Você luta para contratar e reter profissionais de segurança cibernética? Parece que este problema está piorando bem no momento em que os invasores ficam mais sofisticados? Você não está sozinho.
O estudo anual da força de trabalho de segurança cibernética do International Information System Security Certification (ISC²) encontrou uma lacuna mundial de 3,4 milhões de trabalhadores de segurança cibernética – e isso depois que esta força de trabalho cresceu pouco mais de 11% de 2021 a 2022, adicionando 464.000 empregos somente no ano passado.
Estamos diante não apenas de um risco de esgotamento entre as equipes de segurança, mas de um risco para toda a organização. Então, por que é tão difícil recrutar engenheiros de segurança? Cada vez mais, parece que não são eles , mas você.
As descrições de trabalho de segurança cibernética tendem a ser genéricas, mas excessivas, colocando uma carga impossível em uma pessoa. Anúncios de vagas de segurança não só tendem a pedir níveis irrealistas de experiência e credenciais, mas também não têm conexão com os desafios específicos da organização e com o desejo dos candidatos de encontrar propósito no que fazem.
Muita coisa precisa mudar antes que a indústria de tecnologia possa começar a atender à demanda cada vez maior por segurança cibernética.
Descrições amplas de cargos assustam os candidatos
Uma grande parte do problema com o recrutamento de profissionais de segurança se resume ao fato de as organizações não entenderem suas necessidades específicas – que são posteriormente refletidas em descrições de trabalho abrangentes.
“Quando as pessoas dizem: ‘Quero que alguém faça segurança cibernética’, provavelmente não estão sendo muito específicas”, disse Olu Odeniyi, consultor de segurança cibernética e transformação digital, ao portal The New Stack.
As organizações realmente não sabem do que precisam porque a segurança é um campo amplo. Por exemplo, o Conselho de Segurança Cibernética do Reino Unido identificou 16 especializações em segurança cibernética, que podem abranger, incluir ou às vezes se sobrepor à segurança e privacidade da informação.
Uma parte importante de sua função é ajudar os conselhos a entender melhor a segurança cibernética. Na verdade, uma das funções de segurança cibernética mais solicitadas é a conscientização da segurança em toda a empresa. Essa típica falta de compreensão é o motivo pelo qual Odeniyi fez com que o presidente de um cliente declarasse ao seu conselho: “Tivemos um ataque cibernético!” quando, na verdade, a empresa só precisava lidar com uma vulnerabilidade importante.
Quer se trate de regulamentos de privacidade, ameaças cibernéticas ou simplesmente riscos comerciais, continuou ele, cada organização deve se perguntar quais habilidades realmente precisa para se manter segura: “Uma organização precisa fazer uma avaliação de risco exclusiva para essa organização”.
Odeniyi recomendou ainda começar com os objetivos da empresa, respondendo:
O que é crítico para tentar alcançar esses objetivos?
Quais são os requisitos estratégicos para esses espaços?
Quais são os aspectos de cibersegurança para que isso aconteça?
E, em seguida, crie papéis em torno dessas estratégias.
Como exemplo, Odeniyi disse ao The New Stack que a segurança cibernética e a segurança da informação devem ser partes críticas de uma estratégia de e-commerce de um empresa tradicional, por exemplo, desde o início do projeto. Quais funções são necessárias para ajudar a entregar isso?
Em seguida, ele acrescentou: “Os recrutadores precisam vincular essas funções aos objetivos estratégicos da empresa para que essas pessoas queiram desempenhar esta função” e anunciá-los “não apenas como uma espécie de geek. Ajude-os a entender para onde estão indo, o que estão apoiando.”
Venda o propósito nas funções de segurança cibernética
“Fazemos um péssimo trabalho de marketing como uma indústria para atrair talentos”, disse Masha Sedova, cofundadora e presidente da Elevate Security, ao The New Stack.
“A maioria das pessoas pensa em segurança cibernética como um hacker com um capuz em um porão, quando, na verdade, trata-se de proteger a conta de aposentadoria de alguém para que ela possa se aposentar com segurança, proteger pessoas vulneráveis, proteger pequenas empresas”.
