Uma carreira em segurança cibernética: é para você?

Uma carreira em segurança cibernética: é para você? Não faltam oportunidades para profissionais de segurança cibernética e pessoas que buscam entrar neste campo de atuação. Essa também pode ser a carreira certa para você?

Você provavelmente está ciente da equação desequilibrada entre demanda e oferta na força de trabalho de segurança cibernética , um fato ainda mais terrível quando você considera a miríade de ameaças perigosas enfrentadas por organizações de todos os tamanhos. Se reconhecermos o trabalho dos profissionais de segurança, pensamos que é possível olhar alguns dados relativos aos requisitos de talentos e, de forma mais ampla, ao trabalho dos profissionais de segurança.

Desta forma o site WeLiveSecurity publicou um texto que pode ajudar a determinar se você irá querer seguir uma carreira nessa área de atuação .

Pelos números

De acordo com o 2019 Cybersecurity Workforce Study da security certifications organization (ISC) 2 , a escassez global de profissionais de cibersegurança atingiu 4 milhões no ano passado, tendo aumentado de 2,9 milhões em 2018 e de 1,8 milhões em 2017 . Para atender à demanda, o número de trabalhadores qualificados em segurança precisaria crescer 145%. Só nos Estados Unidos, a diferença no ano passado foi de quase 500.000.

Segundo o Forst & Sullivan e (ISC) 2  O deficit de mão de obra de cibersegurança está em ritmo acelerado e deverá atingir 1,8 milhões em 2022 – um aumento de 20% desde 2015.  35% dos trabalhadores na América do Latina acreditam que esta falta de mão de obra é devido à falta de pessoal qualificado e 45% acreditam que os líderes não compreendem as necessidades da área.

É importante notar que alguns continentes estão se saindo melhor do que outros. De acordo com o último estudo do (ISC) 2 , a APAC representa a maior proporção da lacuna da força de trabalho (64 por cento), seguida pela LATAM (15 por cento), América do Norte (14 por cento) e Europa (7 por cento).

Entre outras descobertas notáveis, duas em cada três organizações disseram que têm escassez de profissionais de segurança, e os entrevistados apontaram essa falta como sua principal preocupação. Não é nenhuma surpresa, então, que metade deles admitiu que sua organização está “em risco moderado ou extremo devido à falta de pessoal de segurança cibernética”.

A segurança cibernética é a proteção de sistemas conectados à Internet, incluindo hardware, software e dados, de ataques cibernéticos.

Em um contexto geral de computação, a Segurança da Informação compreende Segurança Cibernética, Segurança Física, Segurança de TI e Segurança de Pessoas – todas são usadas pelas empresas para proteger contra o acesso não autorizado à informação, seja em datacenters e sistemas locais ou em nuvem e quaisquer outros sistemas computadorizados. A segurança da informação, segundo seu modelo clássico é projetada para manter a confidencialidade, integridade e disponibilidade de dados, sendo a Segurança Cibernética um subconjunto com foco no ambiente online.

Falar de Segurança Cibernética exclusivamente é concentrar em um subconjunto importante da Segurança da Informação, e que cada vez mais toma forma e induzem a criação de leis e regulamentações específicas. Como exemplo podemos citar a Regulamentação 4658 do Bacen e a LGPD, que devido a uma grande preocupação com os vazamentos de dados online e o risco sistêmico dos ataques cibernéticos e do uso de empresas terceirizadas em cloud, vieram regulamentar e normatizar critérios e penalidades sobre a proteção de dados nestes ambientes.

Por isto ser um profissional de Segurança Cibernética e garantir a segurança da empresa requer um conjunto amplo de conhecimento e coordenação de esforços em todo o sistema de informação, que inclui:

  • Segurança de aplicativos
  • Segurança de cloud
  • Segurança de rede
  • Recuperação de desastres / planejamento de continuidade de negócios
  • Segurança operacional
  • Educação do usuário final

Um dos elementos mais problemáticos da segurança cibernética é a natureza em constante evolução dos riscos de segurança, o que significa manter-se atualizado é um desafio cada vez maior e requer do profissional um vida inteira de estudos e novos aprendizado.

Portanto a escassez de profissionais relatadas nas pesquisas pode ser encarada como uma preocupação para o mercado ou como uma oportunidade para que pessoas de diferentes idades e gêneros se especializem nessa área. Mas, na prática, o cenário atual mostra que alcançar a diversidade em segurança da informação ainda é um desafio, especialmente quando comparamos a participação entre mulheres e homens.

Este ano, a pandemia COVID-19 aumentou ainda mais as apostas, inclusive levando a transformação digital à superação e tornando o trabalho de casa o novo normal. Os ataques continuaram a aumentar em número e gravidade, a pressão sobre os atuais funcionários da segurança cibernética aumentou e a demanda por soluções e serviços de segurança aumentou. Nesse cenário, o déficit de força de trabalho não vai diminuir. Pelo contrário, a demanda continuará a superar a oferta.

