Nesta entrevista da Help Net Security, a Dra. Lindsey Polley de Lopez, diretora de inteligência cibernética e espacial da MACH37 , propõe estratégias para empresas, instituições educacionais e governos sobre como lidar com a escassez contínua de talentos em segurança cibernética por meio da introdução de iniciativas de qualificação.
Ela também discute a criação de um pool de talentos mais diversificado e inclusivo , capaz de abordar problemas complexos de maneiras não convencionais devido a experiências diferentes.
Ouvimos muito sobre a necessidade de iniciativas de qualificação. Você pode discutir algumas iniciativas que aprimoraram com sucesso os trabalhadores para funções de segurança cibernética?
Absolutamente. Acho que a realidade da lacuna da força de trabalho no campo da segurança cibernética realmente começou a atingir a indústria nos últimos 10 anos e, durante o mesmo período, vimos várias ordens executivas nos Estados Unidos que ecoam a importância de desenvolver a força de trabalho da segurança cibernética. para atender a demanda comercial futura e proteger a infraestrutura crítica (EO 13718 e EO 13800). Como resultado, começamos a ver entidades da indústria e do governo lançarem diferentes iniciativas, desde treinamento gratuito a programas de orientação, para começar a abordar essa questão da escassez de força de trabalho em segurança cibernética.
Vamos começar com iniciativas patrocinadas pelo governo. Nos Estados Unidos, vários governos estaduais e locais lançaram suas próprias iniciativas de capacitação cibernética, por isso sempre recomendo que as pessoas analisem quais programas especiais podem estar disponíveis e que sejam exclusivos de sua cidade ou estado específico. No nível federal, a Agência de Segurança Cibernética e Infraestrutura (CISA) tem um “Guia de Treinamento da Força de Trabalho em Cibersegurança” que ajuda os profissionais em início de carreira a planejar uma carreira em segurança cibernética, bem como um Programa de Assistência à Educação e Treinamento em Cibersegurança (CETAP) que ajuda os professores levam a educação em segurança cibernética para as salas de aula K-12, fornecendo planilhas, planos de aula e notas que cobrem os conceitos fundamentais. E para funcionários do governo, contratados federais e membros do serviço militar dos EUA,
Ao olhar para o setor comercial, há muitas iniciativas para listar, mas algumas das principais incluem a campanha nacional de qualificação profissional da Microsoft (que inclui currículo gratuito para faculdades comunitárias – bem como treinamento gratuito para seus professores – e o Cybersecurity Scholarship Program), o novo Cyber Million Program lançado este mês pela Accenture e Immersive Labs (que visa preencher 1 milhão de empregos iniciantes em segurança cibernética oferecendo cursos online gratuitos) e cursos gratuitos de segurança cibernética fornecidos pela plataforma Beacon da Palo Alto Network.
Uma área específica em que vimos um movimento considerável nos últimos anos são as iniciativas voltadas especificamente para as mulheres, em um esforço para fechar a lacuna de gênero na força de trabalho de segurança cibernética. Existem muitos esforços em todo o mundo, incluindo WOMCY (uma organização sem fins lucrativos focada em oportunidades crescentes para mulheres em segurança cibernética na América Latina), Women4Cyber (uma fundação que trabalha para promover e apoiar a participação de mulheres em segurança cibernética na Europa), Women in Cyber Mentorship Program (uma programa da Organização Internacional das Nações Unidas
Quando se trata das consequências da escassez de mão de obra de segurança cibernética, como isso afeta o crescimento da empresa? Você pode compartilhar alguns exemplos ou cenários para ilustrar este ponto?
Há uma infinidade de maneiras pelas quais a escassez de mão de obra de segurança cibernética está afetando o crescimento da empresa. O primeiro impacta todas as empresas de forma bastante igual, ou seja, o longo período de tempo que as empresas têm que esperar para atrair candidatos iniciais para vagas abertas; com mais vagas de segurança cibernética do que candidatos disponíveis, esse é o primeiro desafio que as empresas encontrarão.
Depois que os candidatos se candidatam a uma vaga e é hora de estender uma oferta, as empresas geralmente se veem em uma “guerra de lances” com outras empresas para conquistar o candidato em potencial; novamente, isso se deve ao fato de haver mais vagas de emprego em segurança cibernética do que profissionais capazes de preencher as funções.
