0
0
A automação pode estar encurtando o Tempo Médio para Resposta (MTTR) quando se trata de detectar e responder a ataques, mas ainda não há substituto para o humano na cadeia de mortes. Os cartilhas precisam ser construídos por profissionais de segurança, gatilhos identificados e pontos de interação inseridos para permitir que analistas de segurança corroborem os eventos, e SOCs tripulados por equipes de segurança, o que significa que essas habilidades ainda são necessárias, apesar dos avanços tecnológicos dos últimos anos.
As maiores lacunas de habilidades estão predominantemente nessas áreas de detecção e mitigação de ameaças, ou seja, gerenciamento de incidentes, investigação e perícia digital, seguidas de perto por garantia, auditorias, conformidade e testes. A maior parte das vagas estão ocorrendo em cargos de gerência média e sênior que requerem três ou mais anos de experiência e, com a Grande Renúncia agora em pleno andamento, o perigo é que estamos caminhando para uma fuga significativa de cérebros que poderia agravar ainda mais a escassez.
Qual o impacto dessa escassez de habilidades na eficácia das operações de segurança? Poderia levar a um slide para trás quando se trata de resiliência cibernética? Alarmantemente, o Global Cybersecurity Outlook 2022 da WEF revelou que quase 60% dos entrevistados disseram que “achariam desafiador responder a um incidente de segurança cibernética devido à escassez de habilidades dentro de sua equipe”, sugerindo que a responsividade será sacrificada. Isso levará as empresas a se tornarem mais expostas e forçarem a redução das ambições de crescimento.
Efeito cumulativo
É uma situação que deve piorar, com outro relatório do DCMS prevendo um déficit anual de 10.000 profissionais de cibersegurança no Reino Unido porque não há novos talentos suficientes entrando no mercado. Apenas 7.500 ingressaram na profissão a cada ano, 4.000 deles formados, sendo o restante composto por aqueles que se tornaram qualificados, mudaram de carreira ou passaram por aprendizes. Ao mesmo tempo, enquanto entre 4.000 e 7.000 pessoas saem da força de trabalho de segurança cibernética, seja porque se aposentam ou vão trabalhar em outros setores. No entanto, são necessários 17.500 funcionários a cada ano, com a demanda crescendo em média 14% ao ano (ao longo dos últimos cinco anos). Tudo isso significa que a escassez de habilidades é cumulativa e se intensificará.
No entanto, parece haver muito pouca consciência da precariedade desta situação no mundo real. O relatório do WEF constatou que os executivos de negócios estavam menos conscientes das implicações da escassez do que seus colegas de segurança, sugerindo que ainda há uma desconexão no nível da diretoria. Não percebendo a gravidade da situação, as estratégias de recrutamento e retenção não têm prioridade e veem as contratações mal julgadas no mercado – e já há evidências disso.
Muitas vagas de emprego atuais têm requisitos irrealistas, como mostra o exemplo do anúncio para um CISO com experiência em teste de penetração ou uma solicitação para um membro da equipe técnica que se inte com as normas do GRC. Obviamente, há algumas empresas tentando contratar uma pessoa para cumprir mais de um mandato de trabalho. Mas dado que as escalas estão atualmente a favor do candidato, essas táticas pouco farão para conquistar potenciais candidatos.
Caminhos cibernéticos
As descrições de empregos são sintomáticas de um problema mais amplo com a segurança cibernética, na prática de que o setor cresceu tão organicamente que não há caminhos de carreira claramente mapeados. Reconhecendo isso, o Conselho de Segurança Cibernética do Reino Unido tem sido encarregado de criar um Quadro de Caminhos de Carreira para facilitar que os empregadores identifiquem as habilidades cibernéticas específicas de que precisam, criem informações mais claras sobre caminhos de carreira e evitem quaisquer barreiras desnecessárias à entrada ou progressão.
Atualmente em consulta até 20 de março, as propostas veriam títulos específicos de trabalho cibernético vinculados às qualificações e certificações existentes, potencialmente abrindo caminho para “descrições de trabalho e requisitos mínimos de qualificação para funções típicas”, como solicitado pelo DCMS em seu relatório de habilidades cibernéticas. As propostas também pedem um Registro de Profissionais, como o de profissões médicas e jurídicas, para reconhecer aqueles que são éticos, devidamente qualificados ou idosos. Tais medidas poderiam ajudar a conter o êxodo da indústria causado pelo arrepio do trabalho, insatisfação e burnout, proporcionando aos profissionais um caminho claro de progressão e reconhecimento de seu status.
Plano de ação
Mas o que o negócio pode fazer agora para ajudar a aliviar a escassez de habilidades? Existem várias maneiras de melhorar o recrutamento e a retenção.
- Invista em sua equipe. Forneça-lhes treinamento para ajudá-los a aumentar seus conhecimentos e habilidades. Considere introduzir programas de incentivo para que eles não queiram sair.
- Cross train e transition. Permitir que a equipe de TI obtenha habilidades de segurança cibernética ou treine e transição em funções cibernéticas especializadas.
- Forneça um caminho de progressão. Desenvolva um conjunto claro de caminhos para os profissionais cibernéticos existentes que mostram como eles podem se mover dentro do negócio.
- Seja flexível. Ao recrutar, certifique-se de que as habilidades relacionadas ao trabalho para o qual você está anunciando são realistas. Esteja ciente da dinâmica do mercado não apenas em termos de salário, mas se você precisa oferecer vantagens como o trabalho remoto.
- Tenha a mente aberta. Cerca de um terço dos que agora estão na profissão entraram por rotas não relacionadas à cibersegurança, então, em vez de olhar puramente para a experiência e certificações, explorar maneiras de testar as habilidades que você precisa, como a resolução de problemas analíticos.
- Terceirizar para perícia. A pandemia viu muitos decidirem sair de cargos permanentes para consultoria. 38% das empresas atualmente terceirizam a segurança cibernética em comparação com 57% no setor público, tornando este um mercado em crescimento que as empresas podem explorar.
Embora a iniciativa de caminhos cibernéticos prometa trazer alguma transparência necessária para o setor, ela ainda está de alguma forma fora. As organizações que não se adaptam à crescente escassez de habilidades hoje correm mais do que perder talentos valiosos, pois podem se encontrar com recursos e seus sistemas expostos.
FONTE: HELPNET SECURITY