Como dar prioridade ao investimento em talentos de cibersegurança

Recentemente, Scott Schlueter, Diretor de Soluções de Segurança da Rackspace, e Dave Baxter, Gestor de Fornecimento de Segurança, sentaram-se para discutir a lacuna de talentos na cibersegurança e o seu impacto organizacional. Juntos, partilharam a forma como as organizações proactivas estão a enfrentar este desafio e forneceram uma visão do futuro deste desafio. Sublinhando a necessidade crítica de resiliência, ofereceram conselhos práticos sobre como cultivar o talento através de uma atualização de competências orientada, programas de formação robustos e iniciativas de implantação estratégica.

P: Qual é a situação atual no que respeita à escassez de talentos na área da cibersegurança?

Scott Schlueter (SS): Continua a haver uma escassez significativa de talentos em várias áreas do sector. Isto acontece quando as empresas não têm pessoal e têm de encontrar uma solução alternativa. É importante notar também que muitas organizações nem sequer são capazes de colmatar esta lacuna de forma eficaz em todas as ocasiões. Algumas funções de cibersegurança estão a revelar-se particularmente difíceis de preencher, especialmente as funções de consultoria em arquitetura e conformidade. Quando se trata de arquitetura, é fundamental definir a tarefa antes de iniciar um projeto de seis meses. Da mesma forma, um especialista em conformidade pode ter de cumprir um calendário regulamentar específico e trabalhar com uma data definida. Para as grandes empresas, ter um funcionário a tempo inteiro pode ser mais viável, mas para as pequenas empresas, muitas vezes não é esse o caso. Nestas situações, as empresas podem ter de procurar recursos noutras organizações, provocando um défice persistente de talentos sem uma solução clara à vista.

P: Como é que a escassez de trabalhadores especializados em cibersegurança poderá evoluir e que padrões observou nas suas discussões com colegas?

SS: O U.S. Bureau of Labor Statistics' Occupational Outlook Handbook for Information Security Analysts indica que o emprego para analistas de segurança da informação deverá crescer 31% de 2019 a 2029 - muito mais rapidamente do que a média para todas as outras profissões. À medida que a tecnologia avança e as organizações evoluem, a necessidade de especialistas qualificados em cibersegurança continua a aumentar. As perspectivas de emprego serão fortes nos próximos tempos. Este facto sublinha a necessidade premente de entrar neste domínio para responder à procura crescente. E são.

No entanto, apesar do número crescente de pessoas que seguem uma carreira, o processo de progressão de funções de nível de entrada para posições de liderança sénior demora alguns anos, muitas vezes até uma década. Assim, temos um grupo considerável de profissionais juniores no sector e uma amostra mais pequena de trabalhadores altamente qualificados de nível superior, onde a procura dos seus serviços é constantemente elevada e as oportunidades de emprego abundam.

Dave Baxter (DB): É um pouco como a tendência da certificação Microsoft Certified Solutions Associate (MCSE) na década de 1990. Na altura, a elevada procura de profissionais certificados levou a Microsoft a introduzir uma linha de certificações que podia ser concluída em seis semanas. Como resultado, houve um aumento nas empresas que contrataram indivíduos com a certificação MCSE, apesar da falta de experiência prática. A tendência atual de as empresas darem prioridade às certificações em detrimento da experiência prática está a tornar-se demasiado familiar no domínio da cibersegurança.

E há uma tendência semelhante que vale a pena mencionar: Os vloggers do sector da segurança estão a promover a ideia de obter três certificações importantes no prazo de 90 dias. Estes especialistas partilharam as suas próprias experiências, dicas e recursos de estudo para ajudar as pessoas a prepararem-se para os exames CompTIA Security+, CEH e CISSP num período de tempo mais curto. Salientando a importância da dedicação e da aprendizagem prática, acreditam que estas certificações são valiosas para a progressão na carreira neste domínio.

P: Que responsabilidades têm os indivíduos na abordagem da segurança e na defesa de maiores incentivos ou estratégias de retenção?

