Nunca se falou tanto de segurança da informação, proteção e privacidade de dados no Brasil quanto o ano de 2019. As razões são óbvias, uma vez que a Lei Geral de Proteção de Dados (LGPD) entra em vigor em 2020.

Aplicada às empresas de diferentes segmentos e tamanhos, a nova legislação, aprovada em 2018, engloba basicamente as organizações que processam e armazenam dados pessoais dos usuários em seus processos de negócio.

Feiras, congressos e outros tipos de evento tem tratado sobre a adequação a LGPD, desde o entendimento ao conceito da nova legislação, da adequação aos requisitos e principalmente aos desafios a serem vencidos durante esse período de transição.

E durante essa jornada, que ocorre não apenas para atender aos requisitos definidos pela LGPD, mas também pela preocupação de garantir a proteção de dados e privacidade dos usuários, um ponto se tornou prioridade nas discussões do tema e uma grande preocupação: capital humano qualificado em segurança da informação.

Capital humano qualificado em segurança da informação: um dos principais desafios para os próximos anos

A maioria das organizações está ficando para trás quando se trata de resolver a escassez de habilidades em segurança da informação. É o que mostra o estudo realizado pela Information Systems Security Association (ISSA) e pela empresa de análise Enterprise Strategy Group (ESG), que entrevistou 267 profissionais de segurança cibernética em todo o mundo.

A escassez de habilidades em segurança de dados está afetando 74% das organizações, de acordo com o relatório, mas 63% das organizações estão ficando para trás quando se trata de fornecer níveis adequados de treinamento para sua equipe de segurança cibernética.

As três principais áreas de tecnologia mais afetadas pela escassez de habilidades em segurança cibernética incluem segurança na nuvem (33%), segurança de aplicativos (32%) e análises e investigações de segurança (30%), segundo o relatório.

Os profissionais de segurança da informação, que não conseguem se manter atualizados sobre as habilidades e conhecimentos de trabalho necessários, colocam as organizações em desvantagem significativa junto ao mercado.

A dificuldade de conciliar a demanda de trabalho e a constante capacitação coloca as empresas em risco

O estudo realizado pela ISSA aponta que 93% dos entrevistados concordam que devem manter suas habilidades em segurança da informação ou sua organização estará em risco, porém disseram que é difícil acompanhar as habilidades de segurança cibernética, dadas as demandas de seu trabalho. Ao mesmo tempo, sua organização também não está fornecendo o treinamento e suporte necessário. 

Isso significa que o profissional de segurança da informação, precisa, muitas vezes, investir por conta própria em treinamentos especializados. E isso não é bom para a organização e nem para quem depende desses profissionais para proteger os dados.

As empresas sentem a dor da escassez de pessoal em segurança cibernética

As organizações enfrentam, hoje, grandes desafios com o ritmo das mudanças nos negócios, acelerado pelos novos requisitos de proteção de dados e privacidade e a digitalização de seus setores. 

Um denominador comum aqui é que enfrentar esses principais desafios de negócios envolve a contratação de novos talentos, que são incrivelmente escassos.

E quando se fala em TI, a escassez de pessoal não é exclusiva apenas para segurança da informação, mas suas consequências são sentidas intensamente em toda a empresa. 

Desta forma, uma organização com uma equipe insuficiente para garantir a segurança de dados se torna um benefício para os invasores, que buscam rapidamente todos os meios possíveis de exploração.

Para se ter uma ideia, três em cada cinco empresas não ocuparam cargos na equipe de segurança da informação, e muitas dessas funções permanecem vagas por vários meses, de acordo com um relatório recente da Information Systems Audit and Control Association (ISACA). 

Do ponto de vista corporativo, simplesmente não existem candidatos qualificados suficientes. E quando se trata de identificar qual vertical está enfrentando dificuldades, existe uma grande variedade de opções:

  • Serviços financeiros

  • Manufatura

  • Serviços ao consumidor

  • Setor público

  • Varejo

  • Hospitalidade

No final, todos estão sofrendo com a escassez de talentos.

