Article (leitura de 7 minutos)

O que está causando o déficit de habilidades em cibersegurança?

A visão de um especialista sobre por que o déficit persiste e como identificar e cultivar a próxima geração de talentos de segurança.

Owen Winn / Rackspace Cloud Academy

Os principais motivos que ainda dificultam o recrutamento de profissionais de segurança são, de modo geral, a natureza multidisciplinar da segurança e, de modo específico, a carência de habilidades de nuvem no mercado. Eis a visão de nosso especialista sobre por que o déficit persiste e como identificar e cultivar a próxima geração de talentos de segurança.

Apesar do que os filmes sugerem, é raro que dois gênios da codificação travem um combate cibernético corpo a corpo a partir do conforto de suas estações de trabalho. (Embora isso aconteça de vez em quando.)

A segurança cibernética na era da nuvem é, na verdade, elegantemente simples — pelo menos em termos de conceito. Na realidade, a segurança cibernética é uma função de gerenciamento que protege a confidencialidade, a integridade e a disponibilidade (CID) dos dados de uma empresa ao desenvolver, comunicar e refinar as políticas que regem como a tecnologia é usada e acessada.

Quando funcionam bem, essas políticas impedem que os riscos cibernéticos progridam para algo de estilo hollywoodiano. E elas fazem isso assegurando que as coisas não sejam feitas de qualquer jeito quando a organização busca, por exemplo, ciclos mais curtos para lançar produtos ou mais eficiência no trabalho remoto.

Compreender isso é fundamental para avaliar a natureza do tão falado déficit de habilidades em cibersegurança, algo que ainda preocupa os líderes de TI.

Essa escassez de talentos não é um desafio novo. Mas quando 43% das organizações ainda relatam que a concorrência por talentos de segurança dificulta a contratação e a retenção de funcionários, é hora de abordar o déficit de habilidades em segurança cibernética de um ângulo diferente.

43% das organizações ainda relatam que a concorrência por talentos de segurança dificulta a contratação e a retenção de funcionários

 

Por que o déficit de habilidades em cibersegurança existe — e persiste

O déficit de habilidades em cibersegurança existe e persiste porque as qualificações buscadas pelas empresas são multifacetadas, altamente demandadas e vão além dos aspectos técnicos. Da segurança física à criação e implementação de políticas — passando pelos desafios inerentes ao gerenciamento de pessoal —, proteger os dados extrapola em muito o âmbito da qualificação técnica.

Enquanto a tecnologia muda, as pessoas permanecem as mesmas. A principal ferramenta que usamos para gerenciar pessoas é a política. As violações significativas de segurança são, consistentemente, causadas com maior frequência por erro humano (não seguir as diretrizes apropriadas de proteção do sistema) ou por dolo (usar intencionalmente o acesso elevado de alguém para sabotar a CID), e não por causa de uma falha técnica pontual. Um desses exemplos, há alguns anos, e uma das maiores violações da história recente, foi o hackeamento da Experian, que expôs dados pessoais de mais de 143 milhões de americanos devido a servidores que ficaram de três a quatro meses sem receber patches. Sim, é uma falha técnica, mas a Apache Foundation já havia lançado uma correção que poderia ter sido facilmente implementada, e o hackeamento poderia ter sido evitado se a política de TI da empresa exigisse intervalos mais curtos entre as aplicações de patch.  

Com o surgimento frequente de novas tecnologias on-line, há uma necessidade constante de reciclagem e manutenção das capacidades técnicas da equipe. Para acompanhar o ritmo acelerado das mudanças, os engenheiros normalmente se especializam em suas áreas de competência, concentrando-se em uma ou duas disciplinas técnicas, como programação, redes ou conhecimento de um SO específico. Na maioria das empresas, essas habilidades especializadas são tradicionalmente agrupadas em equipes, com base no tipo de habilidade. Isso, por sua vez, é espelhado nos negócios, com departamentos especializados numa competência e a maioria do pessoal de TI sendo singularmente qualificado.

