Segurança cibernética se recupera, mas talento ainda está ausente

Views: 481

Deixe-o para uma pandemia global para perturbar indústrias que muitos de nós assumimos ser resistentes. As empresas afortunadas o suficiente para não traficar em bens duros estão percebendo que podem sobreviver (e cortar custos significativos) movendo-se para trabalhadores de trabalho de casa. Essa mudança, com cerca de 62% da força de trabalho trabalhando agora em casa, demonstra a necessidade crescente de contratação de pessoal de cibersegurança necessário para gerenciar esses novos modelos de negócios. No início, isso parece ótimo para a resiliência do setor de cibersegurança — mas isso significa que a já existente escassez de habilidades para os profissionais de segurança está prestes a piorar muito.

O resultado é que as linhas entre o que tem sido considerado papéis “puros” de cibersegurança e, bem, todo o resto estão ficando embaçados. Uma pesquisa recente (ISC)² mostra que muitos profissionais de segurança estão sendo aproveitados para suportar os requisitos gerais de TI para acomodar diferentes necessidades de trabalho em casa em meio à pandemia. Isso faz sentido. As empresas precisam ter a infraestrutura para apoiar esses novos trabalhadores remotos que fazem login a partir de seus ISPs domésticos, ao mesmo tempo em que garantem a segurança de dados confidenciais e propriedade intelectual.

Entre na Força de Trabalho Cibernética

De acordo com um estudo da Ponemon, 88% dos funcionários disseram que seus trabalhos exigem que eles acessem e usem informações proprietárias, como dados de clientes, listas de contatos, registros de funcionários, documentos comerciais confidenciais ou outros dados confidenciais. Com base nessa projeção, a força de trabalho cibernética nos Estados Unidos excede 75 milhões de pessoas, e esse número poderia ser significativamente maior se incluísse empresas com menos de 100 funcionários.

Por exemplo, a caça a ameaças é um papel cibernético crítico em muitas empresas. Mas o pessoal necessário é relativamente pequeno comparado com as outras funções de defesa e segurança na organização. E ainda menor em relação aos papéis de TI, rede e nuvem.ANÚNCIO. CLIQUE PARA VER O SOM.

As maiores necessidades de papel nas equipes de segurança não são, de fato, o que tradicionalmente classificaríamos como funções de segurança cibernética — são funções cibernéticas. Um funcionário habilitado para cibersegurança deve ter uma compreensão acima da média da segurança cibernética, mas não precisa da amplitude e profundidade de conhecimento que um profissional dedicado de cibersegurança tem.

Tecnologia da Informação 

As funções cibernéticas mais comuns estão em TI e são relevantes para organizações de todos os tamanhos, não apenas limitadas a grandes empresas com equipes maduras de cibersegurança.

• Arquitetura de rede: Projetar e implantar uma rede de computadores é uma função tradicional de TI que requer cada vez mais uma compreensão sólida da segurança para garantir que os sistemas corporativos sejam configurados com segurança e reduzam o risco de ataques externos.
  
• Arquitetura e implantação em nuvem: A mudança para a nuvem criou um papel semelhante para redes baseadas em nuvem, seu design e sua segurança.
   
• Gerenciamento de identidade e acesso: Soluções que verifiquem e autentiquem usuários em uma rede devem ser implantadas de forma que ainda cumpra os requisitos de segurança organizacional e minimize a perda de dados.

Desenvolvimento de software 

O desenvolvimento de segurança e o DevSecOps reinam há alguns anos. Se você acredita que os desenvolvedores precisam adquirir experiência de segurança ou os profissionais de segurança precisam aprender a escrever código, a maioria das organizações fez um esforço direto para infundir as práticas recomendadas de segurança cibernética em cada etapa do ciclo de vida de desenvolvimento de software (SDLC), em vez de depois que o produto acabado é lançado..

• Desenvolvedores de software de aplicativos: Aplicativos de computador e celular são usados por consumidores corporativos e individuais para todos os tipos de coisas (carros, videogames, compras online, mídias sociais, você escolhe). Isso não só significa que um desenvolvedor de aplicativos precisa entender as necessidades do usuário para projetar e escrever o código para criar uma solução, mas também fazê-lo com segurança para minimizar o risco de dados ou código dentro do aplicativo de serem roubados ou sequestrados.
• Desenvolvedores de software de sistemas: O software de nível de sistemas operacionais desses profissionais, mais voltado para a concepção de soluções corporativas (médicas, industriais, militares, empresariais, etc.). O foco da indústria de seu trabalho torna imperativo que esses sistemas sejam projetados com segurança para minimizar vulnerabilidades.