Uma lacuna nas habilidades de segurança da informação exige pensar fora da caixa

Adotar uma abordagem diferente é o primeiro passo para solucionar a escassez de habilidades em segurança cibernética. Se você parar para pensar, isso realmente não é um problema de segurança e nem de tecnologia: é realmente um problema de negócios. 

No final das contas, há muitas oportunidades quando olhamos por uma perspectiva fora da caixa, em vez de associar a um problema de segurança.

Na verdade, esse cenário é uma oportunidade para atrair pessoas para a profissão que talvez não possuam os conjuntos de habilidades tradicionais. É um momento oportuno para “cultivá-los”, de forma que se tornem os profissionais de segurança da informação necessários dentro de organizações.

Enquanto a escassez de habilidades em segurança cibernética continua atormentando o setor, o “verdadeiro problema” está na maneira como os líderes de segurança estão lidando com o desafio.

A questão é que, na verdade, a mentalidade deve ser desviada do pensamento padrão sobre os perfis que podem ser contratados no mercado para atender à função de segurança de dados – é preciso desenvolver condição para que eles adquiram as competências necessárias.

É preciso procurar alternativas

De acordo com uma pesquisa do Gartner, 61% das organizações admitem que estão lutando para contratar profissionais de segurança.

A maioria das organizações luta porque não sabe de quais habilidades de segurança cibernética precisa, ou coloca muito peso nas certificações do mercado. Elas não mapearam tudo em volta de uma estratégia ou estrutura da força de trabalho para descobrir o que precisam.

É necessário procurar alternativas que possam ser adotadas não apenas para buscar essas pessoas no mercado, mas para construí-las.

No que diz respeito às funções de segurança, há uma falta de padronização em torno de títulos, nomes, terminologia e, como resultado, falta de planos de carreira claros.

O problema é que não há padronização sobre o que esses títulos realmente significam. Para ter uma ideia, um analista de resposta a incidentes pode ser potencialmente um analista de segurança da informação em outra organização. Um engenheiro de segurança pode até ser arquiteto de segurança em outra empresa.

Para preencher a lacuna, seja criativo

Joseph Blankenship, analista sênior de segurança e riscos da Forrester Research, sugere que as organizações busquem funcionários atuais que possam ser adequados para carreiras de segurança, e depois os recrutem e treinem para as novas funções.

Nos últimos anos, as pessoas encontraram seu caminho para a segurança quase por acidente”, afirma Blankenship. “Talvez eles tenham alguma experiência usando ferramentas de hackers de código aberto e tenham dito: ‘Uau, isso é legal. Acho que posso querer fazer isso como um trabalho'”. E então eles saem e tentam encontrar o emprego por conta própria”, completa. 

Mas no ambiente atual de contratação, os líderes de segurança não podem esperar que esses candidatos os procurem. Em vez disso, eles precisam procurar ativamente, interna e externamente, e devem se concentrar no temperamento, aptidão e habilidade sobre a educação e a experiência tradicionais.

De fato, muitos dos melhores profissionais de segurança da informação não têm uma formação tradicional na área. Eles podem ter um diploma de bacharel e, provavelmente, não possuem um mestrado. Muitos buscaram formação técnica sem passar por uma universidade ou especialização, e grande parte é autodidata.

Os negócios digitais exigem competências digitais

Os analistas do Gartner acreditam que um fator que contribui para a escassez de habilidades em cibersegurança são as rápidas transformações digitais que muitas organizações estão passando. 

Na última pesquisa de negócios digitais da empresa, 85% das organizações relataram buscar ativamente estratégias de otimização digital, e 66% relataram estar no caminho da transformação digital.

