0
0
Não há profissionais certificados de cibersegurança suficientes para andar por aí e provavelmente nunca haverá o suficiente. Então, como você preenche sua equipe de segurança cibernética? Executivos e gerentes de contratação compartilham suas principais dicas sobre como reconhecer candidatos sólidos.
Há um reconhecimento geral de que não há profissionais treinados em segurança cibernética suficientes para dar a volta. Conversas em conferências de segurança cibernética são muitas vezes centradas em onde encontrar os melhores profissionais, quanto pagá-los e qual seqüência de letras por trás de seus nomes significa mais.
Mesmo as organizações que fornecem certificação de segurança cibernética admitem que não há profissionais certificados suficientes para atender à necessidade — e que nunca haverá o suficiente. Então, o que um gerente é encarregado de encontrar talentos de segurança cibernética para fazer?
Muitos executivos e gerentes de contratação dizem que a chave para encontrar talentos sólidos é a flexibilidade na busca. “O processo é muito parecido com a elaboração de atletas profissionais”, diz Mike Jordan, vice-presidente de pesquisa da Shared Assessments. Quando você não consegue encontrar um jogador de posição que você precisa, você procura indivíduos que têm os conjuntos de habilidades relevantes para a posição. Encontre aqueles que são inteligentes e trabalhadores e eles devem ser capazes de preencher a posição bem.”
Heather Paunet, vice-presidente de gestão de produtos da Untangle, diz que é importante acertar. “A busca de candidatos para preencher posições de cibersegurança além de certificações e anos de experiência pode parecer contraintuitiva, mas existem muitos outros interesses e habilidades lógicas de negócios que são tão importantes de considerar”, explica.
Perguntamos aos executivos o que eles procurariam no preenchimento de cargos de segurança cibernética. O que eles forneceram foi menos uma lista de habilidades específicas do que uma indicação das amplas habilidades, experiências e traços de personalidade que fazem de alguém um grande candidato para a equipe de segurança cibernética. O que eles não forneceram foi uma maneira simples de procurar aqueles em um currículo – mas ninguém disse que resolver o problema de contratação seria fácil.
É claro que nem todos concordam que há, de fato, uma escassez de profissionais de cibersegurança.
“A premissa de que estamos sem profissionais da Cybersec é a BS espalhada por empresas com interesse na importação de trabalhadores hb-1”, diz Colin Bastable, CEO da Lucy Security. “Não há escassez de profissionais cibernéticos – apenas uma escassez de bons, e isso é uma coisa boa. O mercado decide. A certificação é um golpe — só nos dá uma carga de pessoas credenciadas sem talento que tornam o mundo menos seguro. Você quer contratar alguém que entenda como o inimigo pensa, mas sem a bagagem moral de ser um cibercriminoso. A maioria dos empregadores com um diploma de quatro anos contratará alguém com um diploma de quatro anos, mas zero talento.” Tudo que você tem que fazer é encontrar aquele pensador esquivo.
Procure por habilidades relacionadas
Embora ele possua uma certificação de segurança cibernética, o country manager da Tripwire para o Canadá, Irfahn Khimji, CISSP, não acha que certs são uma “obrigação” para novos membros da equipe de segurança. “A maior coisa que eu procurava são habilidades transferíveis. Um bom candidato é alguém que pode pensar fora da caixa, está ansioso para aprender e tem um desejo de ser bem sucedido”, diz.
Algumas das habilidades relacionadas que os executivos procuram podem ser bastante específicas. “Uma das coisas que descobrimos ser bons indicadores para a candidatura em funções de cibersegurança são as proficiências em linguagens de scripts como PowerShell e Python”, diz Adam Laub, CMO da Stealthbits Technologies. “O scriptproficiente também indica uma vontade de sujar as mãos , sem dúvida, um traço desejável para um profissional de cibersegurança.”
