Como enfrentar a escassez de competências em cibersegurança na UE

Views: 373

A escassez de habilidades de segurança cibernética é um problema global, mas cada região – incluindo a Europa ou, mais especificamente, a UE – tem problemas distintos que devem ser enfrentados para resolvê-lo.

Neste Help Net Security, Dritan Saliovski, Diretor – Nordic Head of Cyber ​​M&A, Transaction Advisory Services da Aon , oferece algumas dicas, bem como conselhos para organizações sobre como atrair e reter os melhores talentos de segurança cibernética.

A escassez de habilidades em segurança cibernética ainda é um grande problema para as organizações globais. Existe uma maneira de consertar isso?

Para mitigar esse problema, as organizações devem adotar uma abordagem multifacetada, incluindo programas direcionados de treinamento e educação, incentivos para atrair e reter talentos no campo da segurança cibernética , criar uma força de trabalho diversificada e inclusiva e investir em tecnologias que automatizem determinadas tarefas.

Além disso, as organizações podem abrir as portas para candidatos iniciantes, criando e promovendo estágios, aprendizado e cargos iniciantes, que oferecem oportunidades para que os indivíduos adquiram as habilidades e experiência necessárias para avançar no campo da segurança cibernética. A colaboração entre os setores público e privado, bem como a academia, também é crucial para lidar com a escassez de habilidades .

Um exemplo de abordagem bem-sucedida para lidar com a escassez de habilidades em segurança cibernética é o programa de treinamento da IBM. O programa da IBM exemplifica a responsabilidade corporativa e o envolvimento da comunidade, fornecendo educação e treinamento em segurança cibernética para comunidades menos afortunadas. Este programa não apenas aborda a escassez de habilidades, mas também promove o empoderamento social e econômico. O compromisso da IBM com a construção de uma sociedade mais equitativa e inclusiva serve como modelo a ser seguido por outras organizações.

Outra abordagem eficaz são os programas de treinamento fornecidos pelas quatro grandes empresas de consultoria, como Deloitte, EY, KPMG e PwC. Essas empresas são conhecidas por seus programas de treinamento rigorosos e abrangentes, que oferecem oportunidades para candidatos iniciantes ingressarem na empresa por meio de estágios e cargos iniciantes. Uma vez a bordo, essas empresas oferecem programas abrangentes de treinamento e desenvolvimento que ajudam os candidatos iniciantes a crescer e progredir dentro da empresa. Essa abordagem tem sido bem-sucedida no desenvolvimento de uma força de trabalho talentosa e qualificada, com muitos candidatos iniciantes se tornando sócios e líderes dentro da empresa. Essa abordagem serve como um exemplo claro de como as organizações podem atrair, reter e desenvolver a próxima geração de profissionais e líderes de segurança cibernética.

Concluindo, lidar com a escassez de habilidades em segurança cibernética requer uma abordagem multifacetada que inclua programas de treinamento e educação direcionados, incentivos para atrair e reter talentos, construir uma força de trabalho diversificada e inclusiva, investir em novas tecnologias e abrir as portas para candidatos iniciantes .

As organizações também devem colaborar com os setores público e privado e com a academia para lidar com a escassez de habilidades de forma eficaz. Seguindo os exemplos de programas bem-sucedidos, como o da IBM e das grandes empresas de consultoria, as organizações podem mitigar a escassez de habilidades em segurança cibernética e construir uma força de trabalho forte e qualificada.

A UE está enfrentando uma escassez específica de talentos cibernéticos. Por que esse é o caso? O trabalho remoto pode resolver esse problema, já que o resto do mundo está tendo problemas semelhantes?

