Estudo do (ISC)² revela que 66% dos CISOs alegam haver escassez de profissionais para enfrentar as ameaças atuais
Os profissionais de segurança da informação em todo o mundo se deparam atualmente com um sem-número de ameaças cibernéticas e em constante evolução, e muitos sentem que estão mal equipados para enfrentá-las. Por outro lado, as violações de dados em corporações, instituições de ensino e agências governamentais continuam cada vez mais a minar a confiança do público na capacidade do Estado e das corporações de combatê-las.
Para completar, o surgimento de dispositivos, tais como wearables e carros autônomos, paralelamente à crescente conectividade dos sistemas de gestão de infraestruturas críticas, tais como centrais elétricas e sinais de tráfego, estão abrindo as portas para novas ameaças, tanto em termos de segurança pública quanto a privacidade e a estabilidade econômica.
O Centro de Cibersegurança e Educação, ligado ao (ISC)², principal instituto mundial voltado à educação e certificações profissionais em segurança da informação e cibersegurança, em parceria com a Booz Allen Hamilton, Alta Associates e a Frost & Sullivan realizaram um extenso estudo para analisar o cenário atual das ameaças, bem como o estágio dos profissionais e de suas organizações para responderem às ameaças e ataques.
Intitulado Global Information Security Workforce Study (GISWS) 2017, o estudo está em sua 8ª edição e entrevistou 19.641 profissionais de segurança cibernética em 170 países. Os dados são preocupantes.
Dois terços dos entrevistados indicaram que suas organizações não têm o número suficiente de profissionais de segurança cibernética para enfrentar os desafios com os quais se deparam atualmente. O estudo deste ano revela que o gap de profissionais nessa área deve atingir 1,8 milhão em 2022, um aumento de 20% em relação a projeção feita em 2015. Na América Latina a escassez deve chegar a 185 mil profissionais até 2022.
O relatório constatou que, globalmente, a exposição de dados é a principal preocupação para os profissionais de segurança da informação, independentemente da sua localização geográfica. Há, no entanto, algumas discrepâncias regionais. O vazamento de dados, por exemplo, é uma preocupação muito grande na América do Norte e na região Ásia-Pacífico, enquanto que na América Latina e na Europa, os ataques de ransomware com o pedido de resgate para desencriptar os arquivos estão no topo da inquietação dos profissionais. No Oriente Médio e na África, hacking é identificado como uma preocupação primária, possivelmente sugerindo que os profissionais estão sendo afetados por um amplo conjunto de motivos.
Escassez de mão de obra
Os dados do GISWS demonstram claramente que muito trabalho ainda terá que ser feito para garantir a segurança de agências governamentais e organizações de todos os tamanhos, e a importância de se ter uma força de trabalho de segurança adequada, ágil e reativa. No estudo de 2015, 62% dos CISOs relataram dispor de poucos profissionais de segurança da informação para enfrentar as ameaças que encontram. Neste ano, o índice chegou a 66%, indicando que a escassez de pessoal de segurança da informação está aumentando à medida que mais setores reconhecem a importância de dispor de profissionais qualificados para proteger seus dados. Em 2015, a Frost & Sullivan havia previsto uma escassez de 1,5 milhão trabalhadores em segurança da informação em 2020. À luz dos ataques recentes e mudanças na dinâmica da indústria, a projeção foi revista para cima: 1,8 milhão em 2022.
Os entrevistados citam uma variedade de razões pelas quais há muito poucos trabalhadores em segurança da informação. Embora essas razões variem de região para região, entretanto globalmente a razão mais comum apontada é a falta do pessoal qualificado. Isso fica mais patente na América do Norte, onde 68% dos profissionais acreditam que há muito poucos trabalhadores em segurança cibernética em seu departamento, e a maioria acredita que isso se deve à falta de pessoal qualificado.