E o campo das habilidades paralelas não é apenas o lugar para olhar como uma posição de recuo. “Acreditamos que o primeiro lugar a olhar é para papéis com conjuntos de habilidades paralelas. Os administradores de help desk, desktop e servidor e desenvolvedores de aplicativos são ótimos grupos de recrutamento”, diz Joe Moles, vice-presidente de operações de segurança do cliente da Red Canary. Ele fornece um exemplo concreto disso: “Indivíduos que são hábeis em solucionar problemas de rede são tipicamente muito bons em investigar anomalias de rede, o que se traduz em uma grande base para um analista de segurança de rede”, diz ele.
Você quer aprendizes rápidos
Para Christoph Hebeisen, chefe de inteligência de ameaças da Lookout, a falta de certificação e programas formais de treinamento podem ser um trunfo. “Candidatos que ingressaram e dominaram um campo sem formação formal preparando-os diretamente para o trabalho exato que fizeram, ou que conseguiram aplicar conhecimentos relacionados e preencher as lacunas em si, tendem a ter a disciplina, persistência e inteligência necessário para ter sucesso”, diz ele.
A capacidade de aprender rapidamente é uma qualidade que o campo de cibersegurança exige por sua própria natureza, diz Claire Ginnelly, diretora de recursos humanos do Fórum de Segurança da Informação. “Eu procuraria um ‘aprendiz’ apaixonado que tenha vontade de melhorar suas habilidades à medida que a indústria cresce e a cibertecnologia amadurece. Quero um funcionário pronto para reaprender, reeducar e fazer novas perguntas”, explica.
Para Lamar Bailey, diretor sênior de pesquisa de segurança da Tripwire, a questão se resume à rapidez com que um candidato pode escanear uma nova situação e tomar decisões. “Muitos dos melhores funcionários que contratei não eram profissionais de segurança. Todos eles vieram de trabalhos detalhados, contabilidade, medicina e ensino, e tinham as habilidades necessárias para se comunicar, aprender rapidamente e se adaptar. As certificações não eram necessárias, e descobri que candidatos sem eles tendem a ter melhor desempenho ao aprender no mundo real e não a partir de um teste de certificação.”
Embora tentar julgar alguém seja um estudo rápido pode ser desafiador, os executivos dizem que definitivamente vale a pena fazer o esforço. “Estamos procurando alunos e membros da equipe”, diz Bill Santos, presidente do Cerberus Sentinel. “Com o ritmo de mudança na segurança cibernética, os melhores candidatos estão comprometidos com o aprendizado contínuo e se juntando a outros na resolução de problemas desafiadores. Descobrimos que essa mentalidade cultural é o fator mais significativo em seu sucesso ou fracasso.”
Pergunte sobre seu tempo livre
A maioria dos gerentes de contratação estão acostumados a fazer perguntas sobre a experiência de trabalho em uma entrevista, mas alguns executivos dizem que o melhor conjunto de perguntas vai além dos limites da jornada de trabalho. “Como a segurança é uma carreira de estilo de vida – não algo que você bate de nove a cinco – o maior indicador para mim é como um candidato gasta seu tempo discricionário”, diz Tim Wade, diretor técnico da equipe do CTO na Vectra. “Isso me diz como eles estão investidos: Como eles estão envolvidos na comunidade de segurança? Que projetos de segurança lhes interessam? Que contribuições eles fizeram? Como é o laboratório deles? Como eles se manterem atualizados com eventos de segurança- revistas, livros, podcasts? Qual foi o mais recente tópico de segurança que repercutiu com eles, e o que devemos, como comunidade, fazer sobre isso?”
Para jordan da Avaliação Compartilhada, a vontade de aprender além do horário padrão de trabalho é fundamental. “Sempre busquei curiosidade e aprendizado ao longo da vida durante o processo de entrevista”, diz ele. “Pergunte como é o laboratório deles em casa ou onde seus aparelhos favoritos poderiam fazer melhor. A segurança cibernética está em constante evolução, e alguém que não está confortável perpetuamente e proativamente aprender muitas vezes vai ficar para trás com o tempo. Não é um substituto para habilidades técnicas fortes, mas a curiosidade é um aprimoramento.”