Governança, Risco e Conformidade (GRC) 

Os membros da equipe do GRC também são considerados cibernéticos com base em sua necessidade de entender todas as áreas da organização que possam apresentar riscos significativos. Diante disso, sua compreensão do risco cibernético precisa ir muito além do treinamento tradicional de conscientização.

• Gerente de risco: Um analista ou gerente de risco tradicional examina uma série de atividades ou iniciativas e analisa o risco envolvido nessas decisões associadas. Dado que quase todas as ações e atividades nos negócios de hoje ocorrem em uma rede ou sistema de tecnologia, o conhecimento da cibersegurança é imperativo para aplicá-la adequadamente ao processo de tomada de decisão.
  
• Analistas do GRC: Políticas, processos e controles são partes necessárias de todos os negócios. A segurança cibernética não é exceção, e há uma demanda crescente de pessoas com antecedentes regulatórios e de negócios para aplicar esse conhecimento no desenvolvimento de programas de GRC de segurança.
  
• Analistas de privacidade: Como a maioria das organizações armazena dados em redes de computadores e bancos de dados, um analista de privacidade precisa entender esses sistemas e aplicativos, além de processos de negócios e regulamentos de privacidade de indústrias específicas.

O CTI não só reduz o risco de violações caras de segurança, mas também ajuda as organizações a alinhar os gastos de segurança com suas necessidades. Aqui está como.Trazida a você por Verodin, Inc.

Profissionais de Saúde e Profissionais de Dispositivos Médicos 

As organizações de saúde empregam um grande número de funcionários que gerenciam ou têm acesso a dados confidenciais e dispositivos médicos no dia-a-dia. Em comparação com outros setores, como serviços financeiros, as organizações de saúde não criam posições discretas de cibersegurança e são mais propensas a criar funções cibernéticas.

• Administrador/analistas de segurança de dados: Garantir que as informações e, em particular, as informações de saúde protegidas, seja adequadamente tratada e armazenada é uma prioridade para as organizações de saúde. Prevenir violações de segurança de dados, especialmente aquelas protegidas pela HIPAA, GDPR e um número crescente de outras regulamentações, é uma preocupação primária dos negócios para o setor de saúde.
  
• Engenheiros clínicos: À medida que os dispositivos médicos se tornam cada vez mais conectados (até 2025, estima-se que 68% estarão conectados à Internet), há uma necessidade ainda maior de segurança dada a sensibilidade dos dados de saúde. E isso não é um papel de segurança tradicional – que muitas vezes são os engenheiros que constroem os dispositivos, embora os fabricantes de dispositivos médicos tenham um papel crítico quando se trata de segurança cibernética também.

É sobre as habilidades, não os papéis 

Embora essas linhas entre segurança e outros trabalhos estejam embaçadas, há uma mudança secundária no jogo (também graças ao COVID-19): Nosso modelo tradicional de educação foi virado de cabeça. Programas de graduação são caros e não são graduados prontos para o trabalho. O mercado, tanto estudantes quanto empregadores, estão agora considerando formas mais rápidas, econômicas e eficientes de alinhar talentos às necessidades de trabalho. E isso não é específico para o setor privado. A Casa Branca emitiu uma ordem executiva em 26 de junho que orienta o governo federal a des enfatizar os requisitos de graduação e, em vez disso, focar em habilidade, competência e conhecimento.

As empresas também precisam investir em suas estratégias de mão-de-obra e treinamento em vez de depender do mercado externo. É importante criar, adaptar e entregar soluções de habilidade para os empregadores com base em seus requisitos e funções únicas da força de trabalho. Isso significa a necessidade de uma educação modular e focada em habilidades que permita aos funcionários adquirir novos conhecimentos em períodos mais curtos de tempo sem sacrificar a produtividade no local de trabalho. Quando um empregador define os papéis em suas próprias empresas de organização pode então ser mais discriminante na seleção e implantação de estratégias de upskilling.

Uma abordagem baseada em habilidades fornece uma maneira eficiente de upskill e preparar-se para os trabalhos cibernéticos do futuro (e hoje) sem deixar posições não preenchidas ou esperar por um pipeline de candidatos através de programas de graduação demorados. As habilidades são transferíveis de posição em posição e são cumulativas, o que significa que a força de trabalho do futuro será mais propensa a ter conhecimento e habilidades de segurança cibernética, apesar de não estar em uma posição de segurança cibernética.

FONTE: DARK READING