0
0
Ele se formou em uma faculdade que eu nunca tinha ouvido falar. Ele obteve um mestrado em Villanova, mas foi no desenvolvimento de recursos humanos. Ele passou 16 anos no Corpo de Fuzileiros Navais em vários papéis militares e civis, mas nenhum envolveu diretamente a segurança cibernética. Seu trabalho mais recente foi como gerente de projetos em uma empresa de construção.
Quando pedi a outros executivos seniores da minha empresa, Sumo Logic, para entrevistá-lo para um cargo de gerente do Centro de Operações de Segurança (SOC), inicialmente fui recebido com ombros e rolos de olhos. “Por que estou falando com esse cara?”, foi a resposta típica. “Ele não parece em forma em tudo.”
O que eles não sabiam era que na minha entrevista anterior com Roland Palmer, eu concluí em meia hora que o trabalho era dele. Fiquei impressionado com seu intenso desejo de assumir tarefas difíceis e vencer. Este ex-fuzileiro enfrentou desafios assustadores, como planejar operações de comunicação no Afeganistão e ajudar a evacuar centenas de pessoas de uma área no Japão contaminada por um derramamento nuclear. Gerenciar um SOC pode ser cansativo, uma constante enxurrada de crises e multas por incidentes, mas Roland, apesar da falta de trabalho de segurança em seu currículo, parecia nascido para isso.
Eu disse aos meus colegas: “Gostaria que falasse com ele, mas se não falar, vou contratá-lo de qualquer maneira.” Eles acabaram se apaixonando por Roland, também. Ele conseguiu o emprego.
Isso foi há três anos. Em 2020, Roland foi promovido a gerente sênior do SOC. No mesmo ano, ele ganhou o maior prêmio da nossa empresa pela conquista dos funcionários.
Estou contando essa história porque acho que diz algo sobre o que as empresas e suas organizações de cibersegurança precisam fazer para superar um de seus maiores obstáculos: contratar grandes talentos em um mercado de trabalho absurdamente apertado.
“A crise de habilidades de segurança cibernética continua em uma tendência de queda, vários anos de ruim a pior, e impactou mais da metade (57%) das organizações”, disse um relatório recente da Information Systems Security Association e da empresa de analistas Enterprise Strategy Group. Atualmente, há 3,5 milhões de empregos não preenchidos em segurança cibernética – o suficiente para encher 50 estádios da NFL – de acordo com a Cybersecurity Ventures.
Em um momento em que ataques de ransomware, violações de dados e invasões na cadeia de suprimentos estão aumentando — o volume de atividade de intrusão cibernética globalmente aumentou 125% no primeiro semestre de 2021 em comparação com o mesmo período do ano passado, de acordo com um estudo da Accenture – o que uma empresa deveria fazer?
A segurança cibernética é muito importante para arriscar que membros da equipe que não podem (sem trocadilho) hackeiem. Espere para encontrar as melhores pessoas, não importa o que aconteça.
O diretor de segurança de hoje (CSO) precisa começar não apenas aceitando, mas abraçando a caça ao talento como parte central do trabalho. (Eu passo pelo menos 10% da minha semana nisso, muitas vezes mais.) Então eles precisam rasgar velhas suposições sobre de onde bons profissionais de segurança vêm e ser de mente aberta e criativo em sua busca.
Cinco conselhos:
Cuidado com a síndrome do corpo quente
Sejamos honestos: é tentador pegar qualquer um que puder, não só porque os empregos de segurança cibernética precisam ser preenchidos, mas devido a pressões adicionais, como proteger o número de funcionários antes que quaisquer posições abertas sejam cortadas em uma demissão após um trimestre ruim.
Não faça isso, não faça isso. A segurança cibernética é muito importante para arriscar que membros da equipe que não podem (sem trocadilho) hackeiem. Espere para encontrar as melhores pessoas, não importa o que aconteça.
Graus, shmegrees
Me formar em uma instituição de prestígio é uma pena no boné de alguém, e eu não quero descontar isso, mas está na minha lista de pré-requisitos. Unidade, ambição, calma sob pressão, espírito de equipe e consciência situacional são muito mais importantes.
Na minha primeira semana no Sumô, em 2015, participei de uma reunião introdutória com vários colegas executivos que haviam se formado em escolas como Stanford, UC-Berkeley e MIT. Quando era a minha vez de compartilhar mais sobre mim mesmo, contei a todos ao redor da mesa de conferências sobre minha alma mater: Regis University, uma pequena universidade jesuíta em Denver.
Eu não estava envergonhada. Eu estava orgulhoso. E ao contratar outros, mantive uma filosofia de valorização de habilidades e qualidades pessoais sobre as origens universitárias.
Resiliência importa tanto quanto ou mais do que experiência
Trabalhar em uma organização de cibersegurança é um dos trabalhos mais estressantes do mundo, com burnout uma preocupação constante. De acordo com um relatório do Chartered Institute of Information Security, 51% dos profissionais de segurança são mantidos à noite por estresse no trabalho.
Assim, enquanto a experiência de segurança passada é uma grande vantagem, uma capacidade de lidar ou até mesmo saborear a pressão importa tanto. Eu sempre digo aos candidatos ao emprego: “Este trabalho vai ser difícil, vai ser difícil. Mas a missão é vital.” Alguns olhos de pessoas se iluminam quando ouvem isso – é quem você quer, independentemente do que esteja em seu currículo.
Explorar fontes não tradicionais
Roland Palmer é um exemplo de como os melhores profissionais de cibersegurança não necessariamente vêm do mundo da segurança cibernética. Mas há muitos outros.
Por exemplo, descobri que as organizações de desenvolvimento de software são um terreno fértil para talentos de segurança. Métodos ágeis de desenvolvimento, como o DevOps, estão tirando o desenvolvimento, as operações e a segurança de seus silos tradicionais. Espera-se que todos trabalhem juntos para promover um pipeline de software rápido, eficiente e seguro.
Isso oferece novas oportunidades para os desenvolvedores se estenderem para a especialidade de segurança e ajudarem a impulsionar o ciclo de vida de software da empresa de uma maneira diferente, enquanto expandem seus próprios horizontes.
Como costumo dizer aos desenvolvedores: “Se você se juntar à nossa equipe, você começa a trabalhar em infraestrutura na nuvem, você começa a trabalhar em aplicativos e como AS APIs e microsserviços jogam juntos. E ao longo do caminho, você está desenvolvendo uma compreensão de alto nível do pipeline de software e ajudando a impulsionar uma cultura de segurança. E se você decidir voltar à engenharia no futuro, você está mais preparado para fazê-lo com uma experiência mais ampla e a mentalidade de segurança que se tornou tão crucial.”
Também olho para pessoas com experiência em operações financeiras por causa de sua orientação de conformidade regulatória e atenção aos detalhes que são essenciais para o trabalho de segurança.
Busque empatia
Quando comecei na segurança, senti que outros empregados se esconderiam de mim quando me vissem andando pelo corredor. Eles me viam como o bandido chegando para bater os dedos por algum problema de segurança.
Na cultura mais colaborativa de hoje, que não voa mais. Profissionais de segurança precisam ser vistos como companheiros de equipe confiáveis para se sentirem confortáveis por perto. Portanto, uma personalidade colaborativa e empática é um traço que sempre procuro em contratações prospectivas.
Gostando ou não, contratar pessoas de primeira linha tornou-se uma das facetas mais importantes e desafiadoras do trabalho de um CSO, e isso não mudará tão cedo. Mas com determinação e algum pensamento fora da caixa, eles podem responder ao desafio.
FONTE: TECH CRUNCH