5 minute read
Segurança
Um sinal de que problemas técnicos se transformaram em obstáculos de negócios é eles serem abordados em veículos de mídia não dedicados a tecnologia. E é o que está ocorrendo sobre o problema da falta de profissionais de cibersegurança. No ano passado, a CNN Business (28 de maio), The Washington Post (2 de agosto) e a Forbes (21 de outubro) publicaram reportagens sobre o assunto. No Brasil, o Valor Econômico veiculou um artigo em novembro, anunciando que o Brasil é o país com o maior déficit: 441 mil profissionais. A questão, na verdade de vários anos, e que piora a cada novo ano, é bastante conhecida pelos líderes de recursos humanos da área, e agora chegou aos negócios. É bastante arriscado nos dias de hoje ter uma empresa digitalmente vulnerável.
De acordo com o ISC2, há mais de 3 milhões de vagas buscando por preenchimento em todo o mundo, e a taxa deve subir entre 20% e 30% ao ano, o que faz sentido, tendo em vista todo o processo de digitalização das empresas e negócios. Só nos Estados Unidos, a força de trabalho teria que aumentar em 60% para preencher a demanda. Um artigo mais antigo, de 2020, produzido pela CISO Advisor, apontou que 70% das empresas estão sofrendo com a falta de profissionais. Não encontrei um estudo recente sobre a situação no Brasil, que, de acordo com o último estudo da ISC2 feito em 2019, é o segundo maior mercado de trabalho no mundo, perdendo apenas para os Estados Unidos, mas suspeito que pode até ser pior.
O imenso déficit acabou gerando efeitos colaterais, como a inflação muito acima da média nos cursos e certificações de segurança. Alguns, como as do SANS, foram reajustados nos últimos anos em mais que o dobro, e faltam vagas nos cursos presenciais. As instituições partiram para cursos on-line com preços mais módicos, o que acaba por facilitar o acesso aos treinamentos.
Outro efeito é a inflação dos salários, gerada pela velha lei da oferta e da demanda. Não é incomum que técnicos jovens deixem seu primeiro emprego, onde receberam treinamento e ganharam experiência, para ganhar três ou quatro vezes mais. Profissionais mais especializados e experientes chegam a ganhar salários no mesmo nível de gerentes e executivos, e são disputados pelas grandes companhias do setor.
Um estudo um pouco mais profundo revela dois outros problemas por vezes ocultos dentro desses números. O primeiro tem a ver com diversidade. Apenas um quarto da força de trabalho é composta por mulheres, em linha com a própria área de TI. Não tenho informações sobre pretos, índios e outras minorias, mas devem seguir os padrões pouco diversos de nosso país. O segundo é o da capacitação, que em nosso país é ainda mais grave. Temos um imenso déficit educacional e falta capacitação para muitos jovens ingressarem no mercado. Grandes empresas até conseguem suprir esse gap, mas médias e pequenas empresas não em virtude do alto custo. Como resultado, posições em segurança são ocupadas por profissionais não devidamente preparados, o que acaba levando a falhas na proteção. O tema da capacitação é agravado quando vemos disciplinas complexas como resposta a incidentes, blue/red teams e threat hunting, que exigem dedicação e treinamento extensivo.
Os desafios em capacitação, no entanto, não atingem apenas os especialistas que irão atuar diretamente na segurança das empresas e setor público. Por se tratar de uma área que atravessa todas as outras, a segurança digital é muito dependente dos profissionais dessas áreas, os usuários dos serviços de informação. Milhões de reais de investimento podem ser jogados fora se os usuários clicarem em links de e-mails de phishing, dando a um malware acesso ao seu computador e rede. A necessidade de treinamento em segurança atinge 100% da força de trabalho de uma empresa ou instituição, dos cuidados com as senhas ao velho descarte de mídias, processo que não acabou com a nuvem. Há milhões de pen-drives circulando com dados confidenciais, assim como terabytes de dados não menos confidenciais armazenados e esquecidos em serviços de nuvem.
É muito improvável que o déficit seja reduzido nos próximos anos. Eliminá-lo eu considero impossível. Creio que a tendência é piorar. O principal motivador é o processo consistente de digitalização dos negócios, que acaba por atrair mais criminosos digitais, aumentando os ataques em número e gravidade, demandando ainda mais profissionais. Dessa forma, vejo algumas tendências claras. A primeira é a da terceirização ou aquisição de serviços. Um bom exemplo é o da VPN. Para uma empresa, grande ou média, manter a estrutura de VPN e prestar suporte aos usuários, sobretudo com a tendência pelo trabalho híbrido, é extremamente caro. Os profissionais
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
alocados podem ser transferidos para outras disciplinas de segurança, e a VPN contratada como serviço, o que dá inclusive mais flexibilidade. Algo similar pode ser feito com disciplinas altamente complexas, como resposta a incidentes. Poucas companhias podem se dar ao luxo de manter uma equipe própria, e a contratação como serviço, não muito diferente dos serviços de segurança patrimonial, é uma boa medida. Na mesma linha, empresas médias podem se beneficiar em muito se terceirizarem a gestão de sua segurança para uma companhia especializada.
Já o esforço global de aumentar a oferta de especialistas continuará com iniciativas de empresas e instituições, além, é claro, do esforço individual de quem está aprendendo. Aqui gostaria de citar duas. A primeira é o realizado pela WOMCY Latam Women in Cybersecurity, que pode ser conhecido em WOMCY.org. Trata-se de uma organização sem fins lucrativos e mantida por voluntárias (e também voluntários), empenhada, entre outras iniciativas, na capacitação e mentoring de mulheres na área de cibersegurança. A segunda é o já reconhecido Cisco Network Academy, cujo programa vem beneficiando jovens de comunidades em todo o Brasil e no mundo há mais de 20 anos. Ambas não resolverão o déficit, mas com certeza ajudam.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
