Apesar das recentes demissões no setor de tecnologia de alto perfil, a demanda por profissionais de segurança cibernética permanece alta, mas não atendida. Com tantos trabalhadores da indústria de tecnologia procurando seu próximo emprego, por que esses trabalhadores demitidos não estão sendo recrutados?
A resposta pode ser encontrada combinando melhor os candidatos menos prováveis de se retreinar como técnicos de segurança cibernética. A demanda por trabalhadores cibernéticos cresceu 25% em 2022, e existem muitos comentários sobre a necessidade de contratar talentos de segurança cibernética de origens não tradicionais, como bartenders ou professores.
De acordo com dados divulgados no final de janeiro do site de análise da força de trabalho de segurança cibernética desenvolvido em parceria pela Iniciativa Nacional para Educação em Segurança Cibernética do NIST, CompTIA e Lightcast, o número total de trabalhadores de segurança cibernética empregados manteve-se relativamente estável em 2022 em cerca de 1,1 milhão. O número de ofertas de emprego online caiu de 769.736 para 755.743 nos 12 meses encerrados em dezembro de 2022.
“Apesar das preocupações com a desaceleração da economia, a demanda por profissionais de segurança cibernética permanece historicamente alta. As empresas sabem que o crime cibernético não vai parar por causa de uma desaceleração do mercado, então os empregadores não podem se dar ao luxo de interromper suas contratações de segurança cibernética”, disse o vice-presidente de talentos de pesquisa aplicada da Lightcast, Will Markow.
De acordo com os dados da Lightcast, cada um dos primeiros nove meses de 2022 estabeleceu recordes para a maior demanda mensal de segurança cibernética desde 2012, mas esfriou em novembro e dezembro. Um indicador-chave é a proporção de trabalhadores de segurança cibernética atualmente empregados para novas vagas, o que indica o quão significativo é o déficit de trabalhadores.
A relação oferta-demanda é atualmente de 68 trabalhadores por 100 vagas, superando a relação do período anterior de 65 trabalhadores por 100 vagas. Com base nesses números, são necessários quase 530.000 trabalhadores de segurança cibernética nos EUA para fechar as atuais lacunas de fornecimento.
Alguns pesquisadores do setor sugerem que contratar talentos de segurança cibernética de origens não tradicionais, como bartenders ou professores, é uma solução ideal fora da caixa.
Idéia irreal diante de barreiras tecnológicas
Outros ciberprofissionais afirmam que tal solução não se alinha com a realidade do setor. Principalmente, as barreiras à entrada permanecem muito altas, com muitas organizações ainda usando métodos de contratação antiquados, como a exigência de certificações que são impossíveis de obter sem experiência de trabalho.
Lenny ZeltserCISO da empresa de gerenciamento de ativos de segurança cibernética Axonius e instrutor da empresa de treinamento, certificações e pesquisa em segurança cibernética SANS Institute, também acha surpreendente que ninguém pareça estar falando sobre como é difícil subir na hierarquia depois de conseguir uma posição cibernética em primeiro lugar.
Há pouca ou nenhuma orientação sobre como passar de profissional cibernético para diretor de segurança da informação ou CISO. Muitas organizações carecem de padrões e estrutura sobre como pagar os profissionais cibernéticos, e muitos funcionários sabem que a única maneira de subir é mudar para outras empresas, ele argumentou.
As pessoas estão simplesmente iniciando a conversa no lugar errado, disse Zeltser. As empresas primeiro devem abordar o que ele chama de “lacuna de carreiras em segurança cibernética” antes que a indústria cibernética possa começar a preencher a lacuna de habilidades.
Aprender habilidades de segurança de computadores não é a questão principal, disse ele. Existem vários caminhos para pessoas motivadas adquirirem as habilidades necessárias. O problema são as expectativas de quais habilidades são necessárias.
“Acredito que existem muitas oportunidades para as pessoas adquirirem habilidades de segurança. Isso me leva a considerar que talvez haja algo mais nisso”, disse Zeltser ao TechNewsWorld.
“Talvez tenhamos expectativas irreais de quem estamos procurando.”
Esqueça os candidatos ideais
Talvez a típica posição de unicórnio, em que as empresas desejam um profissional de segurança que possa fazer tudo, seja a culpada, observou ele. É um campo tão especializado que contém muitos subconjuntos especializados e é difícil ser um especialista em tudo dentro da segurança cibernética.
“Simplesmente não estamos suficientemente abertos para pessoas que entram no campo com formações não técnicas incomuns”, refletiu Zeltser.
Ele ofereceu um exemplo de suas funções anteriores na indústria. Os gerentes de contratação com pouca variação desejam que suas contratações façam X, Y e Z. Não ver essas capacidades em um currículo coloca os candidatos a emprego na categoria de lacunas de habilidades.
Qual é a solução? Pegue candidatos cibernéticos com algumas das habilidades e treine-os para o resto.
Zeltser lembrou-se de procurar alguns especialistas em segurança para fornecer suporte ao cliente. A empresa precisava de seguranças iniciantes, mas não conseguia encontrá-los.
O que a empresa acabou fazendo com muito sucesso foi recrutar bartenders com experiência em tecnologia, interessados em computadores e que pudessem configurar seu próprio Wi-Fi. Mas eles só faziam isso em casa, explicou.