Para wade vectra, o que um candidato faz em seu tempo livre é mais do que conhecimento – é sobre temperamento profissional. “Do que você vai tirar quando são 3 da manhã e o mundo está em chamas? Um candidato que me mostra que eles já estão pessoalmente investidos com seu tempo discricionário é aquele que quando as coisas estão difíceis, estou mais confiante em dizer: ‘Jogo em’ do que ‘Fim de jogo'”, diz ele.
Assuntos de Comunicação
A era do profissional de cibersegurança do lobo solitário, escaneando o horizonte em busca de perigos e os escolhendo à medida que eles vêm à vista, acabou há muito tempo (se, de fato, alguma vez existiu.) A capacidade de se comunicar e trabalhar com outros membros da equipe (e o resto da organização) pode ser fundamental para um profissional de segurança cibernética que será realmente útil para a organização.
“Um entusiasmo por diferentes ambientes de software são grandes habilidades adicionais a serem encontradas, mas ser capaz de comunicar informações sobre vulnerabilidades de forma detalhada, através de relatórios e análises, ou em materiais de treinamento para uma população mais ampla de funcionários são inestimáveis”, diz Paunet da Untangle.
Para alguns, a comunicação faz parte de um pacote maior de habilidades desejáveis em um profissional de segurança cibernética. “Ser um comunicador eficaz é sempre importante para poder colaborar e trabalhar bem com os outros. Cada vez mais, veremos um foco na contratação de pessoas com soft skills, alta inteligência emocional, comunicação e habilidades de negociação”, diz Ginnelly, do Fórum de Segurança da Informação.
Flexibilidade é a chave
Uma palavra que ninguém usaria para descrever segurança cibernética é “estática”. “Habilidades inovadoras de resolução de problemas são uma força fundamental para ser capaz de navegar através de tarefas diárias de segurança”, explica Ginnelly. “Da mesma forma, ser capaz de priorizar o trabalho e lidar com o estresse, a fim de acompanhar as necessidades de segurança das novas iniciativas de TI.”
Às vezes, essa flexibilidade pode ser demonstrada em posições anteriores. “Com a complexidade dos sistemas em uso, você realmente precisa ser bom em saber como é quando os sistemas estão funcionando direito antes que você possa descobrir o que poderia dar errado. Por essa razão, meu conselho para contratar gerentes é encontrar pessoas inteligentes com boa experiência administrativa na área que você precisa proteger — networking, desenvolvimento de aplicativos, servidores, quaisquer sistemas que detêm as chaves do seu negócio. Se eles não têm muita experiência em segurança, mas são fortes na tecnologia subjacente, tudo bem. A parte de segurança virá com o tempo”, diz Jordan, da Shared Assessments.
Largo sobre as profundezas
Embora existam posições e organizações que buscam conhecimento profundo e altamente especializado em quase todas as posições, os executivos muitas vezes enfatizam a importância de uma ampla experiência técnica sobre a expertise em pontos quando procuram novos membros da equipe. Roger Grimes, analista de defesa baseado em dados da KnowBe4, diz que a ampla experiência é fundamental para o contexto de segurança cibernética. “[Eles precisam] entender que a segurança não é a única coisa que importa. O negócio precisa funcionar, operar e inovar. E isso muitas vezes significa que você não pode simplesmente considerar a segurança do computador como a única consideração”, explica. “Eles têm que entender que a segurança do computador é apenas uma peça do quebra-cabeça … uma peça importante do quebra-cabeça, mas apenas uma das muitas considerações que vão para uma determinada decisão de negócio.”
Santos, de Cerberus Sentinel, ecoa os pensamentos de Grimes. “Buscamos profissionais de cibersegurança que tenham ampla experiência prática em um amplo conjunto de disciplinas — networking, roteamento, administração de sistemas, etc.”, diz ele. “Essa experiência proporciona uma visão mais completa dos problemas que eles inevitavelmente serão solicitados a resolver, permitindo uma visão mais holística.”