 

Vale a pena um diploma (ou certificação) em segurança cibernética?

Uma pergunta que frequentemente surge é se você pode conseguir um emprego em segurança sem um diploma universitário nesta ou em uma área relacionada. O WeLiveSecurity tocou no assunto no ano passado, onde vários pesquisadores de segurança da ESET compartilham suas próprias experiências e opiniões e de acordo com o ISC) 2 , os profissionais de segurança geralmente possuem um diploma de bacharel ou superior e uma grande parte deles se formou em ciências da computação ou da informação.

Aqui no Blog Minuto da Segurança, falamos disto quando publicamo o estudo das TOP 10 Certificações de Segurança da Informação .

Por outro lado, 12% entraram em segurança de computadores com “apenas” um diploma de segundo grau. No entanto, isso dificilmente é uma surpresa: enquanto mais e mais instituições acadêmicas em todo o mundo oferecem programas de graduação em segurança de computadores, ainda há muitas que ainda não lançaram tais programas. Como resultado, muitos especialistas na área são autodidatas e / ou preparados para suas carreiras por meio de cursos e certificações não acadêmicas.

Na verdade, possuir uma certificação de segurança cibernética está se tornando cada vez mais útil, e os profissionais de segurança têm em média quatro desses “Títulos” que comprovam seus conhecimentos, habilidades e habilidades. É também por isso que eles geram salários mais altos (US $ 71.000 em média por ano) do que outros profissionais de segurança sem esses título (US $ 55.000). A diferença é ainda mais pronunciada nos EUA e na Ásia-Pacífico.

Dito isto, uma outra pesquisa do (ISC) 2  entre os profissionais de segurança descobriu que salários competitivos não eram o principal fator informando a sua escolha de um plano de carreira. Vários outros atributos – especialmente trabalhar em um ambiente “onde suas opiniões são levadas a sério” e onde eles podem “proteger as pessoas e seus dados” – acabaram por importar ainda mais. No novo estudo, 84% dos entrevistados disseram que estão onde esperavam estar em suas carreiras. Dados os altos níveis de satisfação no trabalho, as coisas realmente parecem funcionar bem para os profissionais de segurança.

No entanto, ressaltamos que títulos, diplomas e cursos não é suficiente. Sua Reputação é Mais Importante que seu salário e sua integridade vale mais que sua Carreira!

“O que importa na vida não é o que te acontece, mas como você reage” (Bruce Lee)

Durante muito tempo estivemos sob uma gestão “tratora“, onde o individuo vale menos que o resultado e onde os resultados apresentados em números  valem mais que a sua própria significância. Muitas empresas utilizam este modelo pois visam o resultado a curto prazo, em 1 ano ou no máximo 2 anos, pois os executivos que avaliam os resultados são igualmente avaliados pelos acionistas e têm o seu bônus definido em igual período.

Criar uma equipe motivada e preparada para suportar o negócio com resultados consistentes e duradouros leva tempo, e ao que parece, o “bônus” não tem todo este tempo à esperar. Não por acaso a média nacional da “dança das cadeiras” dos executivos ocorrem em no máximo 5 anos.

Neste período ocorrem duas coisas que as empresas tentam corrigir ou evitar:

  1. Em 5 anos os executivos conhecem muito bem os atalhos para “manipularem” os números a seu favor e alcançarem bônus melhores.
  2. Em 5 anos, sob uma gestão “tratora”,  a equipe de esfacela e a empresa perde os talentos que a suportam funcionando.

Devemos avaliar o que queremos de nossas vidas e carreiras, qual a longevidade profissional desejamos, dentro e fora da empresa, e se estamos dispostos a “pagar” com nossa integridade, moral e de valores, o preço do dinheiro e da escalada rápida. Aliás, precisamos observar aqueles que sobem muito rápido, quanto tempo conseguem se manter no topo e a qual custo!

O vídeo abaixo traz uma reflexão que acredito ser útil para avaliarmos que tipo de profissional queremos ser lembrados.

 

 

O valor da recompensa por Bugs

Programas de recompensa por bugs, em que hackers éticos recebem recompensas financeiras por relatar vulnerabilidades de segurança nos sistemas de computador das organizações, têm sido uma forma importante de aumentar o interesse pela segurança, especialmente entre os jovens. De acordo com o 2020 Hacker Report do provedor de plataforma bug bounty HackerOne, cerca de 850 White Hats estão se juntando às fileiras da forte comunidade de 600.000 todos os dias.

