Estudo revela crescimento no despreparo das equipes de segurança

A crise de habilidades de segurança cibernética continua em uma tendência crescente e vem piorando ano a ano, impactando mais da metade (57%) das organizações, conforme revelado em um estudo global de profissionais de segurança cibernética pela Information Systems Security Association (ISSA) e a empresa de análise de mercado Enterprise Strategy Group (ESG). Este estudo anual busca compreender as perspectivas das pessoas na carreira de segurança da informação para ajudar outras pessoas a compreender os desafios deste importante campo.

O novo relatório de pesquisa, chamado The Life and Times of Cybersecurity Professionals 2021, entrevistou 489 profissionais de cibersegurança e revela várias nuances em torno da escassez de habilidades bem documentadas em segurança cibernética. As principais ramificações da escassez de habilidades incluem uma carga de trabalho crescente para a equipe de segurança cibernética (62%), requisições de vagas abertas não preenchidas (38%) e alto desgaste da equipe (38%). Além disso, 95% dos entrevistados afirmam que a escassez de habilidades em segurança cibernética e seus impactos associados não melhoraram nos últimos anos e 44% dizem que só piorou.

Notavelmente, as três áreas mais citadas de escassez significativa de habilidades em segurança cibernética incluem segurança de computação em Nuvem, análises e investigações de segurança e segurança de aplicativos. Essas áreas devem ser o foco dos profissionais de segurança cibernética quando procuram desenvolver habilidades.

As empresas não estão investindo em seu pessoal de uma maneira que reflita de maneira adequada a gravidade do cenário atual de ameaças cibernéticas. Um impressionante número de 59% dos entrevistados disse que sua organização poderia fazer mais para lidar com a escassez de habilidades em segurança cibernética, com quase um terço observando que sua organização poderia fazer muito mais.

Os profissionais de segurança cibernética precisam de remuneração justa e competitiva. Isso apareceu várias vezes no relatório de pesquisa e é claramente crítico para a contratação e retenção do pessoal de segurança. Em uma nova descoberta deste ano, não oferecer remuneração competitiva é o principal fator (38%) que contribui para a escassez de habilidades cibernéticas das organizações, porque torna difícil recrutar e contratar os profissionais de segurança cibernética de que as organizações precisam. Mais de três quartos (76%) das organizações admitem que é difícil recrutar e contratar pessoal de segurança cibernética, com quase um quinto (18%) afirmando que é extremamente difícil. A oferta de um pacote de remuneração maior é o principal motivo (33%) dos CISOs trocarem uma organização por outra.

Investimento

Ainda segundo o relatório, os investimentos em treinamento de segurança cibernética precisam ser financiados de forma adequada. Quando questionados sobre quais ações as organizações podem tomar para lidar com a escassez de habilidades em segurança cibernética, a maior resposta (39%) foi um aumento no treinamento em segurança cibernética para que os candidatos possam ser devidamente treinados para suas funções. Para manter e aprimorar seus conjuntos de habilidades, muitos profissionais de segurança cibernética buscam atingir pelo menos 40 horas de treinamento por ano. Quase um quarto (21%) dos pesquisados ​​não cumpria essa jornada de treinamento. A principal razão que citaram foi que seus empregos não pagam por 40 horas de treinamento por ano e eles não podem pagar por si próprios, de acordo com quase metade (48%) dos entrevistados.

Assim, o paradoxo do treinamento em segurança cibernética continua e precisa de atenção. Quase todos (91%) os entrevistados concordam que os profissionais de segurança cibernética devem acompanhar suas habilidades ou as organizações para as quais trabalham estão em uma desvantagem significativa contra os adversários cibernéticos de hoje. Apesar dessa necessidade, 82% afirmam que, embora tentem acompanhar o desenvolvimento de habilidades de segurança cibernética, os requisitos de trabalho muitas vezes atrapalham – o paradoxo que os profissionais enfrentam quando são chamados para compensar a falta de habilidades existentes, além de ficar para trás em seu próprio desenvolvimento.

As equipes de recursos humanos e cibersegurança precisam se alinhar com o valor do negócio. Quase um em cada três (29%) profissionais entrevistados disse que os departamentos de RH de suas organizações provavelmente excluem candidatos fortes a empregos porque não entendem as habilidades necessárias para trabalhar com segurança cibernética. Um em cada quatro também disse que as ofertas de emprego em suas organizações tendem a ser irrealistas, exigindo muita experiência, muitas certificações ou muitas habilidades técnicas específicas. Quase um terço (30%) sugeriu que os CISOs tentem educar melhor o RH e os recrutadores sobre as metas e necessidades de segurança cibernética do mundo real e 28% disseram que os recrutamentos de empregos precisam ser mais realistas com os níveis típicos de experiência dos profissionais de segurança cibernética.

Líderes empresariais e cibernéticos precisam trabalhar juntos para melhorar a dinâmica organizacional. Os executivos de negócios devem adotar a segurança cibernética como um componente central dos negócios, enquanto os CISOs precisam mover seu pessoal, processos e tecnologias para mais perto dos negócios. As organizações devem ficar alarmadas com o fato de que 29% dos entrevistados disseram que o relacionamento da equipe de segurança com o RH é razoável ou ruim; 28% disseram que o relacionamento com os gerentes de linha de negócios é razoável ou ruim; 27% dos entrevistados disseram que o relacionamento com o conselho de administração é razoável ou ruim; e 24% disseram que o relacionamento com a equipe jurídica é justo ou ruim.

“Há uma falta de entendimento entre o lado ciberprofissional e o lado comercial das organizações, o que está agravando o problema da lacuna de habilidades cibernéticas”, afirmou Candy Alexander, presidente do Conselho da ISSA International. “Ambos os lados precisam reavaliar os esforços de segurança cibernética para alinhar com as metas de negócios da organização para fornecer o valor que um programa de segurança cibernética forte traz para atingir as metas de manter os negócios funcionando. Os líderes de segurança cibernética devem ser capazes de vincular os esforços de segurança diretamente aos objetivos de negócios estratégicos”, observou.

“Este relatório revela alguns problemas arraigados com os profissionais de segurança cibernética e suas organizações”, disse Jon Oltsik, analista sênior da ESG. “A ESG e a ISSA esperam que os profissionais de segurança cibernética usem essa pesquisa para entender melhor sua profissão e seus pares enquanto gerenciam suas carreiras. Para profissionais de negócios e cibersegurança, os dados devem ser vistos como um conjunto de diretrizes para maximizar o investimento em cibersegurança, melhorar a satisfação no trabalho em cibersegurança e alinhar a cibersegurança com a missão da empresa. A mensagem é clara: as organizações com uma cultura de segurança cibernética estão na melhor posição”, afirmou.

Serviço
www.issa.org