Falta de pessoal qualificado em segurança cibernética

Contexto

Para lidar com os complexos desafios de segurança que as empresas enfrentam hoje, o setor de tecnologia, o governo e o setor acadêmico devem aumentar consideravelmente a quantidade de profissionais de segurança cibernética na força de trabalho. As barreiras de entrada no campo devem ser eliminadas, e é preciso expandir as oportunidades educativas para garantir que pessoas talentosas com históricos diversos tenham oportunidades para reduzir o crescente déficit de talentos em TI e segurança cibernética. Para ajudar a compensar a falta de profissionais qualificados, as soluções automatizadas precisam se tornar mais sofisticadas.

Está bem documentado que a falta de pessoal qualificado em segurança cibernética está afetando a capacidade das organizações de gerenciar a segurança de suas redes de informação, que ficam cada vez mais complexas. Um estudo realizado em 2016 pela McAfee e o Center for Strategic and International Studies (CSIS), "Soluções para a falta de mão de obra qualificada”, constatou que a falta de mão de obra qualificada em segurança cibernética não é apenas um problema regional ou nacional, mas sim global. Em todo o mundo, 82% dos entrevistados relataram falta de profissionais qualificados em segurança cibernética dentro de suas organizações, e 71% reconheceram que a escassez de talentos torna as organizações mais vulneráveis aos atacantes.

Este problema deverá piorar nos próximos anos. De acordo com um estudo sobre a força de trabalho global de segurança da informação de fevereiro de 2017, realizado pelo (ISC)2, a falta de pessoal qualificado deve chegar a 1,8 milhão em 2022. Para remediar o problema, os criadores de políticas devem trabalhar para encorajar um segmento maior da população a se envolver em vocações técnicas, especificamente na área de segurança cibernética.

A escassez de habilidades em segurança cibernética é particularmente aguda no governo federal. De acordo com o ex-diretor de informática dos EUA, Tony Scott, havia cerca de 10 mil vagas no governo federal para profissionais cibernéticos, mas não havia quantidade suficiente de pessoas qualificadas para preenchê-las. Dado o papel vital desempenhado por órgãos públicos como o Departamento de Defesa e o Departamento de Segurança Interna dos EUA, bem como pelas agências de inteligência, na proteção dos Estados Unidos, essa lacuna de habilidades é inquietante e merece atenção dos criadores de políticas.

Em maio de 2017, o presidente Donald Trump emitiu uma ordem executiva de segurança cibernética exigindo que o secretário de comércio e o secretário da segurança interna dos EUA avaliassem o alcance e a suficiência dos esforços da administração para educar e treinar a futura força de trabalho de segurança cibernética no país. Isso inclui currículos educacionais e programas de treinamento e aprendizado, desde o ensino primário até o ensino superior.

Importância para a McAfee

Garantir a existência de uma oferta crescente de profissionais talentosos de segurança cibernética, em todos os níveis, é uma das nossas principais iniciativas corporativas. Estamos empenhados em trabalhar com as partes interessadas dos setores público e privado para fechar a lacuna sistêmica de habilidades de segurança cibernética a longo prazo através de políticas e parcerias com escolas e universidades. Nosso envolvimento ativo no fechamento da lacuna de habilidades também nos permite construir fortes vínculos nas comunidades em que operamos, o que, por sua vez, nos ajuda a recrutar e reter o tipo de talento de que precisamos para expandir nossa empresa e prosperar.

Como uma das principais empresas de segurança cibernética, a McAfee está empenhada em fazer o que pode para não apenas minimizar a questão da falta de habilidades, mas também compensá-la. Acreditamos que a automação inteligente fornecida em um ambiente integrado deva ser usada para substituir os recursos humanos que antes eram necessários para executar tarefas mundanas. Isso contribuirá para melhorar a defesa das organizações e poderá ser realizado por meio de uma política configurada de forma organizacional, que impulsione a automação inteligente e orientada pelo contexto, permitindo que os humanos façam o que fazem melhor: pensar e agir.