Está provado que as mulheres querem uma carreira voltada para um propósito e que a geração do milênio está escolhendo um propósito em vez de contracheques. Na verdade, ao contratar, Sedova é constantemente questionada pelos candidatos: Como esse trabalho fará uma mudança positiva no mundo?
No entanto, ela observou, que o setor de segurança cibernética está errando o alvo – e o marketing – ao relatar o valor dessas funções para a melhoria das vidas. “Sinto que só aparecemos com a borda dura”, disse. Ela defende que a publicidade dos empregos de segurança sejam menos técnicas e mais voltada para a solução de problemas, com um elemento de retribuição e altruísmo.
“A missão da segurança cibernética é incrivelmente poderosa e atende à necessidade de muitas pessoas de causar impacto no mundo”, disse ela. “Se pudermos mudar a forma como falamos sobre isso, se as pessoas puderem perceber que seu tempo e energia podem ser usados para proteger os cidadãos digitais, podemos atrair uma nova geração.”
Para não desconsiderar a proeza técnica necessária, Sedova esclareceu: “Acho que muitas pessoas são capazes de executar o técnico – mas você não precisa ser o programador perfeito”.
Maiores barreiras para preencher vagas
Há muitas razões pelas quais o pool de candidatos à segurança cibernética é raso, mas todos os entrevistados para este artigo citaram o mesmo: o absurdo de anúncios de empregos em segurança cibernética que pegam tudo.
“As descrições de trabalho costumam ser terríveis. [Eles] pedem mais experiência do que realmente existe em uma determinada tecnologia”, afirma Chris Hughes, diretor de segurança da informação e cofundador da Aquia, uma empresa de serviços de segurança cibernética, além de apresentador do podcast Resilient Cyber e professor adjunto da Universidade de Maryland Global Campus. “Os requisitos são ridículos e as pessoas não se aplicam.”
Mesmo as funções descritas como “nível de entrada” geralmente vêm com pré-requisitos irrealistas.
“Colocamos barreiras de nível de entrada realmente altas – anos mínimos de experiência, certificações que são longas e complicadas de obter, um diploma em segurança cibernética”, disse Sedova, ao relatar as barreiras financeiras e de tempo para ingresso neste mercado.
Antes de cofundar sua própria plataforma de gerenciamento de riscos, ela contratou e gerenciou equipes de especialistas em segurança, inclusive na Salesforce, e descobriu que pessoas com origens não tradicionais trazem uma ótima mentalidade de solução de problemas para a segurança.
“A missão da segurança cibernética é incrivelmente poderosa e atende à necessidade de muitas pessoas de causar impacto no mundo. Se pudermos mudar a forma como falamos sobre isso, se as pessoas puderem perceber que seu tempo e energia podem ser usados para proteger os cidadãos digitais, podemos atrair uma nova geração.”
Masha Sedova, cofundadora e presidente da Elevate Security
As descrições de trabalho de segurança cibernética, observou Odeniyi, geralmente se concentram apenas em requisitos técnicos. “As pessoas pensam que segurança cibernética é sobre TI”, diz ele. “A segurança cibernética fica no departamento de TI, mas a segurança cibernética é sobre pessoas, processos e tecnologia – não apenas tecnologia.”
Ao escrever o anúncio de emprego, concentre-se nas metas e no propósito da função, e não apenas nas tarefas e certificações detalhadas que você acha que um candidato precisa.
Tem dúvidas de como melhorar? Siga Naomi Buckwalter no LinkedIn, enquanto a especialista em segurança da informação compartilha diariamente um novo trabalho básico de segurança cibernética, destacando bons e maus exemplos e sinalizando vagas que são boas para mudanças de carreira e para candidatos não técnicos versus técnicos.
Como melhorar os processos de contratação
Além das descrições de trabalho desanimadoras o próprio processo de seleção árduo pode estar dissuadindo os candidatos.