Minha hipótese sobre a escassez de habilidades na UE se concentraria nestes pontos principais:

• Falta de padronização na educação e certificação em segurança cibernética, o que torna difícil para as organizações identificar e atrair candidatos qualificados.
• Grupo limitado de profissionais qualificados na UE, pois muitos indivíduos talentosos são atraídos para outras indústrias ou optam por trabalhar em outras regiões com maior demanda por profissionais de segurança cibernética. De acordo com um estudo do Eurostat, em 2019, a UE tinha uma taxa de 8% de profissionais de TIC (Tecnologias de Informação e Comunicação) na força de trabalho, enquanto os EUA tinham uma taxa de 9%.
• Demanda crescente por profissionais de segurança cibernética devido à crescente ameaça de ataques cibernéticos e à crescente complexidade das ameaças cibernéticas. Essa demanda é ainda agravada pelas rígidas regulamentações de proteção de dados da UE, que exigem que as organizações tenham medidas robustas de segurança cibernética.
• Falta de apelo salarial da segurança cibernética na UE em comparação com outros países como os EUA, o que é uma falta de motivação para os indivíduos entrarem no campo da segurança cibernética na UE. Um estudo do (ISC)² descobriu que o salário médio dos profissionais de segurança cibernética nos EUA é de US$ 116.000, enquanto na UE é de US$ 91.000.

O trabalho remoto pode potencialmente ajudar a aliviar a escassez de talentos cibernéticos na UE, fornecendo às organizações acesso a um grupo maior de profissionais qualificados de todo o mundo. O trabalho remoto permite que as organizações contratem pessoas que podem não estar fisicamente presentes na UE, mas que possuem as habilidades e qualificações necessárias para desempenhar a função.

No entanto, é importante observar que o trabalho remoto por si só pode não resolver totalmente o problema, pois existem outros fatores que contribuem para a escassez de talentos cibernéticos, como falta de padronização na educação e certificação, número limitado de profissionais qualificados na UE e falta de recurso salarial.

Dois desafios dessa solução incluem o impacto do imposto de renda pessoal sobre a receita da UE e as possíveis autorizações de segurança no setor público.

• O trabalho remoto pode levantar questões relacionadas ao imposto de renda pessoal, pois os indivíduos podem obter renda em um país enquanto são tributados em outro. Isso pode ter um impacto significativo nas receitas da UE e pode exigir mudanças nas leis e regulamentos tributários.
• Além disso, no setor público, o trabalho remoto pode levantar questões relacionadas a habilitações de segurança, pois os indivíduos podem não estar fisicamente presentes na UE e podem não conseguir obter as autorizações necessárias para acessar informações confidenciais. Isso pode representar um risco significativo para a segurança da UE e pode exigir alterações nos procedimentos de credenciamento de segurança.

A fim de resolver plenamente a escassez de talentos cibernéticos na UE, é necessária uma abordagem abrangente. Isso deve incluir a padronização da educação e certificação de segurança cibernética em toda a UE, encorajando mais pessoas a entrar no campo da segurança cibernética, considerar a reforma tributária, habilitação de segurança e investir em programas de treinamento e desenvolvimento para ajudar os indivíduos a adquirir essas habilidades.

Que conselho você daria a um CISO recém-nomeado com um orçamento saudável que precisa contratar novos membros para sua equipe? Qual você acha que é a melhor abordagem para conseguir as pessoas certas?

Construir uma equipe de segurança cibernética eficaz não é tão simples quanto contratar os melhores talentos do mercado.

Para garantir que a postura de segurança de sua organização seja forte desde o início e que sua estratégia de segurança cibernética esteja alinhada com os objetivos gerais de sua organização, é importante primeiro entender a governança, o modelo operacional e as joias da coroa (ativos críticos que precisam ser protegidos) de sua organização. De acordo com um estudo da Deloitte, identificar e proteger os ativos de uma organização é essencial para uma estratégia eficaz de cibersegurança. Isso reforça a importância de entender os ativos críticos que precisam ser protegidos em sua organização antes de montar sua equipe de segurança cibernética.

Para começar, recomendo conduzir uma avaliação de risco para entender o estado atual da postura de segurança cibernética de sua organização. Identifique lacunas em seu programa de segurança e priorize áreas que requerem atenção imediata. Isso ajudará você a estabelecer um roteiro claro para sua equipe e a identificar áreas em que novas contratações são necessárias para preencher as lacunas.

Quando se trata de contratar novos membros para sua equipe, priorize primeiro a contratação de posições-chave.

