Uma pesquisa global divulgada pela organização internacional de treinamento e certificações para profissionais de cibersegurança (ISC)² (a International Information System Security Certification Consortium) mostrou que a falta de mão de obra qualificada na área de segurança em 2022 aumentou 26,2% ante o ano anterior. Isso significa que, se em 2021 existia um gap de 2,72 milhões de profissionais, um ano depois passou a ser de 3,4 milhões.
O estudo, intitulado de “Cybersecurity Workforce Study 2022”, realizado com 11.779 responsáveis pela segurança cibernética de diversas empresas pelo planeta, apontou, ainda, que 70% dos entrevistados não possuem funcionários de segurança cibernética suficientes. O levantamento destaca que a escassez de especialistas acende um alerta vermelho porque está colocando as operações das organizações em risco moderado ou extremo de um ataque cibernético.
Para Fabrizio Alves, CEO da VIVA Security, dois fatores explicam esse cenário. Um deles é a transformação digital, acelerada com a pandemia da Covid-19, que trouxe o home office e o regime híbrido de trabalho. Outro diz respeito à necessidade de proteger o ecossistema digital, a partir de novas regulações e requisitos de compliance.
Independente do porte, quando uma empresa está desprotegida, ela pode sofrer inúmeras consequências, desde ataques digitais, roubo de informações sigilosas até vazamentos de dados, além de comprometer o financeiro e a reputação da empresa.
Um dos ataques mais comuns é o ransomware, que causa grandes prejuízos a inúmeras empresas, os exemplos estão todos os dias na mídia.
De um lado temos as empresas buscando melhorar continuamente seus sistemas de segurança, de outro, os hackers criando ataques cada vez mais sofisticados.
Nessa guerra de força, as empresas precisam de profissionais preparados e experientes para se proteger. Mas de que maneira a escassez de talentos no setor de segurança da informação deve ser superada?
Para mitigar o déficit de especialistas à disposição, grandes empresas no Brasil e no mundo, de diversos segmentos de mercado, criaram programas de treinamento e certificação para profissionais que já atuam em outras áreas de TI (Tecnologia da Informação), uma vez que demandam menos tempo que os demais profissionais para serem treinados.
Uma alternativa adotada e muito valorizada no mercado atual é a contratação de empresas terceirizadas para o gerenciamento das atividades de segurança, conhecido como Managed Security Service Provider (MSSP). “Essa é uma opção muito mais atraente do ponto de vista do custo-benefício, já que toda a carga de treinamento e da responsabilidade das entregas fica por conta desses provedores. O próprio turnover de profissionais passa a ser um problema que esses provedores administram”, defende.
No entanto, de acordo com o CEO, os requisitos de ferramentas de segurança são fatores que devem ser levados em consideração na hora de uma corporação decidir entre montar uma equipe de segurança interna ou contratar o serviço por fora. “Os MSSPs já entregam boa parte desse ecossistema de ferramentas, processos e pessoas como um serviço e funcionam também como concierge para aconselhamentos na gestão de segurança”, destaca.
Para Fabrizio, a área de cibersegurança é tão sensível e precisa de profissionais capacitados tanto quanto a medicina. “Há riscos intrínsecos na área de segurança envolvidos na gestão e operações que só podem ser mitigados com muita experiência (e plantões para lidar com os inúmeros casos e suas variações). Então, a área tem uma gama de possibilidades, mas exige maturidade profissional desde para quem atua em atendimentos iniciais até para aqueles que vão se dedicar a explorar vulnerabilidades e criar defesas. Para tudo isso, a experiência prática e os bons orientadores de grupos são fundamentais”, afirma.
O CEO destaca, ainda, que, além de hard skills, existem alguns aspectos comportamentais (soft skills) que são desejáveis para um profissional de segurança da informação evoluir na profissão, os quais ele compara aos da área da saúde.
“A área de defesa cibernética exige força de vontade, estudos contínuos, trabalho em equipe, liderança, resiliência, fluência no idioma inglês e bastante sangue frio para lidar com as intempéries. Os bons médicos são ótimos comunicadores também. Então essa é uma habilidade adicional fundamental, porque quase sempre as situações de crise deixam os ânimos à flor da pele”, sublinha.
Alves destaca, ainda, que a tecnologia cada vez mais acessível torna a segurança da informação mais vulnerável. Além disso, quando uma empresa não tem infraestrutura para o controle de dados, isso repercute de maneira negativa aos clientes e stakeholders.
“Com a conjuntura atual, principalmente com a pandemia e inovações tecnológicas, o perímetro de segurança se moveu para um espaço difuso. Isso exige das empresas profissionais com skills multicloud e de segurança bastante avançados. Caso contrário pode-se perder mercado para a concorrência”, destaca.