As empresas que desejam conquistar esses candidatos precisarão oferecer um salário competitivo junto com outros benefícios e incentivos, o que pode ter consequências não intencionais em outros aspectos de sua postura de segurança cibernética (como diminuir o valor do orçamento disponível para ferramentas ou atualizações). As empresas que não têm o orçamento disponível para vencer essas guerras de lances geralmente são forçadas a operar por mais tempo com cargos vagos de segurança cibernética, que paralisam o crescimento, sobrecarregam as equipes existentes e podem deixar a empresa em uma posição mais vulnerável do que suas contrapartes.
Muitas vezes há uma discussão sobre a necessidade de caminhos educacionais estruturados para cultivar uma força de trabalho qualificada em segurança cibernética. Quão importante você acha que um caminho educacional formalizado é nesta indústria?
Embora haja um lugar para vias de educação formalizadas tradicionais neste campo (ou seja, programas universitários focados em aspectos de segurança cibernética), acredito que precisamos tratar a segurança cibernética muito mais como um comércio quando se trata da via de educação e requisitos. O que quero dizer com isso é que, em vez de exigir que um candidato iniciante tenha um diploma universitário de 4 anos, faz muito mais sentido procurar certificações relevantes para a vaga de emprego específica, bem como oferecer treinamento no trabalho. quando possível, para preencher as lacunas de habilidades no histórico de um candidato, em vez de ignorá-las completamente.
Isso significa que, em vez dos rígidos caminhos de educação formalizados que se tornaram a norma nos EUA, a educação em segurança cibernética e o caminho profissional devem ser realmente modulares e flexíveis, que podem ser adaptados e expandidos ao longo da carreira de um indivíduo. Isso não apenas ajudará na escassez de mão de obra no curto prazo, mas também desenvolverá uma força de trabalho de segurança cibernética mais resiliente e adaptável no futuro.
Quais medidas práticas as empresas, instituições educacionais e governos podem adotar para lidar com a escassez de talentos no setor de segurança cibernética?
Instituições educacionais – particularmente K-12 – desempenham um papel crucial em lidar com a escassez de talentos em segurança cibernética, fazendo com que as crianças se interessem pelo assunto desde cedo. Um fator chave que impede novos entrantes no campo de segurança cibernética é que o tópico parece intimidador; introduzindo segurança cibernética e outros tópicos relacionados a STEM (por exemplo, ciência da computação e codificação) no início do pipeline educacional, podemos criar confiança e remover o sentimento de “medo” que está impedindo algumas pessoas.
Outro passo que as instituições educacionais podem tomar é formar parcerias de ponte, oferecendo programas de verão que conectem a transição do ensino médio para a faculdade para os alunos. Essa transição costuma ser avassaladora (tanto do ponto de vista curricular quanto social) e é um ponto-chave no pipeline em que os alunos perdem o interesse em segurança cibernética e STEM devido à combinação de (1) dificuldade no trabalho do curso e (2) não se sentir um senso de comunidade ou inclusão. Os programas de ponte de verão, no entanto, podem ajudar significativamente a reduzir o estresse associado a essa transição e podem aumentar as taxas de retenção para segurança cibernética e pipelines STEM.
A indústria desempenha um papel duplo ao lidar com a escassez de talentos em segurança cibernética. Primeiro, ao procurar preencher uma vaga de segurança cibernética, as empresas devem ser mais flexíveis em seus requisitos de contratação (quando possível). Em vez de exigir um diploma universitário de 4 anos e 3 anos de experiência para um cargo inicial, considere candidatos com uma certificação importante em uma área de assunto relevante ou candidatos com experiência profissional (essas habilidades podem ser facilmente verificadas por meio de um entrevista rápida com um membro atual da sua equipe de segurança cibernética). Em segundo lugar, as empresas com capacidade de fornecer treinamento e/ou certificações fundamentais em segurança cibernética gratuitamente ou a preços acessíveis devem fazê-lo; o impacto positivo que isso teria na escassez de talentos em segurança cibernética no curto prazo não pode ser exagerado.
As principais ações que as entidades governamentais podem realizar são (1) facilitar parcerias entre instituições educacionais e a indústria e (2) fornecer financiamento ou formas alternativas de suporte para iniciativas de segurança cibernética para preencher as lacunas que não podem ser facilmente abordadas por instituições educacionais ou pela indústria.
Em última análise, porém, precisamos desenvolver mais pipelines abrangendo instituições educacionais e indústria/governo que atraiam, desenvolvam e retenham talentos de segurança cibernética para resolver os problemas de escassez de força de trabalho. Este é um problema que abrange os setores público e privado em um grau significativo, e uma abordagem mais sistêmica é a única solução verdadeira. As parcerias são fundamentais; precisamos dessas três categorias de partes interessadas para identificar parceiros e alinhar suas ações para maximizar o impacto positivo.