É seguro dizer que esses programas também são úteis quando se trata de dissuadir o crime cibernético e levar as pessoas, especialmente os adolescentes, a cruzar “ do lado negro para a luz ”. Motivadas pela perspectiva de receber elogios e reconhecimento de seus colegas, muitas pessoas se tornam cibercriminosos muito jovens, sem perceber totalmente as consequências de suas ações.

Embora a recompensa de bugs ou programas semelhantes não sejam de forma alguma a solução para a crescente crise de talentos, as organizações certamente podem se beneficiar da ajuda de hackers éticos. Na verdade, aproveitar esse pool de talentos pode ajudar as organizações a aliviar a escassez de habilidades.

 

Carreiras em segurança cibernética

À medida que o cenário de ameaças cibernéticas continua a crescer e as ameaças emergentes, como a Internet das coisas, exigem habilidades de hardware e software, estima-se que existam 1 milhão de empregos de segurança cibernética não preenchidos em todo o mundo. Profissionais de TI e outros especialistas em informática são necessários em tarefas de segurança, como:

  • Diretor de segurança da informação (CISO): esse indivíduo implementa o programa de segurança em toda a organização e supervisiona as operações do departamento de segurança de TI;
  • Engenheiro de segurança: esse indivíduo protege os ativos da empresa contra ameaças com foco no controle de qualidade dentro da infraestrutura de TI;
  • Arquiteto de segurança: esse indivíduo é responsável por planejar, analisar, projetar, testar, manter e suportar uma infra-estrutura crítica de uma empresa; e
  • Analista de segurança: esse indivíduo tem várias responsabilidades que incluem o planejamento de medidas e controles de segurança, a proteção de arquivos digitais e a realização de auditorias de segurança internas e externas.

À medida que as ameaças cibernéticas se tornam mais incessantes e maliciosas, o trabalho de um CISO e sua equipe de especialistas é cada vez mais difícil, e o desafio de proteger os dados corporativos, de clientes e funcionários, juntamente com a propriedade intelectual, torna-se ainda mais desafiador.

As pessoas contratadas para estes cargos devem entender como reagir durante uma crise cibernética, a fim de ajudar a mitigar quaisquer danos e gerenciar a estratégia de segurança corporativa, juntamente com o suporte e interação com o C-Level.

Um ataque cibernético pode pegar qualquer empresa de surpresa. Dependendo da rapidez e eficiência com que a equipe de segurança e o CISO respondem, pode definir o grau de quanto dano é causado à reputação da empresa e e o impacto financeiramente. Quando a equipe de segurança é preparada e alinhada com outros profissionais de tecnologia, de negócios e com o C-Level, é possível minar alguns dos efeitos negativos do ciberataque.

 

Mulheres

Mulheres estão ganhando espaço em Cybersecurity. As mulheres estão sendo atraídas para as funções de segurança de dados em maior número, e as mulheres agora representam 24% da força de trabalho de segurança cibernética.

Essa é a conclusão da (ISC) ², a maior associação sem fins lucrativos do mundo de profissionais de segurança cibernética certificados, conforme revelado em seu relatório 2019 Women in Cybersecurity .

De acordo com o estudo, essa estimativa é mais alta do que em relatórios anteriores, “em parte devido à adoção de uma nova metodologia de amostra que cria uma representação mais precisa e holística dos profissionais de segurança cibernética e de TI / TIC responsáveis ​​por garantir a integridade crítica de suas organizações. ativos.

Embora a representação mais forte das mulheres na força de trabalho de cibersegurança seja encorajadora, o relatório indica que os desafios, como a desigualdade salarial, permanecem.

Os dados confirmam o que temos visto nos últimos anos no terreno. Mais mulheres estão entrando no campo da cibersegurança com pós-graduação e não apenas trabalhando nas trincheiras, mas também no C-suite ”, disse (CEO) ² CEO David Shearer. “As mulheres em cargos de alto nível promoverão mais inclusão e inspirarão as mulheres jovens a se unirem à indústria, e certamente há muitas oportunidades interessantes disponíveis para aqueles que buscam inspirar um mundo cibernético seguro e protegido. A diversidade só nos torna mais fortes. ”

Embora os homens superem as mulheres em segurança cibernética em três para um, mais mulheres estão se juntando ao campo – e estão buscando cargos de liderança.
Impulsionadas por níveis mais altos de educação e mais certificações do que seus pares do sexo masculino, as trabalhadoras de segurança cibernética estão se afirmando na profissão.

 

Quais as melhores certificações em segurança cibernética ?

Certificações de segurança cibernética pode ser uma ótima maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a obter aquela promoção tão desejada. No entanto, eles exigem um investimento de tempo e dinheiro, e você não quer desperdiçar qualquer um destes no caminho errado, correto?  Por isso que vale a pena tomar algum tempo para escolher com cuidado. Foram pesquisados ​​mais de 200 profissionais de segurança cibernética e usaram os resultados para criar uma lista dos melhores certificações de segurança cibernética para chegar em 2019.

