Nesta terça-feira (03), celebramos o Antimalware Day, uma data promovida pela ESET desde 2017 e que tem como objetivo destacar o papel do setor de segurança digital no combate às diferentes ameaças que existem no mundo digital e na missão de conscientizar os usuários para que aproveitem a tecnologia com segurança e responsabilidade. Este ano, daremos destaque a escassez de profissionais e a demanda crescente de organizações que precisam atuar contra diversas ameaças digitais que circulam a cada dia e com cibercriminosos em constante evolução - o que impõe um grande dinamismo ao cenário da segurança cibernética.
Como já destacamos em outros artigos, diversos relatos mostram que há escassez de profissionais na área de segurança cibernética, o que significa que a demanda existente não está sendo atendida. Em 2017, dados da oitava edição do Global Information Security Workforce Study (GISWS) realizado pelo (ISC)², orgão que oferece certificações de segurança e que desde 2004 acompanha a evolução da mão de obra nesse setor a nível mundial, garantiram que em 2022 a falta de profissionais chegaria a 1,8 milhão - esse número representou um aumento de 20% em relação à edição de 2015 do mesmo relatório. No entanto, de acordo com um novo relatório publicado pelo (ISC)² no final de 2019, a brecha voltou a aumentar e a falta de profissionais atualmente, segundo os dados mais recentes, é de 4,07 milhões. Isso significa que, para que as empresas possam formar “fortes” equipes de segurança, será necessário que o quadro de funcionários nesse setor aumente em torno de 145%.
Considerando os desafios que o contexto provocado pela Covid-19 trouxe do ponto de vista da segurança digital - como a aceleração dos processos de transformação digital ou a adoção do teletrabalho - e o crescimento significativo dos ataques desde a decretação da pandemia, o que também fez com que o aumento na demanda por profissionais disparasse ainda mais até agora em 2020, aparentemente essa brecha continuará aumentando. Principalmente se tivermos em conta que, além do fenômeno desencadeado pela Covid-19, as previsões falam que em cinco anos haverá mais de 26 cidades inteligentes, que até 2030 haverá uma rede global complexa composta por 200 bilhões de dispositivos e que para cada indivíduo haverá mais de 20 dispositivos conectados.
É importante destacar que essa brecha no cenário laboral não é a mesma em todo o mundo. Na Europa, a brecha profissional é de 7%, nos Estados Unidos, 14%, na América Latina, 15%, e na Ásia-Pacífico, 64%. Por outro lado, na Europa a brecha dobrou devido ao aumento da demanda de empresas com menos de 99 funcionários e de empresas com mais de 500, enquanto na América Latina, região onde a brecha cresceu mais significativamente, a principal demanda provém de empresas que têm entre 100 e 499 funcionários, além de grandes empresas, explica o relatório.
Ao total, 65% das organizações representadas nesse estudo afirmaram ter escassez de profissionais voltados à segurança cibernética, enquanto 51% dos profissionais dedicados à segurança afirmaram que suas organizações estão expostas a um risco alto ou moderado por falta de especialistas. Na verdade, a principal preocupação destacada pelas organizações é a falta de pessoal com habilidades ou experiência suficientes.
Capacitação dos profissionais que compõem o cenário laboral a nível global
Além dos cargos ocupados por profissionais que atuam no setor ou nos diversos ramos ou especializações existentes, o relatório garante que a maioria dos profissionais (38%) costuma ter pelo menos o título de graduação, embora haja também 12% que apenas concluíram o ensino médio. Como vimos no ano passado em um artigo publicado na mesma época sobre a formação de profissionais em segurança cibernética, embora cada vez mais universidades ao redor do mundo ofereçam cursos de graduação em segurança da informação, ainda não é um curso que possa ser encontrado em todas as instituições. Muitos profissionais que atuam na área adquiriram suas competências por meio de certificações e de forma autodidata.