A nuvem virou do avesso esse modo de gerenciar recursos e pessoal de TI. Com a introdução da nuvem, o setor finalmente começou a materializar a visão de uma infraestrutura ágil para aplicativos e TI. Transformar o data center em uma "nuvem" envolve adicionar camadas de abstração chamadas APIs, para possibilitar uma automação consistente e confiável. Pense nisso como a inclusão de robôs na linha de montagem automotiva de Henry Ford.

E, com essa automação semelhante a robôs, o pessoal de TI teve que aprender uma série de novas habilidades para gerenciar as APIs da nuvem. Maneiras novas de fazer coisas antigas não são problema para a maioria dos profissionais de TI, mas a nuvem também impôs um novo alinhamento ao pessoal corporativo, dividindo equipes tradicionalmente separadas em grupos multidisciplinares menores (equipes de duas pizzas), responsáveis por criar e gerenciar as APIs supracitadas (necessárias para a automação da nuvem). As equipes multidisciplinares, por sua vez, fazem com que a especialização mude para habilidades mais generalizadas. 

No gerenciamento de projetos, a transição do estilo cascata para o modelo ágil tem sido muito disruptiva. Quer você chame de nuvem, DevOps ou transformação digital, as mudanças drásticas no modo como gerenciamos os recursos estão forçando a equipe atual da TI a aprender maneiras totalmente novas de gerir seus sistemas. Isso está impulsionando a demanda por novas habilidades.

Agora, os profissionais de segurança cibernética também precisam manter um amplo leque de habilidades de nuvem, pois os dados corporativos estão mais dispersos do que nunca. Graças à multinuvem, aos aplicativos analíticos de terceiros e a diferentes departamentos disparando novas versões de produtos e ferramentas, a fronteira de computação confiável (TCB, na sigla em inglês) da maioria das organizações tem agora uma presença que vai além dos datacenters locais da TI tradicional. Um único aplicativo pode facilmente incluir datacenters variados, gerenciados por diversos fornecedores, em locais geográficos diferentes, sujeitos às exigências de diferentes normas governamentais.

Partindo do fato de que já é difícil encontrar e recrutar equipes de TI multidisciplinares, encontrar então alguém com foco adicional em segurança é mais difícil ainda.

já é difícil encontrar e recrutar equipes de TI multidisciplinares, então encontrar alguém com foco adicional em segurança é mais difícil ainda.

 

Para ser considerado um profissional promissor em segurança cibernética pelos padrões atuais, primeiro você precisa ser um generalista com rudimentos de segurança física e técnica. Também é preciso experiência aprofundada em pelo menos um ou dois domínios específicos da TI, mas geralmente mais, algo difícil quando consideramos a rapidez com que a tecnologia se move. Além disso, você precisa ser um bom gerente, com empatia pela forma como a organização e os funcionários dela usam a tecnologia para atingir os objetivos.

A causa do déficit nas habilidades de segurança cibernética está contida nesse emaranhado de requisitos: para se tornar essa pessoa, você precisa de muitos anos de experiência prática — muito além de qualquer educação formal (assim como acontece para se tornar um profissional de nuvem). Essa jornada é bastante longa e, como consequência, a falta de habilidades é sentida de forma mais aguda no pipeline precário entre o nível de entrada e os talentos de segurança sêniores.

Como resolver o déficit de competência – e personalidade

Na maioria dos orçamentos, não é realista contratar o profissional de segurança perfeito. E, em muitas organizações, aguentar até aparecer alguém faz o déficit de habilidades parecer maior do que realmente é.

Em vez disso, para fortalecer o pipeline desde o nível de entrada até a gerência sênior, as organizações precisam ficar melhores em identificar e cultivar o talento certo.

