Como a escassez de talentos muda a abordagem perante segurança cibernética

Há boas notícias e há más notícias. A boa notícia é que o número de profissionais de segurança cibernética atingiu um recorde histórico. De acordo com o estudo anual da força de trabalho de cibersegurança do (ISC)2 , 4,7 milhões de pessoas trabalham atualmente em empregos relacionados à segurança.

A má notícia: o estudo também encontrou uma lacuna mundial de 3,4 milhões de trabalhadores de segurança cibernética. 70% dos entrevistados também disseram que acham que a equipe de segurança de sua organização está com falta de pessoal, diminuindo sua eficácia.

À medida que os ataques cibernéticos se tornam cada vez mais sofisticados e os cenários de ameaças se expandem, as organizações precisam ser criativas em sua abordagem de segurança cibernética. Não basta redefinir os parâmetros na construção de conjuntos de habilidades. Precisamos começar a reimaginar como os programas internos de segurança cibernética devem ser desde o início.

Cibersegurança é tudo sobre pessoas

As habilidades cibernéticas não devem ser reservadas apenas para profissionais de segurança cibernética experientes e bem treinados. Enquanto a equipe de segurança está comandando o show, seu trabalho é principalmente focar no lado tecnológico das coisas.

Mas a maioria dos incidentes cibernéticos é resultado de erro humano ou ignorância sobre as melhores práticas de segurança. Infelizmente, às vezes a cultura do local de trabalho não incentiva os funcionários a se manifestarem quando veem ou fazem algo incomum. Isso ajuda as ameaças a passarem despercebidas até que seja tarde demais.

As melhores práticas de segurança funcionam apenas quando todos fazem parte da solução. Isso é ainda mais importante no contexto de nossa atual escassez de pessoal de segurança cibernética. Fazer mais para tornar a segurança uma atmosfera de “todas as mãos no convés” ajudará a fechar a lacuna de habilidades.

Certificação para iniciantes

Um dos maiores obstáculos para fechar a lacuna de talentos não é a falta de pessoas com as habilidades certas, mas padrões inatingíveis para funcionários que estão começando suas carreiras. Muitos cargos de nível básico exigem que os novos contratados tenham certificações como Certified Information Systems Security Professional (CISSP) ou Certified Information Security Manager (CISM). No entanto, a maioria dos pré-requisitos para fazer os exames de certificação inclui vários anos de experiência profissional (muitos exigem cinco anos), são caros (custam centenas de dólares) e são difíceis de passar na primeira tentativa. Então, quando alguém obtém a certificação, não está se candidatando a cargos de nível básico.

Essa abordagem afastou muitos profissionais de segurança cibernética em potencial que estão apenas começando suas carreiras. Reconhecendo o obstáculo da certificação na lacuna de talentos, o (ISC)2 iniciou uma nova iniciativa chamada One Million Certified in Cybersecurity. Os participantes se inscrevem como candidatos do (ISC)2, onde recebem treinamento gratuito em um curso individualizado e uma oportunidade de exame gratuito. Uma vez certificado, o participante terá acesso às oportunidades de desenvolvimento profissional e recursos que outros profissionais certificados possuem. Embora o objetivo geral seja aumentar a mão de obra qualificada disponível necessária em cargos de nível básico e além, também é uma oportunidade para mais pessoas explorarem uma carreira cibernética sem gastar milhares de dólares. Mais importante ainda, deve oferecer confiança aos empregadores ao trazer talentos menos experientes.

“Os empregadores precisam de confiança de que, ao contratar novos profissionais para o campo, eles tenham uma compreensão sólida dos conceitos técnicos corretos e uma aptidão demonstrada para aprender no trabalho”, afirmou o (ISC)2, acrescentando que, com a criação de tal certificado, permitirá que os candidatos a empregos “demonstrem aos empregadores sua familiaridade com os conceitos básicos de segurança cibernética, conforme determinado por profissionais e profissionais de segurança cibernética que já atuam no campo”.

Repensando o treinamento de conscientização de segurança

O treinamento de conscientização de segurança não funciona. Um estudo da Elevate Security descobriu que, embora o treinamento de segurança reduza ligeiramente as taxas de cliques de phishing em simulações, ele tem pouco ou nenhum efeito em ataques do mundo real quando esse treinamento realmente importa. Questionários on-line periódicos ou palestras anuais não estão movendo a agulha.

Um estilo diferente de treinamento pode fazer uma diferença maior. Quando os usuários entendem as consequências de suas ações e como diminuir o risco, eles se tornam parceiros dos profissionais de segurança cibernética. O objetivo é reduzir os incidentes causados ​​pelo homem para que a equipe de segurança possa se concentrar no lado técnico do trabalho. Mas, primeiro, os usuários precisam se envolver melhor em suas atividades de treinamento de conscientização.

Durante o Insider Risk Summit, a chefe de cultura de confiança e treinamento da Atlassian, Marisa Fagan, disse que o treinamento deve ser divertido. Quando o treinamento é agradável, os funcionários se sentem parte de algo importante para a empresa. De acordo com Fagan, o treinamento de segurança eficaz deve ser relevante e rápido e adicionar um elemento de narrativa. Você deseja que os funcionários falem sobre a sessão e compartilhem o que aprenderam em conversas casuais.

Fagan sugeriu filmes de treinamento que são filmes de verdade; eles têm o drama e a emoção de um filme de ação, mas são feitos sob medida para destacar as preocupações de segurança da sua organização. Eles são muito mais envolventes do que uma apresentação em PowerPoint, e isso torna o treinamento duradouro.

Mudando o comportamento para preencher a lacuna

Reenquadrar a segurança cibernética ao mesmo tempo em que lida com a escassez de habilidades envolverá a mudança de comportamento geral. Assim como o treinamento de conscientização de segurança deve ser encorajador para ser eficaz, a aplicação das melhores práticas de segurança dependerá da experiência do usuário. Você quer que os usuários cheguem ao ponto de tomar decisões melhores e fazer a coisa certa regularmente, de acordo com Ira Winkler, CISO de campo e vice-presidente da CYE, que falou no Congresso de Segurança 2022 (ISC)2.

As equipes de segurança podem tomar medidas para incorporar a segurança cibernética às funções de trabalho e modificar as interfaces de TI para incentivar comportamentos que reforcem bons hábitos de segurança. No geral, os funcionários devem ser “pegos” fazendo as coisas certas e recompensados ​​por isso, em vez de punidos por fazerem a coisa errada.

A escassez de habilidades não vai desaparecer da noite para o dia. No entanto, com etapas como melhorar o treinamento de conscientização de segurança ou aceitar certificações para iniciantes como uma qualificação de nível básico, as organizações podem ajustar sua abordagem à sua postura de segurança cibernética e construir uma base que apoie a equipe de segurança cibernética.

Fonte: https://securityintelligence.com/