De acordo com o relatório de pesquisa mais recente do Enterprise Strategy Group (ESG) e da Information System Security Association International (ISSA), 57% das organizações afirmam que foram impactadas pela escassez global de habilidades em segurança cibernética, enquanto 44% das organizações acreditam que a escassez de habilidades piorou ao longo dos últimos anos. O resultado? Cargas de trabalho crescentes na equipe de segurança cibernética existente, requisições de trabalho abertas por semanas ou meses e altas taxas de esgotamento e atrito para profissionais de segurança cibernética.
Funções de cibersegurança com menos pessoal
Quais trabalhos demandam mais profissionais? De acordo com a pesquisa do ESG do final de 2022:
- 37% das organizações têm falta de arquitetos de segurança. Com base na minha experiência, essa escassez é aguda em duas áreas: arquitetura de segurança em nuvem e aquelas focadas na integração de tecnologia (ou seja, consolidação de várias tecnologias em uma arquitetura de plataforma coesa).
- 35% das organizações têm falta de engenheiros de segurança. Os engenheiros de segurança são as pessoas que instalam, configuram e mantêm as soluções de segurança, portanto, a falta de engenheiros de segurança equivale a um uso inadequado da tecnologia de segurança. O ESG também está vendo uma demanda crescente por indivíduos qualificados em engenharia de detecção (ou seja, detecção como código, criação de regras Sigma/Yara etc.).
- 34% das organizações têm escassez de analistas SOC de nível 3. Esses são os analistas de SOC mais experientes, que recebem as escalações/investigações difíceis e geralmente são encarregados da busca proativa de ameaças. Em vez de analistas de nível 3, as organizações não têm escolha a não ser pedir aos generalistas que façam um trabalho especializado.
- 33% das organizações têm escassez de analistas de gerenciamento de vulnerabilidades. Uma escassez aqui leva a um aumento do risco cibernético, pois os ativos de TI permanecem não descobertos, mal configurados e vulneráveis.
- 31% das organizações têm escassez de CISOs, BISOs ou outros cargos seniores de segurança cibernética. Essa escassez significa que muitas organizações estão operando programas de segurança sem a liderança necessária para identificar o risco cibernético, gerenciar um programa de segurança empresarial e trabalhar com executivos para alinhar a segurança com os negócios. Muito assustador!
Porque uma economia em baixa piorará a escassez de segurança cibernética
Temos lidado com a escassez de habilidades em segurança cibernética há anos, mas há uma nova ruga aqui: o estado atual da economia. Nos próximos 12 a 18 meses, os ventos econômicos contrários exacerbarão o impacto da escassez de habilidades em segurança cibernética. Aqui estão meus dois centavos:
- Os profissionais de segurança cibernética serão mais seletivos sobre a procura de emprego. Nos últimos 10 anos, os profissionais de segurança receberam pacotes de remuneração generosos, geralmente vinculados a opções de ações. Agora que os mercados estão em baixa e os IPOs não estão mais à vista, os profissionais de segurança vão trocar ações por dinheiro vivo. Além da remuneração por si só, a turbulência econômica tende a gerar um comportamento mais avesso ao risco. É provável que os profissionais de segurança cibernética se agachem, adotem uma abordagem cautelosa para a progressão na carreira e esperem que a tempestade econômica passe. Essas mudanças de comportamento podem ser mais sentidas no Vale do Silício, onde movimentos arriscados de carreira e patrimônio líquido são procedimentos operacionais padrão.
- O aumento do uso de serviços de segurança esgotará o pool de talentos. Observe qualquer pesquisa e você verá que mais organizações estão recorrendo aos serviços gerenciados para aumentar a equipe de segurança interna sobrecarregada e pouco qualificada. Por exemplo, pesquisas recentes do ESG sobre operações de segurança indicam que 85% das organizações usam algum tipo de serviço gerenciado de detecção e resposta (MDR) e 88% planejam aumentar o uso de serviços gerenciados no futuro.
Conforme esse padrão continua, os provedores de serviços gerenciados de segurança (MSSPs) precisarão adicionar pessoal para lidar com a demanda crescente. Como os modelos de negócios dos provedores de serviços são baseados em escalar as operações por meio da automação, eles calcularão um retorno maior sobre a produtividade dos funcionários e estarão dispostos a oferecer uma remuneração mais generosa do que as organizações típicas. Uma empresa agressiva de serviços de segurança em uma cidade pequena poderia facilmente obter quase o monopólio dos talentos locais. No nível executivo, também veremos uma demanda crescente pelos serviços de CISOs virtuais (vCISOs) para criar e gerenciar programas de segurança no curto prazo.
- Contratações travadas vão atrapalhar. Durante crises econômicas, as organizações geralmente tomam decisões gerais draconianas, como cortar treinamento, reduzir a força de trabalho ou congelar todas as novas contratações. Quando isso acontece, os CISOs devem lutar com o RH por cada contratação individual necessária, desacelerando o processo de contratação e forçando as organizações a gerenciar a segurança, apesar da falta de pessoal ou da falta de habilidades críticas.
Sim, os ventos econômicos contrários atrapalham os trabalhos dos CISOs – especialmente aqueles que já lidam com questões de pessoal e habilidades de segurança. O que é que eles podem fazer? Aumente os orçamentos de treinamento, reforce seus compromissos com funcionários-chave, trabalhe com fornecedores para obter o máximo de seus produtos e complemente a equipe com prestadores de serviços.
