*Por Lamont Orange – Quem lê muitas publicações técnicas e de negócios ouviu falar durante anos sobre o déficit de habilidades em cibersegurança. Muitos estudos apontam que milhões de vagas de emprego não estão sendo preenchidas porque não há candidatos disponíveis e qualificados o suficiente para contratação. Eu não acredito nisso.
As leis básicas de oferta e demanda, indicam que sempre haverá pessoas no mercado, dispostas a mudar para empregos bem remunerados na área de segurança. O problema não é que essas pessoas não existam, é que na verdade os CIOs ou CISOs normalmente não os enxergam se os currículos não tiverem uma lista muito específica de qualificações. Em muitos casos, esperam que os candidatos sejam totalmente treinados em todas as tecnologias que a empresa utiliza atualmente. Isso não só torna mais difícil encontrar candidatos qualificados, mas também reduz a diversidade de experiência dentro das equipes de segurança. E isso pode inclusive enfraquecer a capacidade de segurança da empresa e seu pool de talentos.
É preciso ensinar as habilidades necessárias de cibersegurança para realizar o trabalho e, para isso, há dois pontos mais importantes do que a experiência técnica específica. Uma é a fome de aprender mais sobre segurança, o que sugere que essa pessoa tomará a iniciativa de melhorar continuamente suas habilidades. A outra é possuir um conjunto de habilidades que outras pessoas da equipe não possuem.
Construindo equipes para o futuro
Para entender por que essa abordagem diferente ajuda a construir uma equipe de segurança mais forte, é preciso pensar nos benefícios a longo prazo, de contratar alguém com um conjunto específico de habilidades de segurança: Qual será o valor desse conhecimento ao longo dos anos? Provavelmente, mínimo.
Mesmo as tecnologias de segurança mais básicas são incrivelmente dinâmicas. Na maioria das empresas, a infraestrutura de TI está em meio a uma transição de on-premises para sistemas baseados em nuvem, e as equipes de segurança tem que aprender novas tecnologias. Mais que isso, elas precisam adotar uma mentalidade totalmente nova, passando de um foco na proteção de peças específicas de hardware para um foco na proteção de indivíduos e aplicativos, conforme suas cargas de trabalho se deslocam cada vez mais para fora da rede corporativa.
Ou seja, os CISOs que insistem em qualificações específicas estão na verdade criando um “gap de habilidades”. E esse foco restrito ao contratar não traz qualquer benefício a longo prazo.
Expertise vai muito além do técnico
A melhor opção é considerar os candidatos que têm pouca experiência em segurança. Por exemplo, se as equipes de gerenciamento de projetos ou de linha de negócios estiverem sofrendo uma disrupção, pode haver indivíduos com um profundo conhecimento do negócio que estejam procurando uma chance de aprender algo novo. Seus conhecimentos podem não corresponder à descrição de trabalho de segurança, mas um insight desses profissionais pode tornar a equipe de segurança ainda mais eficaz.
O mesmo pode acontecer com analistas de negócios e financeiros com experiência em planejamento e modelagem de cenários, ou com marketing e pessoas com habilidades excepcionais de comunicação para ajudar a “vender” conceitos de segurança para os usuários menos técnicos. Dessa forma, é possível obter insights sobre questões como: “Se fizermos X, quanto atrito causaremos com os usuários finais?” e “A abordagem Y realmente melhorará a proteção dos dados, ou criará lacunas ao mudar o comportamento dos usuários?”.
A cibersegurança não é um problema de engenharia isolado para fluxogramas em um quadro branco. É um desafio comercial que requer comunicação regular e bidirecional entre os C-level, stakeholders e a diretoria. Isso explica por que até mesmo alguns CISOs não possuem um longo histórico técnico. Além disso, até mesmo a política de segurança mais elaborada do mundo se torna inútil se não convencer todos os funcionários da empresa a cumpri-la.
O que procurar ao contratar
É fundamental que uma das prioridades do processo de contratação seja melhorar a diversidade das habilidades do grupo. Isso significa buscar candidatos que realmente compreendam os motores dos negócios da empresa, e que os conhecimentos fora da cibersegurança complementem o conjunto existente de habilidades. Essas pessoas precisam ser capazes de transformar os desafios cibernéticos em soluções comerciais.
Obviamente, o interesse pela segurança é crucial, e o candidato precisa se interessar o suficiente para se permitir evoluir em treinamentos sobre novas tecnologias específicas que serão necessárias ao longo das mudanças futuras. É preciso buscar variedade não apenas em habilidades, mas também em grupos etários e demográficos que, juntos, possam pensar nos problemas de segurança por diferentes ângulos. Agora, a resiliência e o sucesso de uma empresa dependem de uma abordagem inclusiva, do CEO à linha de frente, construindo times com uma ampla gama de perspectivas.
A diversidade é o passo final na transformação digital. Muitas equipes de segurança estão lutando para transformar os controles e garantir as mudanças contínuas nas empresas. E elas terão mais chances de completar esta transição e manter os recursos seguros na nuvem se também aplicarem essas transformações ao formar as equipes.
*Lamont Orange – Chief Information Security Officer na Netskope.