0
0
Estou na indústria de tecnologia há 25 anos, quase tudo em segurança cibernética. Ocupei cargos de liderança em segurança por mais de uma década, incluindo os 18 meses como chefe de segurança de uma plataforma de API com mais de 20 milhões de usuários.
Eu tive uma carreira de sucesso em segurança da informação, e fiz isso sem um diploma universitário.
Só não estou convencido do valor de um diploma para trabalhos de segurança cibernética. Para ter certeza, alguns que frequentam a escola antes de embarcar em carreiras de segurança cibernética podem se beneficiar da educação e do treinamento. Mas muitos outros simplesmente se vêem sobrecarregados com dívidas estudantis, apenas para aprender material que geralmente está desatualizado ou pode até não ser relevante para o trabalho.
No final das contas, com paixão suficiente, inteligência bruta e trabalho árduo, qualquer um pode ser um profissional de segurança cibernética bem-sucedido, seja com diploma ou sem formação em TI e ciência da computação.
A contratação de segurança cibernética historicamente se concentrou em um grupo restrito de candidatos – pessoas com as credenciais acadêmicas usuais, experiência de trabalho, certificações de segurança e conjuntos de habilidades técnicas específicas de segurança. Mas, à medida que a demanda por profissionais de segurança cibernética continua aumentando, fica claro que o setor deve ser mais criativo na busca por talentos.
A questão na mente de cada CISO é como. Aqui estão quatro ideias.
Requerimentos de graduação universitária
Exigir pelo menos um diploma de bacharel para um trabalho de segurança cibernética (ou qualquer trabalho na indústria de tecnologia) é um pensamento obsoleto . Habilidades e traços de personalidade como desejo, curiosidade, amor pelo aprendizado, calma sob pressão e ambição são o que realmente importa.
Volto à minha própria experiência. Experimentei a faculdade comunitária, porque era o que se esperava, mas nunca fui uma boa aluna porque não estava interessada na matéria.
Minha faculdade acabou sendo meu primeiro emprego em informática, onde passei um tempo no help desk, como engenheiro de desktop, como engenheiro de sistemas e, eventualmente, saí como engenheiro de rede. O que aprendi durante meus quatro anos lá me deu o conhecimento básico para passar para o próximo cargo/nível.
Eu adorava toda a tecnologia e queria aprender o máximo que pudesse, mas não conseguia decidir se queria estar no lado da rede ou dos sistemas. Acabei na segurança porque era uma área que me permitia me envolver em todos os aspectos da tecnologia.
Agora, anos depois, lidero uma equipe combinada de segurança e operações de TI com mais de 30 membros, com foco na criação de um programa de segurança moderno que atenda às necessidades de um negócio em rápido crescimento.
Procure Talentos Fora da Segurança
Em vez de perseguir unicórnios , as empresas devem explorar não apenas outras áreas do departamento de TI, mas partes completamente diferentes do negócio para pessoas com habilidades adjacentes que possam torná-las grandes profissionais de segurança cibernética.
Alguém com experiência de bibliotecário, por exemplo, poderia trazer a forte orientação detalhada necessária para o trabalho de conformidade de segurança. Um ex-militar pode possuir a graça sob fogo necessária para o trabalho agitado no centro de operações de segurança (SOC).
Observar com mais atenção os candidatos que não se encaixam no molde típico de especialista em segurança cibernética exige um movimento mais agressivo em direção à qualificação e requalificação dos funcionários existentes. E além de seu benefício como fonte de talento, olhar para dentro e não para fora em busca de ajuda também pode fornecer proteção contra a ameaça de recessão e possíveis congelamentos de contratações. O que leva ao nosso terceiro ponto…
Treine como um louco
Se alguém tem as habilidades naturais para ter sucesso em segurança cibernética, mas nunca viu um SOC, quem se importa? Habilidades podem ser ensinadas. É por isso que existem sessões de treinamento de segurança cibernética e campos de treinamento.
As empresas devem investir em programas de treinamento formalizados para indivíduos com experiência em segurança não tradicional. Eles devem ser treinados antecipadamente e continuamente fornecidos com oportunidades de treinamento adicionais, assim como o resto de sua equipe.
Espalhe a riqueza
A beleza do DevOps e do DevSecOps é que eles transferem algumas responsabilidades de segurança das equipes de segurança dedicadas nas operações para o lado do desenvolvimento, com a ideia de que a segurança deve ser incorporada em todo o processo de desenvolvimento de aplicativos.
Isso oferece uma nova oportunidade para que mais pessoas em toda a organização assumam funções como defensores da segurança, embaixadores da segurança, defensores da segurança — escolha seu termo. E diminui a pressão sobre as empresas para contratar para cargos de equipe de segurança e aumenta o incentivo para ser criativo na busca interna desses campeões.
Seguindo esses quatro passos, as empresas podem encontrar pessoas que tenham aptidão e paixão pela segurança e que possam se tornar profissionais de primeira linha com um pouco de treinamento e orientação.
A indústria tem feito a mesma coisa repetidamente – caçando os suspeitos de sempre – e é hora de novas abordagens.
FONTE: DARK READING