0
0
Contratar para o cargo de analista de segurança — o cavalo de batalha das operações de segurança — pode ficar ainda mais difícil.
Espera-se que a demanda pela posição cresça, com o Bureau of Labor Statistics dos EUA prevendo que as organizações adicionem dezenas de milhares de posições ao longo da década, com o emprego para analistas de segurança previsto para crescer 33% de 2020 a 2030 – muito mais rápido que a média para todas as ocupações.
Isso torna o papel do analista de segurança entre os 20 empregos que mais crescem no país.
Essas notícias chegam em um momento em que CISOs e outros gerentes de segurança corporativa já relatam desafios para encontrar pessoas para preencher o cargo.
Isso está tornando mais difícil para os CISOs protegerem suas organizações. O Relatório de CISOs de 2022 do fornecedor de segurança SpyCloud descobriu que os CISOs citaram a falta de pessoal qualificado como o principal problema quando perguntados sobre o que inibe sua capacidade de estabelecer defesas eficazes de segurança cibernética. E o relatório Voice of the CISO de 2022 do fornecedor de segurança Proofpoint descobriu que metade dos CISOs pesquisados acreditam que o recente aumento nas transições de funcionários torna a proteção de dados mais desafiadora.
Dados esses números terríveis, os CISOs devem tomar cuidado para não empilhar as probabilidades contra si mesmos com anúncios de emprego que assustam os candidatos. Acha que não é você? Para ter certeza, confira essas bandeiras vermelhas que os líderes de segurança veteranos dizem que dificultam a contratação:
1. Nenhuma descrição das responsabilidades reais
Uma bandeira vermelha identificada pelas fontes se concentra no uso do próprio analista de segurança . É verdade que é um dos títulos/posições mais comuns na profissão de segurança cibernética. Mas fontes dizem que sua prevalência, juntamente com o fato de que o campo de segurança cibernética e os departamentos de segurança cibernética ainda estão evoluindo e amadurecendo, deram ao papel uma qualidade genérica.
“Um analista de segurança pode estar fazendo coisas diferentes de uma empresa para outra”, diz Vincent Nestler, professor associado de Ciências da Informação e Decisão da California State University, San Bernardino e diretor do CSUSB Cybersecurity Center.
Como resultado, há variações nas responsabilidades. Portanto, apenas o uso do título deixa os candidatos se perguntando o que o trabalho realmente envolve.
“No mais básico, o analista deve analisar a infraestrutura da empresa, sua pilha de tecnologia e, com base nessa análise, fazer recomendações. Mas em uma empresa grande, você pode encontrar analistas cujo único trabalho é analisar e em empresas menores eles podem fazer isso, mas também implementar parte ou todas as soluções [de segurança] ”, diz Nick Kolakowski, editor sênior da Dice Insights, parte do o site de carreira em tecnologia Dice.
Como tal, ele e outros aconselham os gerentes de segurança a serem específicos – em suas descrições de cargos, anúncios de empregos reais e nas informações fornecidas durante as entrevistas – sobre o que sua posição de analista de segurança realmente faz no dia-a-dia, para que os candidatos saibam exatamente o que se espera deles em o papel.
2. Requisitos de experiência irreais
A posição de analista de segurança é uma função de início de carreira e geralmente a primeira posição que os trabalhadores assumem ao ingressar na profissão de segurança cibernética, mas as descrições de cargos geralmente exigem anos de experiência ou certificações que exigem anos de experiência para serem conquistadas.
“Ali isso é um desafio para um candidato. Eles vão dizer ‘não sou qualificado’ e não vão se candidatar ao emprego”, diz Tara Wisniewski, vice-presidente executiva de Advocacia, Mercados Globais e Engajamento de Membros do (ISC)², um treinamento e organização de certificação.
Por exemplo, Wisniewski diz que muitas vezes vê anúncios de emprego para esta posição exigirem o CISSP do (ISC)² como uma certificação obrigatória ou preferencial, que exige um mínimo de cinco anos de experiência profissional remunerada cumulativa.
O próprio Guia de gerentes de contratação de segurança cibernética da organização chama a atenção para esse problema, acrescentando que “a descrição irrealista do trabalho de nível básico continua a ser ridicularizada como uma das principais causas dos desafios de pessoal de segurança cibernética das organizações”.
Continua sugerindo que “mais colaboração entre os gerentes de contratação e o RH é a solução”.
3. Superenfatizando a tecnologia, especialmente se for antiga
Os analistas de segurança da informação devem, é claro, entender a tecnologia necessária para fazer o trabalho, mas fontes dizem que as listas de empregos que exigem experiência ou conhecimento com tecnologias ou fornecedores específicos podem ser desanimadoras para candidatos que, de outra forma, seriam ótimas contratações.
Nestler diz que, em vez de perguntar se um candidato tem experiência com um fornecedor específico, é mais produtivo buscar candidatos que entendam como usar uma classe de tecnologia, observando que um profissional qualificado na ferramenta de um fornecedor pode facilmente aprender como usar a ferramenta de outro fornecedor.
“A questão é se eles têm o conhecimento fundamental certo”, acrescenta ele, e não necessariamente um histórico com uma marca específica.