A adoção de tecnologias digitais para oferecer novo valor e vantagem competitiva à empresa também requer o desenvolvimento de competências digitais. Os CISOs (chief information security officer) e os líderes de segurança precisam contratar pessoas com competências digitais.

A adaptabilidade é uma habilidade essencial de segurança na era digital – esse profissional demonstra flexibilidade, agilidade e capacidade de responder efetivamente a diferentes demandas. 

Além disso, a perspicácia nos negócios, a destreza digital, a orientação por resultados, a colaboração e a sinergia são outras competências digitais essenciais muito exigidas aos profissionais de segurança da informação.

O impulso para os negócios digitais também criará demanda por novas habilidades. Enquanto as principais funções de segurança atualmente em demanda incluem analista de segurança da informação e analista de vulnerabilidades e testadores, esse cenário mudará nos próximos anos.

Quais são as habilidades de profissionais experientes em segurança cibernética que desejam aumentar suas carreiras?

Uma estrutura profissional pode ser uma ferramenta importante para o desenvolvimento profissional da carreira em cibersegurança.

Em um nível alto, essa estrutura visa mostrar como se tornar um profissional em segurança da informação – desde uma hierarquia de cargos ao fluxo de crescimento na profissão. 

Esse modelo pode mostrar ao indivíduo que estuda os principais aspectos da profissão que existem muitas oportunidades, da linha de frente ao back office, e que todo trabalho tem sua importância tática e estratégica.

Segurança tecnológica

A segurança da tecnologia tende a ser a primeira área na qual a maioria das pessoas pensa ao considerar um futuro em segurança cibernética. 

A segurança da tecnologia, normalmente, inclui ferramentas e dispositivos como firewalls, sistemas de detecção de intrusões, arquitetura e segurança de rede, ferramentas antivírus / antimalware, técnicas e processos de proteção do sistema, engenharia de segurança, criptografia e outros processos criptográficos.

Segurança da informação

A segunda coluna do modelo acima inclui os aspectos programáticos mais amplos da segurança cibernética. Esse domínio é menos focado na tecnologia e mais na proteção de dados e informações por meio de programas, processos, políticas, padrões, procedimentos e diretrizes. 

As atividades predominantes envolvidas nessa área incluem gerenciamento de riscos, governança, conformidade regulatória, continuidade de negócios e recuperação de desastres, propriedade intelectual, integridade comercial / financeira, espionagem industrial, privacidade, forense e investigação.

Segurança estratégica

O pilar estratégico de segurança é, principalmente, uma área de importância estratégica para os interesses nacionais de segurança cibernética, defesa e guerra. 

Os jogadores de carreira tendem a estar nas forças armadas, nas agências nacionais de inteligência e na inteligência estratégica de ameaças cibernéticas em uma corporação ou universidade. Cada dia envolve a solução de problemas estratégicos de segurança cibernética.

Planejamento estratégico é um dos principais caminhos para resolver a falta de pessoas qualificadas em segurança da informação

Uma estrutura da força de trabalho para o setor de segurança da informação deve ser projetada para definir a padronização no aspecto das funções de segurança cibernética e proteção de dados.

Isso ajuda a identificar as competências, os conhecimentos e as habilidades necessárias para o futuro e, no final das contas, progredir na solução do problema.

Além disso, o investimento em programas educacionais voltados para segurança da informação e outras áreas-chave, como IA e computação em nuvem, é essencial para preencher a lacuna de habilidades tecnológicas. 

As áreas de estudo podem incluir até mesmo ciberterrorismo e terrorismo físico, cibercrime, guerra cibernética, política nacional e internacional de cibersegurança, inteligência e análise de ameaças, entre outras.

Por fim, o apoio das empresas por parte da gestão é fundamental para um trabalho de melhoria contínua entre os processos e políticas de segurança da informação e capacitação de profissionais. 

Desta forma, as organizações e seus profissionais de tecnologia poderão reduzir o risco de ataques e minimizar os impactos de um incidente de segurança.