De todo modo, as contratações continuam em alta. Globalmente, um terço dos gestores de segurança declararam que planejam aumentar o tamanho de seus departamentos em 15% ou mais. O maior número de contratações está concentrado na Europa, onde 27% das empresas pretendem expandir o seu departamento de segurança em 20% ou mais. Além disso, 38% dos entrevistados disseram que vão expandir o seu departamento de segurança em pelo menos 15%. No Oriente Médio, África e Ásia-Pacífico as taxas de contratações são mais baixas. No entanto, um em cada quatro gestores de segurança de cada região ainda esperam ver seus departamentos crescem em 15% ou mais.
Globalmente, 70% dos CISOs disseram que aumentarão sua força de trabalho neste ano: 30% desejam expandir em 20% ou mais. As áreas de saúde, varejo e manufatura particularmente são as que mais devem aumentar o número de contratações, com quase 40% em cada setor dizendo que planeja aumentar sua força de trabalho em 15% ou mais.
A posição mais procurada globalmente é para gerenciamento de operações e segurança. Sessenta e dois por cento dos CISOs indicam que há poucos profissionais para este cargo, seguido por gerente de incidentes, ameaças e forense, com 58%. Na verdade, esta última posição é a que apresenta a maior demanda na América Latina (63%) e no Oriente Médio e África (65%). Apesar dos esforços dos gestores para aumentar a contratação, a demanda historicamente tem ultrapassado a oferta de mão de obra no mercado.
A Frost & Sullivan prevê que este gap deve aumentar ainda mais se as tendências atuais continuarem. Quase 90% da força de trabalho global é masculina, um número que permanece inalterado, e a maioria chega à segurança da informação por meio da formação em ciência da computação ou engenharia. É claro que os canais de recrutamento tradicionais não estão atendendo à demanda de trabalhadores em segurança cibernética em todo o mundo. Os recrutadores, portanto, devem começar a explorar novos canais e encontrar estratégias e técnicas não convencionais para preencher essa lacuna.
Discriminação às mulheres
A força de trabalho em segurança da informação é esmagadoramente dominada por homens — o estudo constatou que as mulheres ainda enfrentam muitas barreiras para atuar nessa área, incluindo diferentes formas de discriminação, principalmente enfrentadas por mulheres que trabalham em campo. Além disso, os jovens trabalhadores demonstram níveis mais baixos de satisfação do que seus pares mais velhos, e são os mais propensos a deixar seu trabalho em favor de outro. A discriminação contra as mulheres na área de segurança cibernética e a baixa fidelidade entre os jovens ao emprego são dados importantes para as empresas compreenderam o desafio para preencherem a lacuna de 1,8 milhão trabalhadores projetada para 2022.
O relatório demonstra ainda que um terço da força de trabalho existente tem formação não técnica, ou seja, muitos dos profissionais obtiveram sucesso em suas carreiras e subiram ao posto de executivo ou c-Suite.
Para Gina van Dijk, diretora do (ISC)² na América Latina, o resultado do relatório é um alerta não apenas para os profissionais de segurança da informação em geral, mas em especial para os gestores das organizações. “Com a perspectiva da falta de 185 milhões de profissionais na América Latina com as habilidades necessárias para atuar na área até 2022, os líderes de negócios têm um papel fundamental na valorização e investimento na capacitação da força de trabalho para superarmos esse desafio.”
Ainda segundo Gina, na América Latina, 44% dos profissionais arcam com os custos de seus treinamentos e certificações, o que resulta em uma força de trabalho com menos oportunidades de capacitação e desenvolvimento. “É preciso entender que a Segurança da Informação não é apenas uma responsabilidade da área de TI, mas um fator estratégico para os negócios da organização e que a capacitação dos profissionais da área é mais do que um investimento em um plano de carreira, mas, principalmente, um fator chave para o futuro e segurança do ativo de maior valor de uma companhia: as suas informações.”
* = Ao todo, foram esntrevistados 19.641 profissionais de segurança cibernética em 170 países, sendo 956 na América Latina.