Outros alertam que as descrições de cargos que listam experiência em tecnologias legadas também podem ser uma bandeira vermelha para os candidatos, significando que a organização de segurança está atrasada.
“Se você está olhando para a maior parte da população de empregos, eles querem trabalhar com as melhores e mais recentes coisas”, diz Ben Johnson, CTO e cofundador da empresa de software Obsidian Security.
Alguns candidatos de alto nível ainda podem se inscrever se o CISO estiver anunciando um esforço de transformação para abandonar essa tecnologia antiga, diz Johnson, mas a maioria dos candidatos provavelmente ficará cautelosa.
4. Requisitos de pia de cozinha
Outra grande bandeira vermelha: uma lista incrivelmente longa de habilidades, experiências e realizações educacionais preferidas ou necessárias. Os líderes de segurança citaram isso como um problema repetidas vezes, muitas vezes brincando que as empresas gostam de incluir até a pia da cozinha como um dos itens que desejam ver nos profissionais de segurança.
“Essa é uma das questões subjacentes aqui: expectativas e qualificações irreais. Os gerentes de contratação tendem a colocar uma lista insuperável de requisitos para o trabalho que eles acham necessário. Mas os candidatos vão olhar para isso e dizer: ‘Esse não sou eu’”, diz Jason Rebholz, CISO da Corvus Insurance.
Lucia Milică, CISO residente global da Proofpoint, concorda, dizendo que muitos líderes de segurança listam seu candidato dos sonhos em vez de descrever o que eles realmente precisam de um indivíduo para ter sucesso na função. “Isso vai dissuadir muitos bons candidatos qualificados de se candidatarem”, acrescenta ela.
Milică diz que isso é particularmente problemático para empresas que buscam criar igualdade de gênero em suas fileiras, apontando para pesquisas que mostraram que as mulheres geralmente se candidatam a empregos apenas quando têm todas ou a maioria das qualificações listadas, enquanto os homens o fazem se tiverem cerca de metade.
“Então comece com os itens obrigatórios, esses cinco pontos de bala, em vez de jogar tudo sob o sol”, acrescenta ela.
Jon Check, diretor executivo de soluções de proteção cibernética da Raytheon Intelligence & Space, diz que fica longe de palavras como “deve” e “deve” para impedir que bons candidatos se autoselecionem.
“Alguém realmente tem que ter todas essas coisas? Em vez disso, você precisa transmitir que todos são bem-vindos”, incluindo aqueles que podem não ter o que tradicionalmente é considerado as certificações “certas” ou o pedigree “desejado” ”, diz ele. “E então estabeleça um plano de treinamento para as habilidades que eles não têm.”
5. Exigências de trabalho irreais
Em uma nota semelhante, alguns empregos de analista de segurança da informação parecem precisar de uma extensa lista de habilidades porque a posição em si cobre muito terreno, diz Milică.
Ela diz ter visto trabalhos de analista de segurança que também incluíam responsabilidades por governança, risco e conformidade. O GRC , no entanto, requer um conjunto diferente de habilidades do que uma posição de analista com trabalho suficiente para geralmente manter alguém ocupado em tempo integral e, portanto, deve ser uma função completamente diferente
Como tal, os candidatos muitas vezes se recusam a ver uma extensa lista de responsabilidades em uma descrição do trabalho, acrescenta Milică.
Outros concordam, dizendo que colocar muitas responsabilidades que atravessam diferentes disciplinas na posição de analista indica que os gerentes de segurança atribuíram à função uma carga de trabalho insustentavelmente alta. Eles dizem que isso também indica que os gerentes podem estar fazendo isso porque o próprio departamento tem falta de pessoal, recursos insuficientes, não é valorizado, é mal administrado ou todas essas coisas.
Outra bandeira vermelha que pode indicar esses problemas: qualquer linguagem que soe como trabalhadores deve estar sempre disponível. É verdade que o trabalho pode precisar de todas as mãos no convés durante um incidente e exigir horas de plantão e turnos extras, mas as descrições do trabalho não devem fazer parecer que a segurança está constantemente de plantão – e o departamento também não deve ser estruturado dessa maneira .
“Normalmente, as pessoas de segurança querem estar lá porque querem fazer a diferença, mas não querem trabalhar 24 horas por dia, 7 dias por semana”, diz Johnson.
6. Não há detalhes sobre o que a empresa pode fazer pelo candidato
Outra possível bandeira vermelha: não há detalhes sobre as oportunidades que vêm com o trabalho de analista de segurança, incluindo informações sobre como subir e sair da posição.
“A função de analista de segurança está em constante modo de combate a incêndios e você pode se esgotar. É uma rotina, então você quer saber como pode crescer e avançar como profissional”, diz Rebholz.
Rebholz e outros dizem que é particularmente importante que os gerentes ofereçam treinamento e desenvolvimento profissional às suas equipes de segurança para recrutar e reter talentos. Como tal, os CISOs e sua equipe de liderança devem compartilhar e promover como eles ajudam sua própria equipe a aprender e ter sucesso.
“Pode não ser uma bandeira vermelha se não estiver na descrição do trabalho em si, mas se não estiver sendo mencionado durante as conversas, isso é um problema porque você [como candidato] deseja ver a empresa falando proativamente sobre esses coisas”, diz Rebholz.
FONTE: CSO ONLINE