Laub, da Stealthbits, diz ter visto a importância do amplo conhecimento na prática. “Algumas das coisas que descobrimos como bons indicadores para candidatura em funções de cibersegurança são proficiências em scripts como PowerShell e Python, bem como experiência em funções de tecnologia mais amplas e gerais, como suporte de TI e serviços de usuário final”, diz ele. “Essas habilidades e experiências desempenham muito bem os papéis de cibersegurança, pois exigem uma compreensão da interconexão entre a miríade de tecnologias dentro de uma empresa, bem como como elas funcionam.”
Para a Hebeisen da Lookout, uma ampla experiência pode aparecer como capacidade de resolução de problemas. “Eu costumo procurar experiência prévia em engenharia reversa e desenvolvimento de exploração, como em um ambiente de teste de caneta, bem como conhecimento de linguagens de baixo nível – montagem e C, especialmente no nível do kernel do sistema operacional – e experiência em software desenvolvimento”, diz ele. “Além desse conjunto de habilidades técnicas, eu olho para candidatos que demonstram excelentes habilidades de pesquisa – coleta, combinação e senso de informação coletadas de uma variedade de fontes, incluindo pesquisa original, chegando ao fundo do problemas difíceis, e não desistir ao encontrar desafios aparentemente intransponíveis.
Ele acrescenta que a amplitude deve se estender ao temperamento, bem como ao conhecimento. “Os pesquisadores geralmente encontram códigos deliberadamente complicados ou ofuscados — malware que tenta se esconder da descoberta apenas ativando funcionalidades maliciosas em uma determinada geografia ou em certos tipos de dispositivos”, diz Hebeisen. “Para pesquisar com sucesso esse código malicioso, um pesquisador não deve ser assustado por problemas aparentemente intransponíveis e ter um alto nível de criatividade, além das habilidades técnicas mais obviamente necessárias.”
Tudo o que eles precisam é de amor
Segurança cibernética não é fácil. É por isso que, para alguns executivos, precisa ser mais do que um simples interesse de carreira para um candidato de sucesso. Grimes, do KnowBe4, coloca de forma sucinta: “A coisa número 1 que eu procurava é o amor pela segurança do computador e dirigir para aprender o máximo que puder. Se eu ver que eles têm isso, eu posso ensinar o resto. Você não pode ensinar interesse natural em um assunto. Ou você tem ou não. E se eu encontrar alguém que é tão louco pela segurança do computador como eu e o resto da minha equipe, eu tenho um vencedor. Essa é a pessoa que eu quero contratar.
O amor pelo sujeito pode levar os indivíduos ao tipo de comportamento que Grimes diz que precisa ver de um membro da equipe. “Eu quero alguém que eu contrate para pensar fora da caixa. Metade das coisas que te dizem na indústria de segurança de computadores é simplesmente errado… é dogma sem nenhuma evidência”, explica. “Quero que minha equipe de segurança pense por si mesma, questionando dogmas e usando dados reais para ajudar a conduzir as decisões certas. Sentimentos intestinais são ótimos, mas faça backup com dados, então sabemos que estamos com certeza tomando a decisão certa. Você me dá tudo isso e eu vou mover montanhas para pagar de acordo para obter essa pessoa na minha equipe.
Laub, da Stealthbits, reconhece que o “amor” pode ser difícil de medir, mas que pode se manifestar de maneiras tangíveis. “A maior incógnita para quase qualquer novo contratado – independentemente do papel – é sempre sua vontade de aprender e sua capacidade de auto-motivação”, diz ele. “Se você pode conseguir um candidato que tenha uma base técnica sólida e um desejo de aplicar suas habilidades de maneiras que possam ajudar uma organização a se defender das ameaças iminentes que enfrenta, você provavelmente tem as características de um profissional de cibersegurança bem-sucedido.”
FONTE: DARK READING