À medida que as organizações começam a enfrentar os riscos de um cenário digital cada vez mais complexo, elas reconhecem que os desafios de segurança cibernética são agravados pela falta de talentos e habilidades disponíveis para montar uma defesa eficiente. Só nos Estados Unidos, a escassez de habilidades digitais está em um ponto crítico, destacando a necessidade de maior investimento em treinamento de mão de obra. Recentemente, a Casa Branca destacou que cerca de 700.000 cargos relacionados à defesa cibernética em todo o país estão vagos. Uma problemática enfrenta, proporcionalmente, por todos os países.
Claramente, os CISOs e outros líderes estão focados no desafio de preencher as lacunas da cibersegurança. Pela lógica, em uma época em que um ataque cibernético pode ser uma ameaça existencial para qualquer organização, os engenheiros de segurança cibernética serão os primeiros a responder a essas ameaças.
Na verdade, não há apenas um desafio a ser vencido em termos de funções do dia a dia no portfólio de segurança cibernética, mas também uma lacuna de liderança. Muitos profissionais altamente qualificados evitam assumir cargos de liderança na área justamente porque não se sentem preparados para tarefas multivariadas.
Em artigo publicado na revista Security Magazine, Santha Subramoni, líder de cibersegurança na TCS, defende que a solução repousa em uma abordagem em quatro frentes.
1. Aproveite as estruturas e a automação de segurança cibernética.
As organizações precisam reduzir a demanda de defesa cibernética implantando plataformas e tecnologias automatizadas, como segurança de confiança zero, para filtrar ameaças e examinar toda a sua cadeia de valor – incluindo fornecedores e outros atores que podem ser a fonte dos maiores riscos potenciais. Como parte deste esforço, profissionais treinados em segurança cibernética devem ser escalados para monitorar todo o ciclo de vida de desenvolvimento de software e em todos os processos de negócios, para que a segurança e as proteções possam sejam incorporadas desde o projeto, em vez de entrarem em cena ao final do projeto.
2. Migre a segurança cibernética para a nuvem.
Outra área importante de foco precisa ser a mudança para plataformas de nuvem, para armazenamento de dados e segurança relacionada – e vários funcionários de segurança cibernética concordam. No estudo de risco e segurança cibernética de julho de 2022 da TCS, 60% dos CISOs e CROs disseram que se sentem confiantes de que podem evitar sérias consequências financeiras ou de reputação de um grande ataque cibernético nos próximos três anos. Além disso, 62% dos executivos dizem que a nuvem é pelo menos tão segura quanto os servidores locais, ou mais. Ao migrar para a nuvem, concentrando-se em defesas passivas mais fortes e eliminando os pontos fracos associados aos sistemas locais, os CIOs e CISOs podem reduzir a demanda de suas equipes com foco cibernético.
3. Além disso, as organizações precisam abordar o recrutamento, o treinamento e a retenção de talentos de maneira mais sistemática.
Com suporte adicional por meio de estágios remunerados e aprendizados, sem mencionar o recrutamento orientado a eventos, como hack-a-thons, um forte programa de recrutamento e contratação digital pode criar um pipeline de talentos muito mais robusto.
As organizações podem criar currículos em colaboração com universidades e escolas técnicas que levam a mais graduados e coortes treinados em segurança cibernética a cada ano. Com seis semanas de treinamento focado durante o programa universitário e mais quatro a seis semanas de experiência prática, um indivíduo pode adquirir rapidamente as habilidades necessárias para dar suporte às metas de segurança cibernética dentro de uma organização.
Adicionalmente, as organizações já possuem alguns dos talentos de maior potencial. Ao fornecer treinamento adequado e promover o crescimento na carreira por meio de incentivos especiais, eles podem simplesmente transferir o talento existente para funções relacionadas ao ciberespaço.
4. Para fechar a lacuna de liderança em segurança cibernética, as organizações devem evitar colocar toda a autoridade sob um único oficial.
Em vez disso, ao implantar ativos e programas externos, uma organização pode criar uma função de “diretor de informações de segurança virtual”, com vários líderes internos especializados trabalhando com equipes de suporte externas. Essa abordagem fornece clareza de missão para equipes internas, limita o consumo de recursos internos e amplia o conjunto de talentos disponíveis para funções de liderança.
Estas etapas podem expandir o tamanho e a qualidade das equipes cibernéticas existentes, criando uma atração maior para futuros talentos e, ao mesmo tempo, reduzindo a demanda das equipes existentes.