Identifique as principais posições essenciais para a estratégia de segurança cibernética de sua organização, como analistas de inteligência de ameaças, respondentes de incidentes e arquitetos de segurança. Essas funções serão essenciais para proteger os ativos de sua organização e alinhar sua estratégia de segurança cibernética com os objetivos gerais de sua organização.

De acordo com um estudo da McKinsey & Company, as organizações que possuem uma estratégia clara de segurança cibernética alinhada com seus objetivos gerais de negócios estão mais bem equipadas para se protegerem de ameaças cibernéticas. Isso enfatiza a importância de entender a governança e o modelo operacional de sua organização antes de formar sua equipe de segurança cibernética.

Ao procurar candidatos, procure uma mistura de habilidades técnicas e não técnicas. A segurança cibernética não é apenas sobre tecnologia, mas também sobre pessoas e processos. Procure candidatos que tenham uma combinação de habilidades técnicas e habilidades não técnicas, como comunicação, resolução de problemas e liderança. Além disso, considere contratar uma equipe diversificada. Uma equipe diversificada traz diferentes perspectivas e experiências, que podem levar a soluções mais eficazes e inovadoras.

Considere contratar pessoas com formações, experiências e conjuntos de habilidades diferentes para trazer perspectivas diferentes para sua equipe.

Procure candidatos com certificações relevantes, como CISSP, CISM ou CISA. Essas certificações demonstram um certo nível de conhecimento e experiência no campo. No entanto, não negligencie candidatos sem certificações, mas com experiência relevante. A escassez de milhões de profissionais de segurança cibernética destaca a importância de não apenas contratar os melhores talentos do mercado, mas também de entender as necessidades e lacunas específicas de sua organização para formar efetivamente uma equipe que possa proteger os ativos de sua organização.

A indústria de segurança cibernética é particularmente propensa ao estresse e esgotamento, e a rotatividade de funcionários é alta. O que as pessoas podem fazer para prosperar neste setor a longo prazo?

Em primeiro lugar, ninguém vai morrer, se você não corrigir uma vulnerabilidade (em 99% dos casos)! Relaxar.

Eu gostaria de colocar meu foco mais no que as empresas podem realmente fazer por seus funcionários. No entanto, antes de fazê-lo, responderei à pergunta; que nós, profissionais, podemos fazer por nós mesmos é simples. Embora possa parecer difícil, é algo que mudará drasticamente seu sucesso se você seguir princípios simples de seu bem-estar.

Concentre-se em alcançar pelo menos dois dos itens a seguir todos os dias e isso o transformará pessoal e profissionalmente!

• Apontando para 7-8 horas de sono
• Atividade física regular
• Construir e manter relacionamentos positivos
• Reservar um tempo todos os dias para fazer algo que você goste
• Meditar
• Auto-reflexão
• Internalize seu dia

Como líder, entendo a importância de abordar o estresse e o esgotamento no setor de segurança cibernética. A alta rotatividade de funcionários pode ser cara e prejudicial para a postura geral de segurança cibernética de uma organização. Para resolver esse problema, acredito na implementação de um programa abrangente de bem-estar para os funcionários. Isso pode incluir oferecer acesso a serviços de aconselhamento, fornecer educação e recursos sobre gerenciamento de estresse e promover uma cultura de autocuidado e bem-estar. Além disso, incentivar um equilíbrio saudável entre vida profissional e pessoal por meio de acordos de trabalho flexíveis e pausas e férias regulares também pode ajudar a aliviar o estresse e o esgotamento.

Além disso, acredito no apoio ao desenvolvimento profissional dos funcionários, o que pode incluir investimentos em treinamento, orientação e oportunidades de desenvolvimento profissional. Criar um ambiente de trabalho positivo por meio de comunicação aberta, valorizando a opinião e o feedback dos funcionários e apoiando as atividades de formação de equipe também pode desempenhar um papel crucial em manter os funcionários engajados e motivados.

