Falhas na orientação de carreira em cibersegurança, no investimento na equipe e na integração de segurança e negócios podem impactar até 70% das organizações
A crise das habilidades de cibersegurança continua a piorar pelo quarto ano consecutivo e impactou quase três quartos (70%) das organizações, conforme estudo anual.
Carga de trabalho crescente, requisições de vagas abertas e uma incapacidade de aprender ou usar as tecnologias de segurança cibernética em todo o seu potencial, têm colocado as organizações em risco significativo.
A discussão sobre as lacunas nas habilidades na carreira de segurança cibernética vem ocorrendo há quase 10 anos. O quarto estudo anual de profissionais de segurança cibernética da ISSA (Information Systems Security Association) e da empresa independente de análise de negócios Enterprise Strategy Group (ESG) confirma que não houve progresso significativo em direção a uma solução para esse problema durante os quatro anos em que foi pesquisado de perto.
De fato, 45% dos entrevistados afirmam que a escassez de habilidades em segurança cibernética e seus impactos associados só pioraram nos últimos anos.
ISSA e ESG acreditam que a causa raiz nunca foi abordada. O que é necessário é uma abordagem holística da educação contínua em segurança cibernética, na qual cada parte interessada precise desempenhar um papel em vez de operar em silos, diz o relatório.
“A lacuna de segurança cibernética não pode ser resolvida simplesmente preenchendo o pipeline com novas pessoas. O que é necessário é uma abordagem holística, começando com educação pública, desenvolvimento e planejamento de carreira abrangente e mapeamento de carreira – tudo com o apoio e a integração com os negócios”, disse Candy Alexander, Presidente do Conselho da ISSA International.
Entre as descobertas, o estudo aponta que os profissionais de segurança cibernética precisam de um plano abrangente de desenvolvimento de carreira aceito globalmente.
O relatório diz que sem orientação e um caminho claro a seguir, é difícil para os novos candidatos saberem o que é necessário e como adquirir as habilidades necessárias para ingressar na profissão. Com frequência, os profissionais atuais são deixados para descobrir como progredir por conta própria. A pesquisa, então, reforça os seguintes pontos:
Orientação profissional
Profissionais de segurança cibernética continuam a precisar de orientação profissional; 68% dos profissionais de segurança cibernética pesquisados não têm uma carreira bem definida, e as soluções históricas são apenas problemas de composição.
Oportunidades
As carreiras de segurança cibernética dependem da experiência prática e a experiência prática requer um emprego. Quando perguntados o que era mais importante para o desenvolvimento de suas carreiras: experiência prática ou certificações de segurança, 52% escolheram experiência prática. Ainda, 44% afirmam que a experiência prática e as certificações são igualmente importantes.
Essa combinação requer o emprego certo, a experiência certa e o plano de carreira certo, mas poucos profissionais de segurança cibernética podem reivindicar essa combinação.
Dominar a carreira leva tempo
Leva anos para se tornar um profissional proficiente em segurança cibernética, com 39% acreditando que leva de 3 a 5 anos para desenvolver uma proficiência real em segurança cibernética, enquanto 22% dizem de 2 a 3 anos e 18% afirmam que são necessários mais de 5 anos.
Isso significa que os profissionais iniciantes em segurança cibernética devem ser vistos como investimentos de longo prazo, e não como solucionadores imediatos de problemas.
Você está fazendo o suficiente?
Outro resultado em destaque mostra que as empresas não estão investindo em seu pessoal ou apoiando a integração de segurança cibernética na organização. Mais da metade dos entrevistados (64%) acredita que sua organização deveria estar fazendo um pouco ou muito mais para enfrentar os desafios de segurança cibernética.
A ESG e a ISSA acreditam que os executivos de negócios veem isso como um problema técnico e não como um problema comercial.
Busque treinar
As organizações não estão fornecendo o nível certo de treinamento em segurança cibernética. Trinta e seis por cento dos entrevistados relataram que pensavam que suas organizações deveriam fornecer um pouco mais de treinamento em segurança cibernética, enquanto 29% acreditam que suas organizações deveriam fornecer um treinamento significativamente maior.
Além disso, 28% acreditam que não estão fornecendo treinamento suficiente para funcionários não técnicos. Com base em 4 anos de pesquisa, o treinamento parece ser uma falha perpétua. Surpreendentemente, parece haver um plano de melhoria.
Parceria entre segurança e negócios
CISOs e executivos de negócios poderiam fazer mais juntos. Cinquenta e cinco por cento acreditam que há uma participação adequada do CISO com executivos e conselhos corporativos em 2020, tendendo ligeiramente para cima. Ainda assim, 24% pensam que os CISOs e os executivos de negócios poderiam fazer mais juntos.
Outros constituintes críticos também foram avaliados quanto à capacidade de acompanhar os desafios de segurança cibernética e os dados indicam que a indústria e a comunidade em geral precisam avançar: por exemplo, 68% dos entrevistados acreditam que os fornecedores de serviços e tecnologia de segurança cibernética devem muito mais e 71% dos entrevistados acreditam que a comunidade de segurança cibernética em geral deveria estar fazendo um pouco ou muito mais.
“Como este e os relatórios anteriores indicam claramente, os principais constituintes não estão olhando estrategicamente para a profissão. Enquanto estamos fazendo algum progresso fragmentado, os mesmos problemas se apresentam ano após ano, incluindo uma escassez de habilidades, funcionários mal treinados e o estresse e a tensão causados por uma carreira na área de segurança cibernética.”
“Essas tendências perturbadoras devem ser motivo de preocupação para diretores corporativos e executivos de negócios, particularmente à luz das constatações alarmantes deste ano: 67% dos entrevistados acreditam que os ciber-adversários têm uma grande vantagem sobre os ciber-defensores”, disse Jon Oltsik, Analista Principal Sênior & ESG Fellow.
Fonte: CIO
Entenda o conceito de SASE, o futuro da cibersegurança, segundo o Gartner
Novos tempos exigem mais investimento nos profissionais de cibersegurança