Habilidades específicas desafiam setor de segurança da informação
Segundo pesquisa realizada pela CEB, 75% dos gerentes de Segurança da Informação (CISO, na sigla em inglês) afirmaram que alguém de sua equipe é solicitado para falar para os diretores ou para o CEO da companhia ao menos uma vez por ano. De acordo com outro levantamento, 67% dos profissionais de segurança da informação, distribuídos por todas as funções, afirmam que interagem com colegas de empresa de outras áreas diariamente.
O que essas descobertas estão mostrando é que a segurança da informação está crescendo nas companhias e ampliando a necessidade por habilidades específicas que estejam em linha com as capacidades técnicas. Até mesmo funcionários com profundo conhecimento em segurança técnica precisam ser capazes de explicar ameaças avançadas para gestores e direcionar investimentos em segurança.
“Qualquer um pode fazer segurança – basta desconectar o computador. A verdadeira questão é: conseguimos desenvolver pessoas que possam se comunicar, se engajar e entender o negócio?”, cita o CISO de uma das 500 empresas do setor alimentício ranqueadas pela publicação Fortune.
A CEB, empresa norte-americana de consultoria de práticas organizacionais, entrevistou CISOs de todo o mundo a respeito das suas maiores preocupações, e essa escassez de habilidades específicas foi um ponto em comum. “Preciso de pessoas que entendam que elas estão aqui para ajudar o negócio a gerar lucros e permitir que a empresa seja bem-sucedida. Mas é muito difícil encontrar profissionais de segurança da informação que tenham essa mentalidade”, afirmou o líder de CISO de uma empresa de tecnologia.
A escassez global de habilidades específicas em segurança da informação agora está bem documentada, mas essa preocupação passou durante muito tempo despercebida. A pesquisa oferece um suporte empírico para aumentar e melhorar os investimentos no quesito.
Habilidades específicas são um poderoso preditor de performance em segurança
Usando metodologias específicas para mensurar talentos, o estudo desenvolveu uma avaliação de comportamento científico para avaliar a proficiência dos profissionais de TI em 12 competências, incluindo habilidades específicas como influência e atenção organizacional. Ao todo, foram avaliados mais de 350 pessoas, de 45 organizações diferentes.
Por meio do estudo, foi possível identificar que as habilidades específicas são mais importantes para a performance em segurança do que a expertise técnica, mas significativamente menos prevalecente. Certificações técnicas, educação superior em segurança da informação e experiências anteriores em TI – mesmo quando combinadas – são menos preditivos para a performance do profissional de segurança da informação do que proficiência em competências como orientação aos resultados da empresa, tomadas de decisão, influência e atenção organizacional. Menos de 40% da força de trabalho atual é proficiente em alguma dessas quatro habilidades específicas.
Embora possa parecer contraintuitivo, o impacto das habilidades específicas nos profissionais da segurança está alinhado à evolução que o setor sofreu durante os últimos anos. No passado, a segurança frequentemente era um pequeno departamento que operava fora do setor de TI. As decisões tomadas pelo time de segurança eram geralmente sobre como suavizar informações de risco em isolamento, realçando a redução do risco, independentemente do impacto que isso causaria na organização. A habilidade de identificar ameaças e construir técnicas de controle efetivas era singularmente importante para a efetividade do profissional. Já as habilidades específicas eram consideradas, no melhor dos cenários, como não-essenciais.
De lá pra cá, muita coisa mudou. Gestores viram que os times de segurança com essas características eram prejudiciais para os objetivos da companhia, então eles começaram a mudança do modelo. Para se adaptar ao momento, a maioria dos CISOs alterou suas equipes para um modelo mais consultivo. Atualmente, em vez de trabalhar para reduzir o risco das informações por meio do isolamento, espera-se que os profissionais de segurança ajudem os gestores a entender o risco, a fazer uma comparação em relação aos objetivos traçados e a escolher de maneira adequada o curso de suas ações por eles mesmos. A expertise técnica continua sendo importante, entretanto, sem o entendimento do contexto do negócio e a habilidade de influenciar os outros efetivamente, ela continuará insuficiente para os profissionais.
4 medidas para aprimoramento
A pesquisa mostra também quais são as principais práticas adotadas pelos CISOs das empresas no que diz respeito ao gerenciamento de talentos.
1. Investir em treinamento. Ao contrário do que as pessoas pensam, habilidades específicas pode ser ensinadas, especialmente por meio de um sistema de treinamento efetivo. Os gestores na área de segurança devem procurar por oportunidades para mostrar para seus funcionários como eles podem utilizar habilidades específicas para se tornarem mais efetivos na hora de executar tarefas.
2. Criar oportunidades para aprender fazendo no trabalho. Treinamentos formais em habilidades específicas raramente rendem resultados. Em vez disso, os gestores devem buscar oportunidades de colocar a equipe em situações que eles serão compelidos a pensar sobre as realidades do negócio, ou então colocá-los para interagir com áreas não ligadas a segurança.
3. Fazer da mudança um esforço de equipe. Os CISOs viram que algumas das mais dramáticas mudanças na performance da equipe acontece quando eles começam a discutir contextos de negócio e organizacionais durante encontros de equipe. Criar um grupo de discussão em torno de como o trabalho de segurança impacta no negócio é uma poderosa maneira de mudar a mentalidade do time de segurança da informação.
4. Executivos de segurança da informação que investem no desenvolvimento da equipe estão prontos para entendê-los, para se comunicar com eles e influenciar os muitos componentes de suas organizações que irão ver seus times serem colocados dentro de projetos-chave e decisões mais cedo do que o normal, mais frequentemente e com melhores resultados. Isso é o que está embutido de segurança nos processos de uma organização que irão se tornar a chave para proteger as informações em um cenário de crescentes e voláteis ameaças virtuais.
