OPINIÃO
Desafios e soluções para CISOs com a falta de talentos em segurança cibernética
19 de Setembro de 2024, 06h25
Um dos maiores problemas que os CISOs (Chief Information Security Officer ou Diretor de Segurança da Informação, em tradução livre) enfrentam é a escassez de profissionais qualificados em cibersegurança. A falta de talentos especializados, combinada com o elevado custo de implementação e treinamento de plataformas de segurança, tem gerado preocupações profundas entre os líderes de segurança.
De acordo com um levantamento da Fortinet, o Brasil necessita de aproximadamente 750 mil especialistas em cibersegurança, enquanto a lacuna global atinge a marca alarmante de 4 milhões de vagas abertas. Este cenário evidencia a importância crítica da cibersegurança para o futuro das empresas. Em 2023, 87% das empresas experimentaram algum tipo de violação de sistemas. A falta de recursos humanos para lidar com esses problemas foi a causa disso. Mais de 50% das empresas afetadas por esses ataques cibernéticos tiveram perdas superiores a US$ 1 milhão como resultado de ações maliciosas.
Entre as principais dificuldades enfrentadas pelos CISOs estão a falta de habilidades no campo da cibersegurança, baixos recursos para a contratação e a gestão eficaz de ferramentas de segurança. Ao contrário das tradicionais equipes de TI, que podem se especializar em sistemas específicos, as funções cibernéticas exigem um entendimento abrangente de redes, endpoints, aplicativos e uma série de outras competências, tornando-as difíceis de preencher.
Além disso, a evolução tecnológica, que vai desde a Internet e os dispositivos móveis até a ascensão recente da inteligência artificial (IA), trouxe novos desafios de segurança. Desta forma, esses profissionais enfrentam exigências extensas e cada vez mais complexas, que incluem conhecimento profundo e habilidades técnicas e interpessoais. Com o aumento das regulamentações de segurança de dados, como a Lei Geral de Proteção de Dados (LGPD), os profissionais de cibersegurança precisam ter um entendimento profundo dessas leis e de como aplicá-las efetivamente nas organizações.
Essa escassez é ainda mais agravada pelos desafios associados às ferramentas de segurança como Detecção e Resposta de Endpoint (EDR/XDR), que enfrenta limitações na correlação de telemetria de rede e nuvem e altos custos de implementação. E o Gerenciamento de Informações e Eventos de Segurança (SIEM) e Orquestração, Automação e Resposta de Segurança (SOAR) que exige habilidades especializadas para implantação e treinamentos caros.
Para suprir esta demanda, muitas empresas estão flexibilizando seus critérios de contratação e incentivando a formação contínua. Embora 71% dos líderes ainda exijam que os candidatos tenham uma graduação de quatro anos, mais de 90% dos indivíduos preferem contratar profissionais com certificação em cibersegurança. Isso mostra o valor cada vez maior das certificações como uma validação de habilidades e conhecimentos atualizados no campo. As empresas estão se esforçando para diversificar suas contratações, com 83% dos negócios definindo metas de diversidade para os próximos anos.
Enquanto as organizações não entenderem a real necessidade de se ter a quantidade certa de profissionais especializados, o número de profissionais atuantes na área e os investimentos em qualificação estarão sempre em baixa.
Essa falta de profissionais capacitados resulta em sobrecarga para as equipes existentes, que frequentemente enfrentam condições de trabalho equivalentes a dois empregos para acompanhar as ameaças emergentes. Pesquisas indicam que muitos profissionais da área estão migrando para outras especialidades, refletindo a insatisfação com as condições de trabalho.
A solução para essa crise exige uma abordagem multifacetada, incluindo a flexibilização dos critérios de contratação, o incentivo à formação contínua e a criação de ambientes de trabalho que promovam o desenvolvimento profissional. Somente assim será possível mitigar a escassez de talentos e garantir uma defesa cibernética robusta para o futuro das organizações.
A cibersegurança é um campo em constante evolução, com novas ameaças e tecnologias surgindo regularmente. Portanto, é fundamental incentivar a formação contínua. Isso pode ser feito por meio de programas de treinamento interno, subsídios para cursos externos, e parcerias com instituições educacionais para fornecer acesso a treinamentos especializados. Investir no desenvolvimento contínuo dos funcionários ajuda a manter suas habilidades atualizadas e a prepará-los para os desafios futuros.
Além disso, a construção de uma base sólida de conhecimento para esses profissionais é facilitada por ambientes que promovem o aprendizado contínuo. Cultivar um ambiente de trabalho que valorize e promova o crescimento profissional é essencial para atrair e reter talentos. Isso pode incluir a oferta de mentorias, oportunidades de crescimento na carreira, e um suporte ativo para a obtenção de certificações e qualificações adicionais.
* Paulo Baldin é CISO & CTO da Flipside, responsável pelo Mind The Sec