organização pode preencher a lacuna
A escassez de talentos na segurança cibernética é real. 3,5 milhões de vagas não serão preenchidas este ano, apresentando um enorme desafio para as organizações que estão migrando para a nuvem e impulsionando a transformação digital.
De acordo com o estudo sobre computação em nuvem da IDG de 2020, 30% dos executivos citam a falta de habilidades em segurança na nuvem como um dos principais desafios na migração para a nuvem pública e a operação na nuvem. A concorrência dificulta a contratação e retenção de pessoal. Além disso, como 82% dos executivos de segurança de TI e de nível de diretoria acreditam ter tido pelo menos uma violação de dados ao implementar novas tecnologias e ampliar suas cadeias de suprimentos, a escassez de talentos fará com que seja cada vez mais difícil manter uma posição de ponta em segurança e tecnologia.
Assim, conforme o setor enfrenta um panorama cada vez mais complexo de tecnologias, compliance, modelos operacionais e evolução de ameaças, vamos nos aprofundar em como atrair e reter talentos e ao mesmo tempo usar da melhor forma os recursos que você já tem. Conversei com Owen Winn da Rackspace Cloud Academy, a diretora de segurança da Rackspace Technology, Karen O’Reilly-Smith e Ryan Smith, evangelista de produto na Armor Cloud Security, para saber mais sobre a carência de habilidades em segurança cibernética e como superá-la.
Use a criatividade ao recrutar
Ao buscar o perfil ideal na contratação para segurança cibernética, Owen Winn propõe um choque de realidade: "Não é realista contratar o profissional de segurança perfeito". Ele acredita que as empresas devem valorizar uma "base sólida de fundamentos técnicos sustentados por uma expectativa realista da experiência prática" e "priorizar a experiência prática apoiada em treinamento e mentoria".
Mas a concorrência torna as opções óbvias escassas, e por isso a diretora de segurança da Rackspace Technology, Karen O'Reilly-Smith recomenda pensar fora da caixa ao fazer o recrutamento. Seja considerando recursos internos ou novas contratações, ela procura cada vez mais por talentos "em todo o setor", uma pessoa com experiência técnica, mas não necessariamente alguém essencialmente técnico.
Para Karen, os tipos de personalidade são um fator importante: "A pessoa ama pesquisas, análises e aprofundamento? Estamos enfrentando adversários invisíveis todos os dias, por isso busco alguém que não esteja interessado no status quo, alguém que queira mudar as coisas!". Então, em vez de evitar pessoas de setores diferentes, Karen diz que se deve adotá-las, já que a diversidade traz novas perspectivas, que podem levar à agilidade e à criatividade. Essas pessoas raramente são rígidas, diferentemente de algumas pessoas que estão na segurança há muito tempo.
Além disso, aja com honestidade em relação à sua necessidade de talentos e experiência. "Já vi anúncios de emprego que exigiam oito anos de experiência, quando a tecnologia existe há apenas cinco anos", diz Ryan Smith. De acordo com o relatório de estratégia de 2021 da ISSA e da ESG, a criação de padrões falsos não é incomum. Mas esse e outros fatores chave, como a remuneração não competitiva e o não entendimento dos requisitos de habilidades em segurança cibernética pelo RH, excluindo assim candidatos fortes, dificultam os esforços de recrutamento antes mesmo de começarem.
Mantenha os talentos atuais entusiasmados
Além de adquirir novos talentos para ampliar a sua equipe, Ryan Smith da Armor nos lembra que "as habilidades estão sendo muito procuradas" e por isso você "não pode ignorar o fato de que os recrutadores irão atrás dos seus talentos".
Os salários e as opções de trabalho remoto devem ser parte da conversa na manutenção dos talentos. No entanto, Ryan diz que não se deve descartar a principal motivação, que é dar às pessoas um trabalho que elas consideram valioso e interessante: "Se uma pessoa não se sente desafiada, ela vai arrumar outro emprego".
O crescimento nem sempre precisa se basear em habilidades; ele pode envolver a descoberta de que partes do seu programa de segurança as pessoas podem assumir. E como o pessoal de segurança tende a ser focado na missão, identificar quem está alinhado aos seus valores, visão e missão durante o recrutamento trará resultados mais tarde. Mas do nível inicial ao sênior, as pessoas precisam sentir que estão tendo um impacto nessa missão. E para que elas se sintam capacitadas, elas precisam sentir que suas ideias e diversidade de pensamentos farão a diferença.
Isso nos leva de volta a um ponto anterior sobre o benefício das perspectivas variadas para uma organização. O importante é permitir que isso aconteça, em vez de suprimir novas ideias porque uma coisa sempre foi feita de uma determinada maneira. Por exemplo, uma pessoa recém-contratada pode identificar formas em que a autenticação não está bem alinhada à experiência do usuário real. Isso deve gerar um plano de melhoria, e não um contraponto técnico de como as coisas deveriam funcionar. "Precisamos de pessoas com essa experiência real para meio que controlar o pessoal de segurança quanto a isso", Ryan acrescenta.
