A demanda por habilidades de segurança cibernética tem aumentado por um tempo considerável, mas, em muitos casos, a oferta não acompanhou a demanda. Com muitos gerentes de segurança buscando uma solução rápida para seus problemas, a escassez de profissionais de TI qualificados em um momento de alta demanda colocou muitos líderes em uma situação difícil. Seja qual for a motivação, é claro que o tema é intrigante e, com a crescente importância do CISO em muitas organizações, a questão certamente fará parte das discussões com a alta administração.
No último podcast Thales Security Sessions , conversei com Thom Langford, CISO da DXC Technology , que lançou algumas luzes interessantes sobre a questão, além de oferecer algumas respostas interessantes.
Thom começou com a declaração enfática de que ele é “resolutamente contra essa conversa de haver uma lacuna de habilidades”. Thom vê o problema mais como uma “lacuna de atitude” quando se trata de contratação e recrutamento. Sua abordagem usa a filosofia usada nas forças armadas, segundo a qual um indivíduo não treinado é colocado em posições com base na aptidão. Se as corporações olhassem internamente, poderiam encontrar pessoas que demonstrassem propensão à segurança, e essas pessoas poderiam ser treinadas para fazer parte da força de trabalho de segurança.
Nesse ponto, concordo com Tom. Na Thales, por exemplo, buscamos pessoas com ampla tecnologia, além de habilidades de comunicação como parte dos critérios de contratação. A segurança é um campo tão amplo, por isso é importante cultivar as pessoas certas dentro da organização e adequar o treinamento ao que é necessário para o negócio.
Thom e eu temos uma visão ampla do problema. Em vez de culpar todos os outros, grande parte do problema se origina de gerentes de tecnologia que lançam descrições gerais de cargos na equipe de Recursos Humanos (RH), esperando um ajuste perfeito. Uma solução é envolver-se melhor com o processo de RH e, além disso, também é benéfico envolver-se fora das organizações para incentivar pessoas com origens divergentes a se interessarem por segurança.
É possível que a profissão de segurança precise de uma marca melhor? Algumas pessoas evitam qualquer coisa em tecnologia porque a impressão é que requer habilidades técnicas especializadas, mas existem outros trabalhos, como gerenciamento de projetos e experiência em comunicação.
O que falta são pessoas que se adaptem às mudanças, já que o campo da tecnologia é muito dinâmico. Além disso, são necessárias pessoas que “entendam o contexto da segurança geral da organização, porque a segurança tem muitos aspectos”. No entanto, o conhecimento da tecnologia também é necessário para funcionar de forma eficaz na profissão. Os aspectos fundamentais são orientados pela tecnologia e uma pessoa que não entende os conceitos sobre dados ou gerenciamento de identidade pode não estar bem equipada para entender completamente alguns dos requisitos e regulamentos de auditoria, privacidade e certificação.
Thom não concordava inteiramente com a ideia de que o conhecimento tecnológico é necessário para ocupar esses cargos. Ele expressou seu ponto de vista, enfatizando que a segurança da informação não é apenas sobre tecnologia. Existem funções relacionadas ao gerenciamento de riscos, recuperação de desastres, certificação e auditoria que não são focadas em tecnologia. Estes têm que ser melhor divulgados para trazer mais interesse para o campo. Thom manteve uma posição forte sobre o assunto, e isso resultou em um discurso animado e instigante sobre esses pensamentos díspares.
Essa discussão se expandiu para examinar como o papel do CISO mudou ao longo dos anos e como isso pode ser um fator que contribui para o debate sobre a lacuna de habilidades. A pergunta que surgiu é: Qual é o papel real do CISO? É para tornar a organização o mais segura possível ou para ser mais lucrativa enquanto administradora da segurança?
Thom e eu concordamos que a função do CISO é mais do que segurança. O CISO precisa entender o negócio; como o risco, as estruturas legais, as pessoas e a conformidade, bem como a segurança, afetam os negócios. Sem essa perspicácia, um CISO será ineficaz. À medida que a transformação digital continua, o CISO também precisa estar alinhado com as equipes de desenvolvimento.
A conversa continuou, abordando a importância e a necessidade de diversidade na profissão de segurança da informação e como se envolver melhor para criar mais inclusão no campo. Qual é a melhor maneira de atingir o maior número possível de futuros profissionais de segurança cibernética? Thom e eu discordaremos? Ou concordaremos, mas cada um verá uma abordagem diferente para a resposta? Sintonize esta edição do Podcast Thales Security Sessions para descobrir!
FONTE: THALES