Todos conhecemos a grande variedade de ameaças informáticas que as organizações enfrentam na atualidade, a atividade altamente sofisticada dos grupos de cibercriminosos, as variantes de malware (tanto novas como velhas) que estão constantemente sendo implementadas e os típicos erros do passado que continuamos cometendo, como abrir um email de phishing e conectar dispositivos USB em nossos computadores.
Algumas soluções para esses problemas são relativamente simples. Os impactos dos cibercriminosos e do malware podem ser minimizados, sendo necessário apenas avaliar-se por meio de métodos de sandbox, enquanto que os erros dos funcionários podem ser resolvidos através de programas de conscientização sobre cibersegurança, sempre e quando sejam realizados de forma correta e de forma periódica.
Mesmo considerando que essas medidas (junto com outros procedimentos de proteção, como o uso de software de segurança) reduzirão significativamente os riscos cibernéticos enfrentados pelas empresas, as ameaças nunca poderão ser eliminadas totalmente (por todas as razões já citadas anteriormente).
No entanto, existem outras ações que podem ser realizadas para reforças as defesas: ter profissionais de cibersegurança competentes e qualificados como parte da equipe de segurança de TI. Esta única condição frequentemente determina a diferença entre as empresas que melhor reagem diante de um incidente de segurança e as que não.
Algumas empresas estão começando a solucionar esse problema. Um relatório publicado há pouco tempo por Robert Half revelou que as organizações de hoje em dia devem investir no “talento adequado” para protegerem-se das ameaças. O documento também indica que investir neste aspecto pode transformar a forma como as empresas pensam e respondem aos ataques e riscos cibernéticos.
Phil Sheridan, diretor executivo sênior de Robert Half, explicou no relatório: “Para enfrentar com êxito a proliferação de atacantes, as empresas precisam contar com talentos que sejam especialistas em TI, que conheçam o atual ambiente de ataques cibernéticos e sua evolução. Ao adotar sólidas estratégias, as empresas estarão preparadas para o futuro da cibersegurança”.
Escassez de pessoas qualificadas
Então, por que as organizações simplesmente não contratam alguns especialistas em segurança de TI? Sem dúvida, isso resolveria o problema e reduziria os riscos. Se fosse assim tão fácil...
Lamentavelmente há uma escassez enorme de pessoal qualificado. Considerando as constantes mudanças que o mundo da segurança enfrenta como consequência das novas tecnologias, somado ao panorama de ameaças em evolução, a profissão de segurança não consegue progredir tão rápido para manter-se. Não há profissionais suficientemente qualificados para distribuir entre todas as empresas.
As organizações estão investindo cada vez mais em diversas plataformas e ferramentas para proteger suas redes e sistemas informáticos. No entanto, a crescente ameaça do roubo de dados e a fraude, assim como a modalidade de trazer o próprio dispositivo para o trabalho e o rápido avance da Internet das Coisas, acabam geram uma maior demanda de profissionais de segurança.
“As novas tecnologias provocam novos problemas de segurança”, destacou Sheridan. “Essa tendência tem dado lugar a um déficit na capacidade de segurança informática, já que os conhecimentos técnicos disponíveis não estão seguindo o ritmo das ameaças de TI, que estão em constante evolução”.
Por outro lado, o relatório de Robert Half destacou que 77% dos CIO no Reino Unido opinam que as empresas enfrentarão mais ameaças de segurança nos próximos cinco anos, principalmente devido a escassez de pessoal de segurança informática capacitado.
Outro relatório produzido pela Spiceworks também ressaltou essa escassez, revelando que apenas 29% dos profissionais de TI em organizações dos Estados Unidos e no Reino Unido contam com um profissional de segurança cibernético interno no próprio departamento de TI.
É importante notar que o relatório do organismo de capacitação em segurança ISC2 indicou que quase a metade (45%) dos profissionais de segurança culpam a falta de pessoal qualificado pelas falhas de segurança.
A Segurança Informática x Facebook
Há várias razões para essa falta de pessoal qualificado, e a principal delas é que a segurança da informação está lutando por uma batalha perdida em um mundo onde o sonho das pessoas é alcançar o sucesso no Vale do Silício.
Depois de tudo, muitos profissionais de segurança reconhecem que a maioria dos graduados em ciência da computação preferem criar a próxima empresa de Twitter, Facebook ou Instagram, em vez de se tornarem um engenheiro de segurança ou um arquiteto. Também existe a crença, nada atenuada pela série de televisão Mr. Robot, de que para estar no ambiente da segurança é necessário ser muito técnico. No entanto, nem sempre é o caso. De fato, alguns dos CISO emergentes vêm de outros setores.
Outros também sugerem que a segurança informática simplesmente não figura entre as graduações disponíveis na hora da escolha. O recente relatório Securing Our Future: Closing the Cyber Talent Gap (Protegendo o futuro: encerrando a brecha do talento cibernético) revelou que 62% da geração do milênio não foi informada por nenhum professor, nem conselheiro, que entre as opções existia uma graduação em cibersegurança.
Os recentes números não apenas afirmam que há uma diferença de pessoas qualificadas nesse campo, como também que cada vez mais essa diferença está aumentando. ISC2 estima que haverá um déficit de dois milhões de profissionais para o ano de 2017, enquanto que uma pesquisa do SC Magazine, realizada em 2015, revelou que o interesse (e a admissão) em cursos relacionados com a segurança está despencando. Lamentavelmente, a falta de pessoal não mostra sinais de diminuir em um curto prazo.
Nem tudo está perdido
Felizmente, ainda temos esperanças. As empresas mais perspicazes estão fazendo parceria com universidades para obter profissionais, e os governos estão começando a certificar os seus próprios cursos universitários. Também há uma quantidade interminável de competições e hackathons (como Cyber Bootcamp) que muitas empresas usam para encontrar (e contratar) o pessoal adequado.
É necessário contar com uma equipe de segurança treinada para gerir as questões de segurança, melhorar a gestão de risco e impedir a entrada de cibercriminosos. E não há que ter apenas as ferramentas tecnológicas adequadas, mas também implementar um bom programa de segurança cibernética e realizar testes periódicos de penetração para encontrar pontos fracos e melhorar o ambiente.