Como o apagão de talentos em tecnologia impacta a cibersegurança

Há uma guerra acontecendo no mundo da cibersegurança. Mas não é exatamente a guerra que alguém poderia pensar. O típico enfrentamento em ataque e defesa, comumente visto no dia a dia do setor. A guerra a que me refiro é por talentos. 

Apesar das múltiplas dimensões que podem afetar um bom programa de segurança digital, desde a estratégia até a governança e cultura, uma das grandes ameaças é a falta de talentos. Um bom programa de segurança depende da sua diligente execução. E é neste ponto onde o apagão de talentos em tecnologia é mais sentido. As empresas que aprenderem a atrair, reter ou mesmo formar talentos em cybersecurity, provavelmente serão mais bem sucedidas no gerenciamento dos seus riscos digitais.

A crescente onda de ataques a infraestruturas críticas e grandes empresas vem colocando o assunto mais em destaque tanto na mídia quanto nas mesas de reunião dos conselhos de administração. No fim do dia, isso significa que todos precisam enfrentar este risco cibernético e todos acabam buscando profissionais ao mesmo tempo. Isso seria uma grande oportunidade, porém a realidade encontrada não é esta. Não há profissionais qualificados disponíveis no mercado para atender a esta demanda de contratação e muito menos para os próximos anos.

A crise mundial de COVID-19 acelerou brutalmente este problema, dado que o mundo todo mudou sua maneira de trabalhar. Agora, todos trabalham de casa e, com isso, os desafios de segurança aumentaram. Igualmente, esta crise também acelerou o processo de transformação digital das empresas, ampliando a necessidade de proteger esta nova e ampliada presença digital. Isso sem falar do avanço do IoT, principalmente com a chegada do 5G e toda a consolidação do movimento de smart cities no mundo.

Os números são assustadores: segundo a Cybersecurity Ventures houve um crescimento de 350% na demanda por profissionais de segurança da informação, entre 2013 até 2021. Chegando a 3.5 milhões de posições no mundo que não estão sendo preenchidas. Agora fora das estatísticas, o dia a dia é ainda mais angustiante. Vamos às reflexões:

• Falta de time qualificado para o desafio: Longos períodos para preencher uma vaga, negociações salariais infinitas e uma verdadeira dança das cadeiras nas empresas. No fim, tudo isso tem resultado em uma empresa operando com menos profissionais do que deveria e ainda por cima, sem a qualificação necessária. No fim do dia, isso tudo se traduz em falta de capacidade de execução do programa de segurança da companhia. Bom, a consequência você já sabe: aparece em manchetes nos jornais.
• Substituição de profissionais de segurança por profissionais de redes. Ainda que este caminho seja possível (e já venha sendo usado por muito tempo), esta é uma estratégia de médio para longo prazo, pois o profissional de segurança tem uma mentalidade de “security first”, enquanto o profissional de redes vem da escola de “disponibilidade em primeiro lugar”. Claro que tudo deve ser olhado, mas mindset é algo mais difícil de ser moldado e que leva algum tempo. Fora o fato de grande parte da proteção agora acontecer nos dados em ambiente em nuvem.
• Ferramental de segurança subutilizado e orçamentos de segurança pouco efetivos. Considerando que o gasto total de segurança deve exceder USD 1 trilhão em 2021, percebe-se que há um apetite para compras de tecnologias de segurança. Por outro lado, uma grande empresa usa mais de 45 tecnologias de segurança, operando com time reduzido e gerenciando ferramentas que eles não conseguem estudar, e menos ainda administrar com o zelo adequado. Em geral, o resultado dessa equação é gasto inadequado e pouco retorno em segurança.

Positivamente o que pode ser feito: 

• As empresas podem fazer um investimento na criação de um pipeline de talentos em cybersegurança, identificando potenciais candidatos de modo contínuo e trabalhando a capacitação destes. Aqui, parcerias com centros de treinamento oficiais (ATCs) ou universidades podem ser um diferencial interessante.
• Investimentos em ambiente de trabalho e cultura é fundamental. Como todo profissional da área de tecnologia, os cybersecuriters também curtem um ambiente de trabalho flexível, que promova a diversidade e que seja tecnologicamente de vanguarda.
• É importante também dar atenção ao programa de treinamento contínuo e retenção de talentos – ninguém quer perder um talento produtivo.
• Do ponto de vista de tecnologias de segurança, parece fazer mais sentido do que nunca o investimento em soluções que tragam consigo automação ou que automatizam outras tecnologias de segurança. Muitas áreas de tecnologia já se utilizam de processos automatizados e muita inteligência (artificial ou machine learning), contudo a área de segurança ainda tem pouca maturidade no uso destas soluções.
• No passado, a segurança operou com uma estratégia “best of breed” ou como gosto de chamar “o melhor dos melhores”. Ou seja, comprava-se sempre as melhores tecnologias para cada uso ou nicho. Embora este pensamento seja super interessante, ele requer muita integração entre tecnologias e equipe em número e qualidade para sustentar essa miríade de soluções. Vemos, hoje, uma tendência de mudança neste pensamento para uma estratégia de “best of breed” para onde mais importa (nas “jóias da coroa”), mas considerando para o restante do ambiente uma estratégia de consolidação de diversas tecnologias em somente um vendor, facilitando a integração e aumentando a capacidade de gestão. 
• Trabalhar sozinho ou trabalhar em ecossistema? Quanto mais a sua empresa tentar trabalhar sozinha, mais rápido você descobrirá que está indo na contramão do mundo. Compartilhar recursos e competências com parceiros é crucial para aumentar a performance do seu programa de segurança digital. De um modo geral, os parceiros especializados em segurança possuem um programa de gestão de talentos mais robusto, uma experiência de aceleração de aprendizado comprovada e oferecem ganhos de escala que podem beneficiar a eficácia de segurança das empresas.

Certamente, sua empresa vive esta mesma situação, elabora as suas estratégias proativas e reativas. Agora, se sua empresa ainda não está colocando atenção neste assunto, muito provavelmente o seu risco cibernético está aumentando de modo invisível e lhe recomendaria realizar imediatamente um assessment externo.