Use a automação com sabedoria
A automação é uma forma útil de resolver a retenção dos talentos existentes, por meio da automação de tarefas quotidianas. Em outras palavras, de acordo com Karen: "Automatize o ruído". Quando você usa a IA para livrar a sua equipe do trabalho entediante, seu pessoal pode "usar o tempo para empregar a curiosidade, ser criativo, trabalhar naquilo que vai colocar você mais perto do seu concorrente em breve".
Ryan observa que já vemos isso nas soluções de detecção e resposta, onde a tecnologia é usada para encurtar o tempo necessário para chegarmos às repostas executáveis. Mas ele adverte que as organizações que pensam na automação não devem chegar a uma conclusão equivocada: "Essas novas ferramentas devem ampliar os programas de segurança, a segurança, as vidas e as equipes. Mas quando falamos em automação, corremos o risco de assumir que isso significa que as pessoas serão substituídas, ou que não precisamos de talentos. Isso não é verdade. A segurança sempre será uma conversa para o elemento humano."
A parte importante é em que focamos os seres humanos. "Ao automatizar a triagem de incidentes e a coleta de provas – coisas que o pessoal de nível inicial pode ter tido que fazer – as equipes podem se concentrar em pensamentos de ordem superior, como respostas de acordo com o manual, caça a ameaças e inteligência de ameaças, além de levar novas tecnologias de segurança para o mercado", Ryan explica. "Isso fará com que as pessoas continuem engajadas e sejam retidas, por terem um trabalho interessante, em vez de vasculharem arquivos de registro, o que poderia ser feito por um computador."
Saiba quando não se aventurar sozinho
Um aspecto final na diminuição da escassez de talentos é ser mais estratégico em termos de investimentos. Faça uma avaliação honesta de onde se encontram as lacunas e dos recursos existentes para os desafios cada vez maiores e amplos. Você entenderá onde é possível cultivar talentos internos, juntamente com as funções auxiliares e os conjuntos de habilidades que podem ser bem aplicados às operações de segurança. Você descobrirá onde é necessário recrutar. As plataformas de tecnologia e os provedores de serviços gerenciados podem ajudar a preencher as demais lacunas.
Você não estará sozinho nisso. Quase 70% das organizações estão recorrendo a MSPs para ajudar a resolver a escassez de habilidades. O dinheiro também tem seu papel, acrescenta Karen, observando com sinceridade que "não se pode gastar dinheiro com tudo". Em vez disso, ela sugere olhar para o que é central na sua organização. Pode ser a arquitetura do seu programa de segurança, por exemplo, que você pode optar por manter internamente, enquanto terceiriza o que é mais fácil de terceirizar para um parceiro. No entanto, as organizações não devem comprar a opção mais barata, ou podem não obter as habilidades de que precisam. "Como na avaliação dos talentos que deseja contratar, avalie onde a experiência de um parceiro está posicionada no mercado", Ryan recomenda. "Em parte, o motivo de termos uma lacuna de habilidades é que as novas tecnologias aceleraram com maior rapidez do que conseguimos treinar até mesmo as pessoas que estão na vanguarda dessas tecnologias para mantê-las. Então é preciso avaliar os parceiros para garantir que estejam acompanhando o ritmo."
Acima de tudo, Karen sugere que a honestidade deve estar no centro de todas as decisões. "Os diretores de segurança querem amadurecer o programa de segurança da organização e deixar sua marca", diz ela. "Mas é preciso ser realista hoje em termos de talentos, crises de recursos e conjuntos de habilidades e reconhecer que um parceiro é apenas uma extensão da sua equipe."
Relatório Global: A cibersegurança está à altura dos crescentes desafios de hoje?
About the Authors
VP, Security Solutions
Gary Alterson
Gary Alterson is VP of Security Solutions at Rackspace. In this role he acts as GM for Rackspace’s security solutions focused on supporting digital transformations and cloud acceleration. Previously, Gary led Customer Experience and Services Product Management at Cisco Systems where he built professional, managed, and support services addressing cloud security and advanced threats. At Cisco and at Neohapsis, a nationally recognized cybersecurity boutique consultancy, Gary and his teams were instrumental in transforming enterprise and government security programs to effectively address shifting business models, emerging technologies, and the evolving threat environment. As a previous CISO and security architect, Gary has over 20 years experience on the front lines of security, protecting and responding to threats across multiple industries. Gary is often sought out to speak on secure digitization, cloud, and emerging technology security frameworks as well as enterprise security.
Read more about Gary Alterson