“Descobrimos que podíamos treiná-los nas habilidades de segurança corretas no escritório. Mas o que não precisávamos para treiná-los e o que é muito difícil de ensiná-los é como realizar várias tarefas ao mesmo tempo, pensar por conta própria e interagir com humanos”, disse Zeltser. Acontece que os bartenders são muito bons nisso.
ANÚNCIO
Precisa de resultado final positivo
Zeltser encontrou inúmeras opções onde poderia ser mais aberto, e isso se tornou uma necessidade. Ser mais aberto significa mudar sua mentalidade para aceitar pessoas de origens não técnicas e não convencionais ”, ele ofereceu.
“Quero que nós do setor paremos de dizer às pessoas que, se entrarem em campo como profissionais de segurança, devem trabalhar para alcançar o ápice da carreira em segurança cibernética, que é o papel de um CISO. O problema é que não há papéis suficientes ”, disse ele.
A indústria não precisa de tantos executivos de segurança quanto outros tipos de profissionais de segurança, o que resulta em pessoas fadadas ao fracasso, de acordo com Zeltser.
“Estamos dizendo a eles que trabalhem para isso, e é assim que definimos o sucesso. Mas, em vez disso, podemos falar sobre outras maneiras pelas quais as pessoas podem ter sucesso, porque nem todos devem ser executivos, nem todos devem ser gerentes de pessoas”, acrescentou.
A lacuna de habilidades atende à lacuna de segurança
Mesmo com a escassez de trabalhadores treinados em segurança cibernética, muitas organizações estão no caminho certo para proteger e reduzir os riscos cibernéticos para seus negócios. De acordo com Joseph Carson, cientista-chefe de segurança e CISO consultor da Delineao desafio é que ainda existem grandes lacunas de segurança para os invasores abusarem.
“A lacuna de segurança não está apenas aumentando entre os negócios e os invasores, mas também a lacuna de segurança entre os líderes de TI e os executivos de negócios”, disse ele ao TechNewsWorld.
Carson concordou que algumas indústrias estão apresentando melhora. Mas o problema ainda existe.
“Até que resolvamos o desafio de como comunicar a importância da segurança cibernética ao conselho executivo e aos negócios, os líderes de TI continuarão lutando para obter os recursos e o orçamento necessários para fechar a lacuna de segurança”, alertou.
Melhor plano de carreira necessário
As organizações precisam continuar a expandir seu pool de recrutamento, levar em conta o viés que pode existir atualmente no recrutamento cibernético e fornecer treinamento aprofundado por meio de aprendizado, estágio e treinamento no trabalho. Isso ajuda a criar a próxima geração de talentos cibernéticos, disse Dave Gerry, CEO da plataforma de segurança cibernética de crowdsourcing multidão de insetos.
“Ao criar oportunidades de crescimento de carreira e apoiar a missão de ajudar nossos clientes, seus clientes e a comunidade digital mais ampla a se defender contra ataques cibernéticos, os funcionários sentem que têm uma oportunidade de melhorar a si mesmos e à comunidade em geral”, disse ele ao TechNewsWorld.
Gerry acrescentou que, durante anos, fomos levados a acreditar que existe uma lacuna significativa entre o número de vagas abertas e os candidatos qualificados para preencher essas vagas. Embora isso seja parcialmente verdade, não fornece uma visão precisa do estado atual do mercado.
“Os empregadores precisam adotar uma abordagem mais ativa para recrutar de origens não tradicionais, o que, por sua vez, expande significativamente o grupo de candidatos apenas daqueles com diplomas formais para indivíduos que, com o treinamento certo, têm um potencial incrivelmente alto”, ele disse.
Talvez uma alternativa melhor
O recente lançamento da Estratégia Nacional de Cibersegurança trará mais demanda do que oferta. Isso pode desacelerar processos de grande escala, previu Guillaume Ross, vice-CISO da empresa de gerenciamento de ativos cibernéticos Júpiter Um.
Será essencial priorizar e reduzir ao máximo a superfície de ataque. Além disso, as medidas de segurança devem garantir que desenvolvedores, TI e até mesmo o pessoal de gerenciamento de negócios/processos integrem a segurança em sua rotina de trabalho diária.
“Aprimorar as habilidades de segurança de um milhão de desenvolvedores e funcionários de TI teria um impacto muito melhor do que treinar um milhão de novos “pessoais de segurança” do zero”, disse Ross ao TechNewsWorld.
Solução universal em geral
A escassez de habilidades e segurança cibernética não é apenas um problema da indústria dos EUA. Uma enorme escassez de especialistas qualificados em segurança cibernética é extensa em todo o mundo, observou Ravi Pattabhi, vice-presidente de segurança em nuvem da ColorTokensuma empresa autônoma de soluções de segurança cibernética de confiança zero.
Algumas universidades começaram a ensinar aos alunos algumas habilidades básicas de segurança cibernética, como gerenciamento de vulnerabilidades e fortalecimento da segurança dos sistemas. Enquanto isso, a segurança cibernética está passando por uma mudança.
“A indústria está incorporando cada vez mais a segurança cibernética no estágio de design e construindo-a no desenvolvimento de produtos, integração de código e implantação. Isso significa que os desenvolvedores de software provavelmente também precisam de habilidades básicas de segurança cibernética, incluindo a estrutura de ataque Mitre e o uso de ferramentas de teste de penetração”, disse Pattabhi ao TechNewsWorld.