“O processo de contratação de profissionais de segurança cibernética pode ser difícil e demorado, desencorajando alguns candidatos a se candidatarem ou impedindo as empresas de buscar candidatos específicos”, afirma Philip Chan, professor adjunto da Escola de Segurança Cibernética e Tecnologia da Informação do Campus Global da Universidade de Maryland.
Mesmo para alguém interessado em começar ou entrar na segurança cibernética, não há um caminho claro para entrar além de um diploma, um monte de certificações e uma rede existente.
“As descrições de trabalho costumam ser terríveis. [Eles] pedem mais experiência do que realmente existe em uma determinada tecnologia. Os requisitos são ridículos e as pessoas não se aplicam”.
Chris Hughes, diretor de segurança da informação e cofundador da Aquia
“Não sabemos como entrevistar de forma criativa para essas funções”, diz Sedova, apontando como outros processos de trabalho de tecnologia alavancam questões lógicas e outras maneiras de descobrir como um problema de candidato resolve, enquanto a segurança cibernética ainda depende fortemente de experiências anteriores e certificações – apesar da imensa lacuna de talentos.
Uma pesquisa recente das universidades de Harvard e Stanford explorou as características de alguém com uma “mentalidade de segurança”, que os pesquisadores qualificaram como três aspectos interconectados:
- Monitoramento de possíveis anomalias de segurança.
- analisar anomalias mais profundamente para identificar falhas de segurança.
- Avaliar a relevância dessas falhas em um contexto mais amplo.
Eles descobriram que essa mentalidade é desenvolvida pela experiência profissional e pessoal, com a “curiosidade sobre sistemas técnicos” emergindo como a qualidade mais importante para o sucesso na segurança cibernética. Os autores do estudo sugeriram que empregadores e recrutadores equilibrem avaliações técnicas e qualitativas:
“Por exemplo, eles podem combinar um teste de desempenho de recompensa de bug com uma tarefa de explicar o risco relativo de diferentes bugs, dados diferentes conjuntos de suposições de fundo. Eles também podem pedir aos candidatos suas fontes preferidas de informação sobre os riscos relativos de falhas de segurança, ou podem perguntar sobre as interações do candidato com CISOs ou outros funcionários com maior probabilidade de desempenhar um papel de avaliação pesada.”
É tanto ou mais sobre pensar de forma criativa e lógica, sobre vulnerabilidades em um sistema, observa Sedova, do que ser capaz de se colocar na mentalidade de um invasor. Você pode criar testes ou experiências para testar a mentalidade de segurança de alguém?
Um simpósio de 2018 sobre privacidade e segurança utilizáveis descobriu que as percepções mais comuns sobre segurança cibernética são “é assustador… é confuso… e é monótono”.
Tanto no recrutamento quanto na defesa da segurança cibernética, os pesquisadores da Universidade de Maryland, no condado de Baltimore, descobriram que é essencial focar no contexto situacional, bem como educar e falar com diferentes níveis de entendimento técnico.
Requalificação
Na ausência de pessoas para preencher cargos de segurança e considerando que o recrutamento custa muito mais do que a retenção, as organizações devem capacitar seus funcionários atuais.
“O campo da segurança cibernética está em constante evolução, o que significa que os profissionais precisam atualizar suas habilidades e conhecimentos continuamente”, pontua Chan. As empresas que tentam contratar e reter profissionais de segurança cibernética com requisitos de treinamento constantes podem ser um desafio.”
Considerando que estes treinamentos e certificações podem custar mais de US$ 4.000, as empresas podem considerar pagar por esta educação como forma de atrair e reter talentos.
Uma função que Odeniyi gostaria de ver mais em 2023 é o gerenciamento da cultura de segurança cibernética – “acabei inventando essa função porque não a vi anunciada”, afirma ele.
Tal função influenciaria toda a cultura da empresa a considerar as pessoas, os processos e o treinamento necessários para cultivar esta mentalidade de segurança cibernética. Um empregador pode ser melhor em identificar as personalidades e conjuntos de habilidades certos entre sua equipe existente, em vez de procurá-los de fora.