O perfil ideal tem uma base sólida de fundamentos técnicos, respaldada por uma expectativa realista de experiência prática – três anos versus 10, por exemplo – em uma área como rede, sistemas operacionais ou desenvolvimento de software. Sem desviá-los do caminho do desenvolvimento técnico, esses candidatos estão bem posicionados para incorporar gradualmente os aspectos gerenciais e políticos de um cargo na segurança cibernética.

Para cultivar esse talento no longo prazo, as organizações devem priorizar a experiência prática, apoiada por treinamento e mentoria. Oportunidades para que as pessoas ganhem experiência são perdidas com regularidade quando a segurança é pensada tardiamente — ou por último — no processo de criação de novos aplicativos e serviços. Em vez disso, incluir um especialista de segurança em todos ou na maioria dos pods de desenvolvimento multiplica as oportunidades para o talento ganhar experiência, em comparação a ser chamado para validar o trabalho de alguém a posteriori.

Quando for necessário treinamento formal, a preferência deve ser sempre por sessões em estilo bootcamp, estruturadas em torno de tecnologia aplicada. Elas aceleram o processo de aprendizagem através de tentativa e erro, mas em um ambiente de baixo risco.

Aproveite a cultura para capacitar o "firewall humano"

Por fim, a cultura da organização deve contribuir para que os profissionais de segurança em formação se preparem para o sucesso. A maioria das invasões e violações de dados resultam de ataques de engenharia social contra os trabalhadores em geral. Um "firewall humano" bem-informado e engajado está entre as defesas cibernéticas mais fortes de uma organização.  Remover as barreiras existentes entre os especialistas e o resto da organização permite que todos se sintam responsáveis pela segurança. Temos visto profissionais bem-sucedidos de segurança cibernética se tornarem tão acessíveis que os funcionários sentem-se à vontade para lhes enviar atualizações quase diárias sobre os spams que recebem. Nove em cada dez vezes, essas atualizações são besteiras. Mas essa sensação de estarem juntos na vanguarda defensiva da empresa é culturalmente inestimável.

Cultive seu próprio unicórnio – começando agora

Proteger a empresa é cada vez mais complexo. Conforme as empresas migram para arquiteturas modernas, aplicativos na nuvem e trabalhadores remotos, aumentam as oportunidades para que malfeitores interceptem as informações sensíveis que são transmitidas fora da rede corporativa.

Como vimos, para as empresas que procuram combater isso, o déficit de habilidades na segurança cibernética é um desafio real — embora nem sempre no sentido que se imagina, e não só em termos das competências que envolvem mãos no teclado.

Aqueles que estão com dificuldade para recrutar e reter profissionais de cibersegurança provavelmente se encontram hoje em um destes dois cenários: ou têm gerentes que entendem essencialmente de política de segurança, mas compreendem menos a tecnologia subjacente; ou terão mestres em tecnologia carentes de habilidades interpessoais e com dificuldade de definir políticas eficazes.

As organizações livres desse problema são as sortudas que já encontraram — e podem se dar ao luxo de manter — seu unicórnio dotado tanto de conhecimento técnico quanto das competências sociais necessárias a um gerente e comunicador eficaz.

A maioria das companhias, porém, vai ter que cultivar o próprio unicórnio identificando alguém com as matérias-primas — disciplina técnica combinada ao desejo de solucionar desafios humanos — e empenhando tempo e recursos para formá-lo.

Participe da conversa: encontre o Solve em Twitter and LinkedIn, ou siga através de RSS.

Sobre o autor

InstrutorOwen Winn

Owen Winn é ex-controlador de tráfego aéreo da Força Aérea dos EUA e tem 25 anos de experiência no setor de tecnologia com foco principal em segurança cibernética, networking com provedores de serviços, treinamento técnico e nuvem. Nos últimos 10...

Leia mais


Série sobre soluções para estratégia

Inscreva-se em um ou todos os eventos globais com influenciadores, especialistas, técnicos e líderes do setor

Crie sua conta já