DB: As empresas que estão na linha da frente nesta matéria vão dar prioridade ao investimento na melhoria das competências através de vários métodos, tais como a formação em sala de aula, parcerias com agências e fornecedores, e manter-se actualizadas com os salários padrão da indústria para reter talentos. A auto-aprendizagem e a adaptação às novas tecnologias também desempenham um papel importante na manutenção das competências do pessoal, uma vez que o nosso sector está em constante evolução.

P: Quais serão as consequências se uma empresa não se empenhar no recrutamento e na formação em matéria de cibersegurança?

SS: A evolução constante da cibersegurança traz novos desafios, como a proteção do pipeline DevSecOps e a incorporação responsável da IA. Estes desenvolvimentos criam oportunidades para as pessoas se juntarem ao sector através da melhoria de competências ou da migração de domínios relacionados, como a ciência dos dados.

DB: Basicamente, este tem sido o meu percurso em 10 anos. Passei da avaliação de riscos, auditoria de clientes, conformidade e gestão de vulnerabilidades para a gestão da encriptação e da segurança da nuvem híbrida. Tive de me adaptar constantemente, mesmo que estas não fossem as minhas especialidades. Gostamos sempre de dizer: "As pessoas que trabalham com segurança real vivem-na, não se limitam a aprendê-la".

SS: Um bom tecnólogo gosta de aprender constantemente e evita a estagnação gravitando em torno de campos emergentes. Esforçam-se por se manterem actualizados, concentrando-se em áreas com potencial de crescimento. Se a sua empresa não está a procurar tecnologias novas e inovadoras e a investir no crescimento da segurança, o talento mudar-se-á para organizações que estão a inovar e a investir.

Conheço organizações que hesitam em fornecer formação e certificação gerais, com receio de que o pessoal se transfira para outras organizações. No entanto, se o conhecimento e a certificação forem adquiridos e adoptados no âmbito de projectos activos, isso proporciona uma sensação de conhecimento aplicado e de propriedade que, em última análise, se alinha com os objectivos de um programa de segurança. Os líderes devem desenvolver um plano de formação que combine as necessidades organizacionais com o percurso de aprendizagem pretendido por cada colaborador, de modo a que cada uma das partes consiga melhorar as suas competências e crescer de forma inteligente.

P: A dotação orçamental para a segurança aumentou drasticamente nos últimos anos. De acordo com o estudo sobre cibersegurança que realizámos com 1420 decisores globais de TI no início deste ano, 62% dos líderes de TI aumentaram os seus orçamentos no último ano. Será isto suficiente para manter as empresas e organizações adequadamente protegidas contra as ciberameaças?

SS: Nos últimos 10-15 anos, os orçamentos de segurança foram muitas vezes relegados para segundo plano, sendo a maior parte da atenção colocada nas infra-estruturas e aplicações de TI. Esta omissão conduziu a medidas de segurança inadequadas, deixando as organizações vulneráveis a violações. À medida que a tecnologia e as ameaças evoluem, os investimentos em segurança são cruciais, e as empresas precisam de mudar de mentalidade para dar prioridade à segurança, em vez de a tratarem como uma reflexão tardia.

A segurança não pode ser da responsabilidade de um único serviço. O CISO mais experiente irá substituir os seus pares para promover as melhores práticas de segurança. Os líderes de segurança também beneficiarão com o avanço das estratégias de TI de outros departamentos, aproveitando o dinheiro da segurança para ajudar a financiar iniciativas de plataformas, dados e aplicações que podem reduzir significativamente o risco da organização e a dívida técnica. Um investimento inovador significa que a segurança está integrada em todas as iniciativas estratégicas e não é apenas mais uma ferramenta a sobrepor ou um fluxo de trabalho restritivo.  

DB: Começa a haver uma mudança no sentido de afetar uma maior percentagem do orçamento à segurança, especialmente para as empresas que lidam com informações sensíveis. É fundamental que as empresas dêem prioridade às questões de segurança e de pessoal para se protegerem a si próprias e aos seus clientes. Desta forma, podem continuar a progredir e a concentrar-se na criação de sistemas seguros.

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.