Pontos fundamentais

Polinização cruzada do setor público-privado

Nós precisamos desenvolver abordagens criativas para permitir que os setores público e privado compartilhem talentos, especialmente durante eventos significativos de segurança cibernética. A segurança cibernética é uma área que muda rapidamente, e o que é válido hoje pode ser ultrapassado amanhã. Sabemos que o adversário está sempre inovando e mudando de curso, reagindo frequentemente às novas capacidades defensivas que o setor privado desenvolve. Não é realista pensar que os profissionais cibernéticos do governo possam acompanhar um ambiente em tão rápida evolução sem a assistência do setor privado. Devemos conceber um mecanismo para que os profissionais cibernéticos, especialmente os analistas ou aqueles que estão treinando para se tornarem analistas, se movimentem livremente entre os setores público e privado para que as organizações governamentais tenham uma atualização contínua de conhecimentos especializados.

Uma maneira de conseguir isso seria fazer o Departamento de Segurança Interna dos EUA se associar a empresas e outras organizações, como as universidades, para formar um quadro de profissionais de segurança cibernética; operadores, analistas e pesquisadores credenciados para transitarem livremente entre os serviços dos setores público e privado. Esses profissionais, particularmente aqueles no setor privado, poderiam ficar de plantão para ajudar entidades afetadas e o governo a responder a ataques importantes de hackers em tempo hábil. Os profissionais da segurança cibernética do governo e do setor privado se beneficiariam de rotações regulares de trabalho, possivelmente em períodos de duas ou três semanas por ano. Este tipo de polinização cruzada ajudaria todos a compartilharem melhores práticas em tecnologia, processos de negócios e gerenciamento de pessoas. O Departamento de Segurança Interna dos EUA deveria incluir um pool flexível de profissionais certificados público-privado em seus planos de reformulação da maneira como contrata e retém seus profissionais de segurança cibernética. Se esse departamento não estiver pronto para agir, o congresso deveria estabelecer um painel de especialistas de alta qualificação dos setores público e privado para estudar como um quadro flexível de profissionais de segurança cibernética poderia ser iniciado e gerenciado. Tal como acontece com a Guarda Nacional dos EUA, uma abordagem flexível de contratações para fechar a lacuna de habilidades poderia se tornar um modelo de excelência.

 

Expansão do programa CyberCorps

O programa CyberCorps Scholarship for Service (SFS) da National Science Foundation (NSF) foi projetado para ampliar e fortalecer o quadro de especialistas federais em segurança da informação para a proteção de sistemas e redes governamentais. Até o momento, o governo federal comprometeu-se a apoiar o programa da SFS, tendo gasto US $ 45 milhões em 2015, US$ 50 milhões em 2016, US$ 70 milhões em 2017 e US$ 40 milhões na solicitação de orçamento da administração para o ano fiscal de 2018. Um investimento de US$ 40 milhões financia cerca de 1.500 alunos até a conclusão do programa de bolsas de estudo. Dado o tamanho e a escala do déficit de habilidades cibernéticas, os criadores de políticas deveriam aumentar consideravelmente o tamanho do programa. Um investimento de US$ 180 milhões poderia financiar cerca de 6.400 bolsas de estudo, proporcionando alívio de curto prazo para a lacuna de habilidades cibernéticas.

 

Criação de um programa com as faculdades comunitárias dos EUA

As “community colleges”, faculdades comunitárias especiais dos EUA, tendem a atrair diversos tipos de alunos, desde graduados do ensino médio até veteranos que voltam a estudar e outros estudantes adultos com experiência profissional que buscam novos rumos para suas carreiras. Através de investimentos públicos e privados, as faculdades comunitárias poderiam estabelecer cursos de estudo financiados com foco em TI e segurança cibernética. Os alunos interessados seriam ensinados tanto por professores da faculdade quanto por profissionais do setor privado, resultando em um certificado de dois anos em segurança cibernética que seria transferível para uma escola de quatro anos, ou que capacitaria os alunos a entrar imediatamente na força de trabalho. Assim como acontece no programa CyberCorps, os graduados seriam colocados em cargos federais, onde gastariam a mesma quantidade de tempo que gastam em seu período de bolsa, trabalhando em um cargo governamental garantido. Esse programa não deve substituir, mas sim complementar, o já existente e altamente avaliado programa CyberCorps da SFS.