O que você vê como o futuro do campo de segurança cibernética, especialmente à luz da atual escassez de habilidades? Que inovações ou mudanças podemos ver em resposta a esse desafio?
As ferramentas aprimoradas de aprendizado de máquina (ML) já estão no mercado há algum tempo, mas esperamos ver uma nova onda de ofertas que afirmam ser “aprimoradas por IA”. Eles serão realmente aprimorados por IA? Isso é difícil de dizer. Alguns provavelmente irão, mas a maioria provavelmente oferecerá recursos avançados de ML – e isso pode ser melhor no curto prazo, enquanto a indústria investiga mais as implicações de segurança de conectar sistemas cada vez mais inteligentes a suas arquiteturas internas e dados confidenciais.
Essa disponibilidade de novas ferramentas de ML/IA, no entanto, provavelmente ajudará a preencher parte da lacuna de talentos em segurança cibernética no curto prazo, enquanto os pipelines/parcerias de talentos continuam a ser construídos e novos talentos são cultivados. Para empresas que podem pagar por elas e ter uma integração limpa com os ambientes existentes, essas ferramentas poderão preencher parcialmente as funções assumindo tarefas redundantes ou baseadas em limite/gatilho, como identificar comportamentos anormais, acesso não autorizado ao sistema e realizar revisões de log . Tarefas mais complexas ou revisões de nível superior de itens sinalizados por essas ferramentas de ML/IA, no entanto, ainda exigirão pessoal de segurança cibernética treinado.
Finalmente, você poderia compartilhar seus pensamentos sobre o papel da diversidade na força de trabalho de segurança cibernética? Como podemos garantir que as iniciativas que abordam a escassez de competências promovam a inclusão neste setor?
Uma força de trabalho mais diversificada sempre resultará em um pool de talentos capaz de abordar problemas complexos de maneiras não convencionais devido a experiências / perspectivas diferentes (e compartilhadas) que permitem ver esses problemas por lentes novas e únicas. Essa capacidade das equipes de abordar e resolver rapidamente problemas complexos de maneiras únicas é particularmente valiosa no campo da segurança cibernética. Os meios tradicionais de recrutamento para o campo, no entanto, muitas vezes representam desafios para populações carentes. Esses desafios, no entanto, podem ser facilmente enfrentados por várias das iniciativas sobre as quais falamos anteriormente no artigo.
Além da necessidade geral de mais exposição à segurança cibernética durante a educação infantil, programas específicos voltados para atrair, desenvolver e reter o interesse dos alunos em segurança cibernética e STEM em comunidades carentes são essenciais. Esses programas devem ser sintonizados com as sensibilidades específicas da comunidade atendida, como idioma, transporte e considerações sobre a formação de liderança/professor. Programas semelhantes que fazem a transição do ensino médio para a faculdade para comunidades carentes são essenciais para manter a confiança e a retenção dos alunos em campos relacionados à segurança cibernética – o que, em última análise, ajudará a impulsionar a diversidade na força de trabalho.
A indústria pode promover a diversidade na força de trabalho de várias maneiras, mas a mais impactante é durante o processo de contratação. Alguns requisitos educacionais e de inscrição relacionados ao tempo desqualificam inadvertidamente os candidatos de grupos carentes devido a restrições financeiras ou responsabilidades com crianças.
As empresas podem resolver isso facilmente, no entanto, sendo flexíveis quando possível. Em vez de exigir um diploma universitário de 4 anos, considere uma certificação em uma área específica – ou melhor ainda, ofereça um pequeno teste ou entrevista com um membro de sua equipe de segurança cibernética como um meio alternativo de avaliar a proficiência de um candidato.
Para cargos de nível de entrada, considere também identificar candidatos com forte ética de trabalho e motivação que demonstraram desejo de entrar no campo e oferecer treinamento no trabalho ou programas de certificação; isso aumentará muito o número de candidatos, abrindo a porta para aqueles que podem não ter os meios financeiros para atender a certos requisitos. Um conjunto diferente de benefícios – como horário de trabalho flexível, opções de trabalho remoto, benefícios de creche e férias culturais diversificadas – também ajudará a atrair um grupo de talentos mais inclusivo e satisfeito.
FONTE: HELP NET SECURITY