O estado da força de trabalho em cibersegurança: Novo relatório revela tendências preocupantes

Em 1999, consegui o meu primeiro emprego a sério no Silicon Valley numa empresa que na altura se chamava McAfee.com. (O que posso dizer? Era uma época diferente, em que parecia fixe adicionar “.com” ao nome real da empresa.)

Não estava especialmente à procura de um emprego em cibersegurança, mas foi nessa indústria que acabei por entrar, e tive muitas ocasiões para me sentir grato por isso ao longo dos anos. Por um lado, sinto-me realmente bem com o que fazemos aqui na Barracuda, ajudando todos os tipos de organizações a combater o cibercrime.

Por outro lado, há uma boa segurança no emprego. O negócio da cibersegurança é bastante à prova de recessão. Afinal, independentemente do estado da economia, as pessoas precisam de segurança (mas veja abaixo).

Estudo da Força de Trabalho de Cibersegurança da ISC2: Grandes desafios

Ou, pelo menos, assim pareceu durante a maior parte da minha carreira. No entanto, com base numa das conclusões do 2023 ISC2 Cybersecurity Workforce Study, isso pode já não ser o caso.

O subtítulo do relatório é um bom resumo do que as conclusões gerais revelam: “Como a Economia, a Lacuna de Competências e a Inteligência Artificial estão a desafiar a Força de Trabalho Global de Cibersegurança.” Ou, como começa o Resumo Executivo, “Os profissionais de cibersegurança estão a enfrentar pressões maiores do que nunca, que diminuem a sua capacidade de defender instituições e organizações em todo o mundo de ameaças cada vez maiores.”

Crescimento insuficiente

O estudo—com base numa pesquisa com quase 15.000 profissionais de cibersegurança em todo o mundo, juntamente com estatísticas governamentais—descobriu que em 2023 a força de trabalho global em cibersegurança cresceu 8,7%. Mas isso não foi suficiente para fechar a lacuna entre os trabalhadores disponíveis e o número necessário, que cresceu 12,6% em comparação com 2022.

A diferença de disponibilidade não está distribuída uniformemente pelo globo, nem de longe. A América Latina, a Austrália, Singapura, o Médio Oriente e partes da Europa viram a diferença diminuir, na maioria dos casos, em dois dígitos.

O maior crescimento nessa lacuna foi encontrado no Canadá, no Reino Unido, em Espanha, na Índia e—com um surpreendente crescimento de 97,6%—no Japão. (À procura de trabalho em cibersegurança? Talvez queira melhorar o seu japonês).

Não imune a cortes

Disse algo sobre segurança no emprego? Pois, não. Quase metade dos inquiridos viu as suas equipas afetadas por despedimentos, cortes no orçamento e congelamento de contratações ou promoções.

As indústrias com menos despedimentos incluem o governo, a educação e a aeroespacial. Os maiores despedimentos na área da cibersegurança ocorreram no entretenimento/média, construção e, bem, desenvolvimento de software/hardware de segurança.

(Este parece ser um local apropriado para dar um rápido agradecimento à Barracuda, que resistiu ao confinamento da Covid e à subsequente desaceleração económica sem recorrer a despedimentos. E agora estamos a contratar.)

Os inquiridos também relataram que estes cortes resultaram em cargas de trabalho aumentadas, diminuição do moral, diminuição da capacidade de se preparar para ameaças futuras, aumento das lacunas de competências e aumento dos ataques relacionados com riscos internos.

Ataques internos

Aqui está algo em que pensar: 71% dos inquiridos disseram que a incerteza económica torna os ataques maliciosos de insiders mais prováveis. De facto, 39% dos profissionais de cibersegurança foram abordados por um ator malicioso ou conhecem alguém que o foi.

Mais importante ainda, aqueles que trabalham em empresas com despedimentos na área da cibersegurança têm três vezes mais probabilidade de terem sido solicitados a agir como insiders maliciosos.

Cloud, competências em IA/ML e Zero Trust são as mais necessárias

Não surpreendentemente, as maiores lacunas de competências para a força de trabalho em cibersegurança estão nas áreas de computação em nuvem, inteligência artificial/aprendizagem automática e implementação de confiança zero.

Em parte, isto deve-se às novas ameaças e superfícies de ataque que as tecnologias emergentes representam. Mas também se deve ao facto de se esperar que a IA e a confiança zero tenham um efeito positivo na prontidão geral para a cibersegurança.

A (relativamente) boa notícia

O estudo conclui com uma nota bastante positiva, relatando que a maioria dos inquiridos afirma que o impacto negativo da escassez de trabalhadores pode ser mitigado pelo fecho das lacunas de competências. As empresas que incentivam os trabalhadores a prosseguir formação contínua, educação e certificações com programas de reembolso foram mais capazes de ultrapassar períodos de incerteza económica, mesmo que tenham ocorrido despedimentos.

É importante notar, claro, que a ISC2 (International Information System Security Certification Consortium) é uma organização sem fins lucrativos cujo foco principal é fornecer programas de formação e certificação para profissionais de cibersegurança.

Resumindo

Há muito mais no relatório do que abordei aqui, tanto em termos de conclusões de alto nível como de análises detalhadas. Vale definitivamente a pena descarregar e ler tudo.

Mas já podemos listar algumas conclusões práticas.

• Como uma organização que enfrenta incerteza económica, deve absolutamente priorizar a minimização de reduções nas organizações de segurança de TI. E mesmo que cortes e despedimentos sejam inevitáveis, certifique-se de continuar a investir na formação profissional da sua equipa de segurança para adquirir as competências mais procuradas à medida que novas tecnologias transformam o panorama das ameaças.

• Como profissional individual de cibersegurança, ter ou adquirir o conjunto certo de competências é crucial. Uma vez que tenha as competências para gerir a segurança na nuvem, IA e aprendizagem automática, e implementação de confiança zero, será um dos profissionais mais procurados do mundo. Especialmente no Japão.