Por outro lado, os profissionais que hoje em dia atuam na área de segurança cibernética possuem, em média, quatro certificações de segurança oferecidas por diferentes organizações. Isso permite que eles, em geral, recebam um salário melhor do que aqueles que não possuem certificações, embora em algumas regiões, como Estados Unidos ou Ásia-Pacífico, a diferença salarial nesses casos seja maior do que na Europa ou na América Latina.
O Relatório de Segurança Cibernética 2020, elaborado pela OEA e pelo BID, destaca que a cultura de segurança cibernética no Brasil varia de acordo com as diferentes partes do país e diversos setores do governo e da economia. O documento também destaca que os principais interessados, como o governo e o próprio setor, identificaram a necessidade de melhorar a educação em segurança cibernética nas escolas e universidades. Atualmente, no país existe a oferta de cursos de graduação em ciências da computação. Além disso, profissionais do setor público contam com a possibilidade de realizar cursos profissionais de TI no exterior, recebendo certificados de TIC registrados por instituições internacionais, como o Certificado de Profissional de Sistemas de Informação de Segurança (CISSP) ou o de Gerente de Segurança de Informação Certificado (CISM).
Áreas ocupadas pela maioria dos profissionais
Dependendo de sua infraestrutura, as organizações tendem a formar equipes de segurança voltadas para atender diferentes setores ou estruturas da empresa. Neste contexto, algumas áreas contam com mais cargos ocupados por profissionais de segurança, como: operações, administração, gestão de riscos e compliance, desenvolvimento de software seguro, teste de penetração ou perícia forense.
Como já mencionamos, existem diferentes papéis no mundo da segurança cibernética e cada um requer a gestão de certas habilidades e conhecimentos para poder realizar determinados tipos de atividades. De acordo com o estudo, aqueles que atualmente trabalham na área de segurança cibernética e TI estão confortáveis com suas carreiras e otimistas em relação ao futuro. Da mesma forma, os profissionais entrevistados quando questionados sobre as áreas específicas nas quais consideram que precisam desenvolver ou aprimorar suas habilidades, responderam: segurança em nuvem, avaliação, análise e gestão de riscos, governança, gestão de riscos e compliance, análise de inteligência de ameaças e segurança, monitoramento de rede, detecção de intrusão, testes de penetração e engenharia de segurança e gestão.
O valor dos programas de Bug Bounty e de divulgação responsável de vulnerabilidades
Os programas de bug bountry têm sido uma forma importante de atrair profissionais para o setor. O mesmo vale para os programas de divulgação responsável de vulnerabilidade que muitas empresas realizam. Essas iniciativas, além de melhorarem a segurança de diversos produtos ou serviços, representam uma motivação para jovens - e não tão jovens - que buscam aprender e demonstrar seus conhecimentos, além de obterem dinheiro. Em muitos casos, jovens talentosos desconhecem a possibilidade de iniciar uma carreira na área de segurança.
É provável que indiretamente esses programas estejam sendo úteis para que os jovens encontrem uma maneira de canalizar e demonstrar suas habilidades para uma boa causa e não do lado do crime cibernético. Em muitos casos, pessoas talentosas e curiosas tendem a sentir desde muito cedo (12 a 15 anos) uma certa atração por transgredir os limites da legalidade na Internet em busca do reconhecimento do grupo, o que pode ir muito mais além do dinheiro. Na verdade, ao longo dos anos houve vários casos de jovens responsáveis por grandes ataques, como o que ocorreu com o Twitter este ano, em que um adolescente de 17 anos foi acusado de ser o chefe do incidente que comprometeu vários perfis verificados de figuras mundialmente famosas para realizar um golpe de um milhão de dólares.
Embora os programas de Bug Bounty e de divulgação responsável de vulnerabilidades não sejam a solução para a escassez de profissionais, essas iniciativas pelo menos ajudam a reduzir parcialmente a escassez de talentos, já que permite aos participantes se colocarem à serviço da segurança das organizações e de seus produtos - e, portanto, dos usuários – através do conhecimento e das habilidades de muitas pessoas talentosas que não trabalham formalmente no setor.