O apoio à saúde mental também é importante, o que pode ser obtido por meio da oferta de um Programa de Assistência ao Empregado (PAE) e do acesso a um profissional de saúde mental. Realização regular de pesquisas de envolvimento dos funcionários para entender os fatores que contribuem para o estresse e esgotamento dos funcionários e tomar medidas para resolver quaisquer problemas identificados. Isso pode incluir abordar as causas do esgotamento e do estresse, como prazos irrealistas, falta de autonomia e má gestão.

Além disso, as empresas também podem consultar estudos e relatórios como o relatório “Stress in the Workplace” da American Psychological Association (APA), que mostra que o estresse no trabalho está mais fortemente associado a problemas de saúde do que a problemas financeiros ou familiares. O relatório “Tendências de bem-estar no local de trabalho” da Fundação Internacional de Planos de Benefícios para Empregados (IFEBP) afirma que as empresas com programas eficazes de bem-estar no local de trabalho observam uma redução de 28% nas licenças médicas e uma redução de 30% nos custos de saúde. o relatório “Saúde Mental no Local de Trabalho” do Instituto Nacional de Segurança e Saúde Ocupacional (NIOSH) afirma que a má saúde mental pode levar a uma série de problemas, incluindo diminuição da produtividade e aumento do absenteísmo.

Ao levar em consideração esses estudos e relatórios, as empresas podem obter uma compreensão mais profunda do impacto do estresse e do esgotamento na rotatividade de funcionários e tomar medidas eficazes para mitigá-lo.

Como uma organização pode atrair e reter os melhores talentos? O que eles devem oferecer além de remuneração adequada?

Atrair e reter os melhores talentos é fundamental para o sucesso organizacional. No entanto, muitas organizações lutam com isso devido à natureza competitiva do mercado de trabalho e às mudanças nas expectativas dos funcionários. O pagamento adequado por si só não é suficiente para atrair e reter os melhores talentos. As organizações precisam se concentrar na criação de uma cultura empresarial positiva e inclusiva, alinhar sua missão e valores com os valores pessoais de seus funcionários, oferecer um pacote de benefícios abrangente e oferecer oportunidades de crescimento e desenvolvimento.

Estudos e pesquisas, como Glassdoor, Deloitte e Gallup, descobriram que um equilíbrio positivo entre vida profissional e pessoal, oportunidades de crescimento e desenvolvimento, uma cultura positiva da empresa e uma missão e valores claros que se alinham com os valores pessoais do funcionário são fatores importantes na atrair e reter os melhores talentos. Uma cultura empresarial positiva e inclusiva é um fator chave para atrair e reter os melhores talentos, pois 80% dos entrevistados disseram que a cultura é um fator muito importante na avaliação de ofertas de emprego (Deloitte).

Alinhar a missão e os valores da empresa com os valores pessoais dos funcionários pode levar ao aumento da satisfação e retenção dos funcionários (Gallup). Um pacote abrangente de benefícios, incluindo seguro saúde, planos de aposentadoria e agendamento flexível, também pode ser um fator para atrair e reter os melhores talentos. (Mercer).

Criar uma cultura empresarial positiva e inclusiva requer um esforço consistente de todos na organização. Tudo começa com a equipe de liderança dando o tom e dando o exemplo para o resto da organização. Isso pode ser alcançado promovendo uma cultura de diversidade e inclusão , ouvindo o feedback dos funcionários e fazendo as mudanças necessárias para melhorar a satisfação dos funcionários.

A implementação dessas mudanças requer um plano claro, comunicação consistente e avaliações regulares. As organizações devem criar uma força-tarefa para implementar as recomendações e medir a eficácia das novas políticas. A comunicação é fundamental, por isso é importante manter todos os funcionários informados sobre as mudanças e coletar feedback ativamente.

Em conclusão, atrair e reter os melhores talentos é crucial para o sucesso organizacional. O pagamento adequado por si só não é suficiente para atrair e reter os melhores talentos. As organizações precisam criar uma cultura empresarial positiva e inclusiva, alinhar sua missão e valores com os valores pessoais de seus funcionários, oferecer um pacote de benefícios abrangente e oferecer oportunidades de crescimento e desenvolvimento. A implementação dessas mudanças exigirá um plano claro, comunicação consistente e avaliações regulares.

FONTE: HELPNET SECURITY