Reformulando a falta de talentos em segurança cibernética

As conversas de hoje sobre a escassez de talentos em segurança cibernética estão gerando atividade, mas resultados limitados. Raramente passa uma semana sem que apareça outro artigo, estudo ou tópico de mídia social lamentando a crise. As ofertas de emprego para iniciantes têm requisitos de remuneração abaixo do mercado, os candidatos têm expectativas irracionais sobre o que farão no primeiro ano após a faculdade, e a troca de emprego e o esgotamento continuam no mercado de trabalho técnico mais amplo. Enquanto isso, faculdades, aceleradoras e programas de mentoria aproveitaram essa oportunidade de mercado e estão canalizando mais talentos "construídos para um propósito específico" para o mercado do que nunca, muitas vezes com a promessa de uma demanda crescente por suas habilidades em uma carreira "empolgante e lucrativa". O mercado de talentos deveria estar sinalizando correção, dada a atenção e o investimento que recebeu durante anos, mas, segundo a maioria dos relatos, não é o que acontece.

Este é um problema existencial em segurança porque, embora a tecnologia desempenhe um papel crítico no fornecimento de soluções novas e mais eficientes para programas de segurança, a capacidade de um programa de segurança de avaliar, investir e operacionalizar essas tecnologias depende da disponibilidade de pessoas qualificadas nas posições certas. Os fornecedores de tecnologia e segurança ultrapassaram o mercado, oferecendo avanços maiores a cada ano, o que exige maior investimento de clientes que estão lutando para manter talentos e acompanhar a expansão tecnológica. Isso é amenizado pela tendência contínua de fornecedores de segurança oferecerem serviços gerenciados em conjunto com seus produtos, operacionalizando suas ofertas para os clientes de forma imediata e econômica, para benefício de ambos os lados. No entanto, a empresa ainda enfrenta o desafio de racionalizar esses investimentos e reavaliar continuamente a cobertura à medida que seu ambiente evolui, exigindo conhecimento especializado, mesmo que seja apenas uma pequena equipe de segurança gerenciando um programa composto inteiramente de serviços gerenciados.

Embora as piadas macabras sobre o "líder de segurança estressado e doentio que nunca dorme" ainda pareçam verdadeiras, raramente são atores de ameaças avançadas ou enredos de Hollywood que impedem o sono. São questões humanas como se a equipe está bem, se eles têm o que precisam, se as pessoas certas estão nas funções certas, quais novas funções ou pessoas são necessárias, a credibilidade da equipe com organizações semelhantes, a credibilidade do líder com seus pares executivos e assim por diante. Este é um custo de liderança, não limitado à liderança de segurança. Isso vai contra a narrativa do mercado e surpreende as pessoas quando digo que vejo com mais frequência líderes de segurança recomendando livros de negócios e gestão uns aos outros do que livros técnicos ou de segurança. Sim, há discussões sobre a última violação divulgada ou como os colegas estão resolvendo problemas técnicos, mas há uma excitação igual ou maior em compartilhar um novo processo, estrutura de equipe ou método de comunicação que foi bem-sucedido.

Temos uma escassez de habilidades de segurança e liderança, não uma escassez mais ampla de talentos em segurança. Isso está desacelerando a ampla correção do mercado de talentos em segurança que precisamos ver para aumentar a resiliência em todos os negócios, não apenas nos silos tradicionais de programas de segurança de 1%. Por exemplo:

• O rápido crescimento do pipeline de talentos de segurança de nível básico só poderá ser alavancado com um retorno positivo se houver líderes para reconhecer e desenvolver esses talentos. Isso é especialmente crítico porque muitos profissionais em início ou meio de carreira em áreas paralelas estão interessados em redirecionar suas carreiras para a segurança, proporcionando um conjunto maior de talentos com maior maturidade no local de trabalho.
• O programa de segurança só deve ter permissão para crescer se puder se racionalizar no contexto do negócio para permitir e contribuir para seu sucesso, exigindo maior compreensão do negócio e habilidades de comunicação do que normalmente se espera de um líder de domínio profundo e categorizado. O programa e sua eficácia são limitados sem essas habilidades.
• Colaboradores individuais de nível médio e sênior de qualidade provavelmente serão atraídos por um líder empático que esteja construindo um programa com uma visão para prepará-los para o sucesso dentro do negócio, e não serão levados de forma reativa por incêndios e exageros para construir mais um "Escritório de Aceitação de Riscos". Você precisa de diversidade de responsabilidades e antiguidade para o trabalho da equipe, mas também para orientar e ajudar a desenvolver os talentos juniores. O líder de segurança não deve fazer isso sozinho, especialmente à medida que o programa cresce.
• Quando a organização de segurança estiver sustentando talentos de nível júnior, médio e sênior sem rotatividade excessiva, novas oportunidades surgirão. Uma organização sustentável pode começar a direcionar talentos oportunisticamente com habilidades avançadas e especializadas à medida que sua organização amadurece e se aproxima de ser uma “1%”. Profissionais experientes com habilidades como segurança de aplicativos e nuvem, além de detecção e modelagem de ameaças continuarão escassos até que esse cultivo mais amplo de talentos produza tais profissionais.

Nos últimos 5 anos, vimos progressos na elevação do papel executivo dos líderes de segurança nos negócios, impulsionados pela regulamentação, uma onda de gastos corporativos em tendências tecnológicas como código aberto, nuvem e "traga seu próprio dispositivo", um negócio de ransomware em expansão e manuseio incorreto de dados de alto perfil e práticas inseguras por administradores de dados corporativos. Isso lembra a evolução que as empresas passaram com seus líderes financeiros depois que a Lei Sarbanes-Oxley (SOX) foi promulgada em resposta a escândalos corporativos e financeiros de alto perfil, elevando seu ponto de vista único na diretoria e na diretoria. As medidas promulgadas no domínio da segurança ainda não atingiram o rigor da SOX. Os próximos dois anos dirão se o progresso dos líderes de segurança continua, apoiado pela expansão global contínua de regulamentações de segurança e privacidade e atenção da sala de diretoria, ou se ele desacelera ou reverte à medida que o clima macroeconômico faz as empresas reavaliarem seus investimentos em tecnologia e segurança.

Se repetirmos a história, então a desaceleração ou reversão é provável, uma vez que os investimentos em segurança e proteção das empresas normalmente se correlacionam com as condições de mercado, apesar de seus impactos normalmente não serem correlacionados. Um exemplo dessa assimetria é que os orçamentos dos defensores diminuem junto com o lucro líquido ou lucro líquido da empresa, o que pode ser razoável (responsabilidade fiduciária), mas o financiamento e os incentivos dos atacantes não. O problema é que isso aconteceria enquanto a definição do papel dos líderes de segurança, a responsabilidade corporativa e a responsabilidade pessoal estivessem sendo examinadas publicamente. É razoável esperar que uma certa porcentagem de líderes de segurança opte por sair da empresa ou da função se uma desaceleração ou reversão for agravada por respostas indesejáveis a essas perguntas, piorando a escassez de lideranças de segurança e afetando o conjunto mais amplo de talentos de segurança. Os líderes de segurança e suas empresas devem fazer o favor de discutir esses desafios agora, não quando os ventos contrários estiverem mais fortes, para entender como a função e a organização da liderança de segurança podem evoluir e o que isso significa para a sustentabilidade do programa e de seu pessoal.