Reconhecendo outra lacuna, Odeniyi gostaria que alguém liderasse a operacionalização da segurança cibernética, procurando definir e apoiar as operações contínuas de segurança de TI nas necessidades de uma organização.
“A questão fundamental é que a tecnologia muda muito e mais rápido do que podemos obter leis e regulamentos para tentarmos ser mais rápidos do que podemos treinar pessoas em seus setores”, declara ele. Esta posição exigiria alguém com uma função e mentalidade multifuncional.
Hughes classificou os conjuntos de habilidades mais procurados como segurança em nuvem e DevSecOps. Claro, essas não são funções básicas. Mas se alguém tem experiência em Kubernetes e contêineres, diz ele, “ter profundidade técnica e habilidades interpessoais – ser capaz de se comunicar e ter bons relacionamentos e relacionamento com desenvolvedores e líderes” pode torná-los bons candidatos.
Sedova identifica cargos de nível básico dentro de uma empresa que poderiam seguir caminhos lógicos para o trabalho de segurança cibernética, como aqueles que trabalham em resposta a incidentes, análise do centro de operações de segurança e cargos de gerenciamento de projetos júnior.
A Cyversity é uma organização sem fins lucrativos que oferece cursos e orientação para trazer mais mulheres e minorias sub-representadas para a cibersegurança. Sedova menciona que também existem muitos programas de mentoria cibernética patrocinados por bancos e governos.
Qualquer programa de integração de segurança cibernética precisa ser fundamentado na segurança psicológica para combater a síndrome do impostor. Mesmo profissionais de segurança altamente qualificados, diz Sedova, podem passar por experiências dolorosas que os fazem sentir-se inadequados.
Existem tão poucos cargos iniciantes na indústria cibernética atual, o que é mais uma razão, diz ela, para que as empresas precisem fornecer treinamento, certificando-se de dizer: “Tudo bem não saber”.
Problemas de diversidade da tecnologia
Michelle Lebesley, uma líder de conscientização de segurança que trabalha como consultora, argumentou que os gerentes de contratação não deveriam perguntar por que os profissionais de segurança cibernética são difíceis de encontrar, mas sim mudar para: Por que você acha que as pessoas não estão se candidatando à sua organização?
“Se você está procurando um bom engenheiro de segurança ou um bom arquiteto de soluções de segurança, existem milhões de nós”, diz ela. “As pessoas se auto-escolhem porque veem que a empresa não parece acolhedora ou porque são todos brancos heterossexuais. Pouquíssimas pessoas vão querer ser a primeira pessoa negra ou o primeiro com deficiência em uma empresa”.
Michelle Lebesley, consultora de conscientização de segurança
E com as demissões de tecnologia, há um medo razoável de que haja um retrocesso no recente impulso para equipes mais diversas.
Os processos de contratação de segurança cibernética são notoriamente gatekeepers, mesmo para a indústria de tecnologia. Todas as pessoas entrevistadas para este artigo citaram a rede de uma pessoa como a maneira mais comum de encontrar um emprego em segurança cibernética – e a construção dessa rede geralmente favorece as pessoas que têm tempo e dinheiro para participar de conferências.
Da mesma forma, como o Interviewing.io descobriu, há uma lacuna na prática de entrevistas técnicas, em que os candidatos de formações tradicionais – e especialmente aqueles dos 20 principais programas americanos de ciência da computação – superam largamente aqueles de formações não tradicionais, como graduados em campos de treinamento ou profissionais que são autodidatas.
Além disso, a empresa de entrevistas simuladas descobriu que as mulheres eram mais facilmente desencorajadas por contratempos: elas abandonavam a prática de entrevistas sete vezes mais do que os homens, depois de apenas uma entrevista ruim.
Enfrentando tantos obstáculos, Lebesley prevê que aqueles marginalizados na segurança cibernética começarão a criar suas próprias empresas e organizações.
Ela já vê isso nas plataformas de mídia social lideradas por negros e previu que espaços seguros continuarão a surgir como uma solução para ambientes de trabalho hostis em 2023: “As pessoas só querem trabalhar em um ambiente seguro, para uma empresa em que acreditam”.
