Problemas de retenção para profissionais de segurança cibernética são os mais altos em anos

Do ponto de vista do emprego, nunca houve um momento melhor para ser um profissional de segurança cibernética. As organizações estão lutando mais do que nunca para contratar e reter profissionais de segurança cibernética qualificados e gerenciar lacunas de habilidades. O relatório recém-lançado da ISACA, State of Cybersecurity 2022: Global Update on Workforce Efforts, Resources and Cyberoperations, descobriu que 60% dos entrevistados disseram ter enfrentado dificuldades para manter profissionais de segurança cibernética qualificados, sete pontos percentuais acima de 2021.

As principais razões citadas pelos profissionais de segurança cibernética para deixar seus empregos incluem:

• Recrutado por outras empresas (59%)
• Incentivos financeiros ruins em termos de salário ou bônus (48%)
• Oportunidades limitadas de promoção e desenvolvimento (47%)
• Altos níveis de estresse no trabalho (45%)
• Falta de apoio da gestão (34%)

Desafios de contratação e retenção: os números

Sessenta e três por cento dos entrevistados indicaram que têm vagas de segurança cibernética não preenchidas, oito pontos percentuais a mais em relação a 2021. Sessenta e dois por cento relataram que suas equipes de segurança cibernética estão com falta de pessoal. Um em cada cinco disse que leva mais de seis meses para encontrar candidatos qualificados em segurança cibernética para vagas abertas.

Os principais fatores que os gerentes de contratação usam para determinar se um candidato é qualificado são experiência prática anterior em segurança cibernética (73%), credenciais (36%) e treinamento prático (25%).

VEJA: Como mitigar os efeitos da Grande Demissão por meio do desenvolvimento de habilidades (TechRepublic)

Lacunas de habilidades – e um desejo crescente por habilidades sociais

Os entrevistados indicaram que estão procurando uma variedade de habilidades nos candidatos, observando que as principais lacunas de habilidades que veem nos profissionais de segurança cibernética de hoje são habilidades sociais (54%), computação em nuvem (52%) – uma nova opção de resposta para essa pergunta – e controles de segurança (34%). As habilidades sociais também estão no topo da lista de lacunas de habilidades entre os recém-formados, com 66%. Entre as principais soft skills consideradas importantes estão a comunicação (57%), o pensamento crítico (56%) e a resolução de problemas (49%).

Para resolver essas lacunas de habilidades, os entrevistados observaram que o treinamento cruzado de funcionários (mais dois pontos percentuais em relação ao ano ado) e o aumento do uso de contratados e consultores (mais cinco pontos percentuais em relação ao ano anterior) são as principais maneiras de mitigar as lacunas de habilidades técnicas, De acordo com o relatório Além disso, uma porcentagem menor de entrevistados, 52%, indicou que suas empresas exigem diplomas universitários, uma queda de seis pontos percentuais em relação ao ano ado.

Orçamentos potencialmente nivelados

Quarenta e dois por cento disseram que seus orçamentos de segurança cibernética são financiados adequadamente – a maior porcentagem em oito anos, cinco pontos percentuais acima de 2021, e o relatório mais favorável desde que a ISACA começou a fazer essa pesquisa.

Além disso, 55% dos entrevistados também esperam que suas empresas tenham aumentos orçamentários, enquanto 38% não esperam mudanças, e dados plurianuais sugerem que os orçamentos estão nivelando, de acordo com o relatório.

O cenário de ameaças continua a crescer

Este ano, 43% dos entrevistados indicam que sua organização está sofrendo mais ataques cibernéticos, um aumento de oito pontos percentuais em relação ao ano ado.

Quando questionados sobre suas principais preocupações relacionadas a ataques cibernéticos, a reputação da empresa (79%), preocupações com violação de dados (70%) e interrupções na cadeia de suprimentos (54%) são as principais preocupações dos entrevistados. Embora os ataques de ransomware estejam no topo das manchetes, a pesquisa descobriu que os ataques de ransomware permaneceram praticamente inalterados em relação ao ano ado, em 10%.

Outros tipos principais de ataques cibernéticos ocorridos no ano ado incluem:

• Engenharia social (13%)
• Ameaça persistente avançada (12%)
• Configuração incorreta de segurança (10%)
• Ransomware (10%)
• Sistema não corrigido (9%)
• Negação de serviço (9%)

Apesar das ameaças que enfrentam, 82% dos entrevistados – um recorde histórico e um aumento de cinco pontos percentuais em relação ao ano ado – indicaram que estão confiantes na capacidade de sua equipe de segurança cibernética de detectar e responder a ameaças cibernéticas, de acordo com o relatório da ISACA .

Quando se trata de avaliações de risco cibernético, 41% dos entrevistados indicaram que suas empresas as realizam anualmente, um aumento de dois pontos percentuais em relação ao ano ado. Um terço dos entrevistados disse que sua empresa os realiza com mais frequência do que anualmente.

VEJA: O que são aplicativos VPN móveis e por que você deve usá-los (TechRepublic )

Como as empresas devem responder

Jonathan Brandt, diretor de práticas profissionais e inovação da ISACA, citou a Grande Demissão como agravante dos desafios de contratação e retenção de longa data que a comunidade de segurança cibernética enfrenta há anos.

“A flexibilidade é fundamental. Desde ampliar as pesquisas para incluir candidatos sem diplomas tradicionais até fornecer e, treinamento e horários flexíveis que atraem e retêm talentos qualificados, as organizações podem avançar no fortalecimento de suas equipes e fechar as lacunas de habilidades”, disse ele.

Parte do problema pode ser a síndrome do brinquedo novo e brilhante. “Quando se trata de proteger os negócios, muitos ainda são atraídos pela mais recente tecnologia ou produtos de fornecedores, que podem causar mais danos do que benefícios quando não alinhados a uma estratégia que aborda uma infinidade de riscos comerciais exclusivos e um cenário dinâmico de ameaças”, observou Brandt. .

Apesar do amadurecimento do setor de cibersegurança, as empresas podem fazer melhor, destacou, especialmente nas áreas de gestão de ativos, proteção de dados (por exemplo, criptografia e backups) e gestão de identidades e os.

“Para proteger qualquer coisa, você deve estar ciente de sua presença e valor e limitar o o por princípios de privilégio mínimo e necessidade de conhecimento”, disse Brandt. “Os os devem ser revisados ​​com frequência e alinhados às atividades de recursos humanos”, como integração, desligamento e mudanças de cargo.

Enquanto a atenção está sendo dada ao treinamento de conscientização de segurança, os programas devem continuar a evoluir não apenas para aumentar a conscientização sobre as ameaças, mas, mais importante, para dar aos funcionários as habilidades e a confiança para reforçar a prontidão e a resposta organizacional, disse Brandt.

Ele enfatizou que nenhuma empresa está imune a ameaças cibernéticas, e a colaboração multifuncional é necessária para considerar a variedade de cenários de risco e vulnerabilidades enfrentados por todos os aspectos das operações de negócios – incluindo prestar muita atenção às ameaças internas.

“O dano à reputação continua sendo uma grande preocupação para as empresas e, com atores cibernéticos rápidos para organizar e participar de movimentos, os líderes empresariais devem considerar o primeiro, o segundo, o terceiro e os efeitos subsequentes de suas decisões”, disse Brandt.

A ISACA disse que a 8ª pesquisa anual apresenta insights de mais de 2.000 profissionais globais de segurança cibernética e examina as equipes e habilidades de segurança cibernética, recursos, ameaças cibernéticas e maturidade da segurança cibernética.