 

Educação primária e secundária

É crucial comunicar aos alunos de educação primária e secundária que a segurança cibernética é uma carreira emocionante, que pode ter um impacto positivo importante sobre a sociedade. Dados recentes da Microsoft mostram que as meninas europeias se interessam pelas áreas de ciência, tecnologia, engenharia e matemática por volta dos 11 anos, mas começam a perder o interesse aos 15 anos, o que ilustra a necessidade de envolvermos e inspirarmos mulheres jovens nesse período crítico.

Devemos aumentar o recrutamento de professores, mas é importante lembrar que a segurança cibernética é um campo de estudo exclusivo e, portanto, requer uma abordagem única para o ensino. Os profissionais da indústria têm experiências ricas e variadas que aprimoram o diálogo sobre como se tornar um profissional eficaz de segurança cibernética, e podem oferecer um insight extraordinário graças à sua experiência prática em campo.

 

Grande aumento da diversidade

A profissão de segurança cibernética pode se beneficiar grandemente da diversidade em muitos setores. A quantidade de mulheres no campo é de apenas 11% em nível mundial, de acordo com o relatório Women in Cybersecurity, do Center for Cyber Safety and Education e do Executive Women’s Forum, sobre segurança da informação, gerenciamento de risco e privacidade. Na América do Norte, as mulheres constituem apenas 14% dos profissionais de segurança cibernética. A porcentagem é ainda menor para os afro-americanos, que compõem 3% dos analistas de segurança da informação nos EUA, segundo os números do Bureau of Labor Statistics. Treinar e recrutar mais mulheres e pessoas de raças variadas pode ajudar a aliviar a lacuna de habilidades. Curiosamente, muitos dos traços que a sociedade considera “femininos” são altamente valiosos na segurança cibernética: colaboração, trabalho em equipe e criatividade são alguns deles.

Além disso, podemos fazer com que mais mulheres se envolvam e atrair mais pessoas com intuitos filantrópicos explicando melhor como o trabalho de segurança cibernética ajuda as pessoas. Por exemplo, entre as mulheres graduadas em engenharia, os números são mais elevados em engenharia biomédica e engenharia ambiental, campos em que os alunos podem estabelecer uma correlação direta para ajudar a humanidade. A segurança cibernética é claramente um campo que ajuda a proteger e capacitar as pessoas. Se promovermos o domínio de forma eficaz, existe um ambiente muito propício para mulheres jovens e adultas, com alta capacidade, que poderiam ingressar no mercado e preencher esse déficit crescente de 1,5 milhão.

 

Automatização de funções de rotina

Uma estratégia final e de longo prazo para enfrentar o déficit de habilidades de segurança cibernética seria apoiar sistemas cada vez mais automatizados, especialmente tecnologias avançadas que incorporem autoaprendizagem e inteligência artificial. Uma arquitetura automatizada ajuda a reduzir a escassez de habilidades, reduzindo o trabalho mundano que as equipes de TI e segurança cibernética precisam realizar e liberando-as para que se concentrem no trabalho de remedição, que exige intervenção e análise humanas. Utilizar soluções automatizadas cada vez mais sofisticadas não só será algo eficiente, mas também necessário. Ainda estamos longe de preencher a lacuna de habilidades cibernéticas, embora nossa tecnologia esteja evoluindo rapidamente. Devemos trabalhar simultaneamente em duas frentes de grande importância: capacitar mais profissionais de segurança cibernética e tornar seus papéis mais sofisticados através da automatização de tarefas de rotina.