Publicamos aqui no Blog Minuto da Segurança, em julho de 2018, as Top 10 certificações de Segruança, acredito que elas ainda são válidas, portanto segue aqui o resumo .. para quem quiser ver os detalhes da matéria é só seguir este link.  

código de desconto CISSP

1. CISSP – CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL – DO ISC2

 

CISM

2. CISM – CERTIFIED INFORMATION SECURITY MANAGER 

 

CEH - Certified Ethical Hacker

3. CEH – CERTIFIED ETHICAL HACKER – DO EC-COUNCIL

 

CompTIA Security + Código de Desconto

4. COMPTIA SECURITY +

 

OSCP Certification

5. OSCP – OFFENSIVE  CERTIFIED SECURITY PROFESSIONAL – PELA OFFENSIVE SECURITY 

 

CCSP

6. CCSP – CERTIFIED CLOUD SECURITY PROFESSIONAL

 

ISO27001 Certified ISMS Lead Implementer

7. ISO27001 LEAD IMPLEMENTER 

 

CAST611 Course - APT Coupon Code

8. APT – ADVANCED PENETRATION TESTING – PELA EC-COUNCIL  

 

OSCE Certification

9. OSCE – OFFENSIVE SECURITY CERTIFIED EXPERT – PELA OFFENSIVE SECURITY

 

10. GSEC – GIAC SECURITY ESSENTIAL – PELO SANS (E OUTROS PROVEDORES)

 


Menções Honrosas

Os cursos abaixo não fizeram parte do top 10 na pesquisa, mas forma escolhidos pelo ISCN como menções honrosas:

Código de Cupom CCISOCCISO – CERTIFIED CHIEF INFORMATION SECURITY OFFICER – DA EC-COUNCIL

 

EC-Council CES Course - CES Coupon Code

ECES – CERTIFIED SPECIALIST ENCRYPTION – PELO EC-COUNCIL  

 

CHFI

CHFI – COMPUTER HACKING FORENSIC INVESTIGATOR – PELO EC-COUNCIL

 

Código de Cupom CND

CND – CERTIFIED NETWORK DEFENDER – PELO EC-COUNCIL

 

 

NIST

Em um esforço para trazer consistência ao descrever as tarefas, deveres, papéis e títulos de profissionais de segurança cibernética, o National Institute of Standards and Technology (NIST)  divulgou documento sobre o framework para cibersegurança.

Uma das tarfeas mais difíceis de recrutadores e gestores da área de Segurança da Informação é descrever e comparar consistentemente as funções e títulos dos profissionais da área. Para facilitar o National Institute of Standards and Technology (NIST)  divulgou a versão preliminar do seu léxico de segurança cibernética.

National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework via  fornecer às organizações um vocabulário comum ao descrever o papel, a área de especialidade, a categoria de trabalho, o conhecimento, experiência e habilidades (KSA – knowledge, skills, and abilities) dos profissionais de segurança cibernética.

O NICE Cybersecurity Workforce Framework melhora a comunicação, sobre como identificar, recrutar, desenvolver e reter talentos de segurança cibernética“, descreveo relatório NIST. É um recurso do qual organizações ou setores podem desenvolver publicações adicionais ou ferramentas que atendam às suas necessidades para definir ou fornecer orientações sobre diferentes aspectos do desenvolvimento, planejamento, treinamento e educação da força de trabalho“.

Empregadores e recrutadores, por exemplo, podem usar o framework como recurso ao redigir descrições de trabalho de segurança cibernética ou usá-lo para definir com maior clareza os tipos de profissionais de segurança de TI na força de trabalho, de acordo com o relatório NIST.

Quanto aos profissionais de segurança cibernética, a estrutura de vocabulário de segurança de TI pode ajudar a oferecer aos candidatos e empregadores uma linguagem e uma compreensão comuns quando várias experiências e habilidades requisitadas na oferta de emprego.

O material do NIST pode ser acessado e baixado no link National Initiative for Cybersecurity Education (NICE).

 

Conclusão:

Para encerrar, aqui está talvez mais um ponto de dados a considerar. A pesquisa do (ISC) 2 descobriu que apenas 42% dos primeiros empregos dos entrevistados após a educação foram em segurança. Em outras palavras, esse campo de atuação está amplamente aberto a pessoas que buscam se reinventar como profissionais de segurança.

No caso da pesquisa de certificações do ISCN, o objetivo é fornecer recurso e área de networking onde os profissionais de segurança cibernética, gerentes e recrutadores possam entrar em contato uns com os outros e fornecer dicas úteis para ajudar o progresso das pessoas e alavancar ainda mais suas carreiras em segurança de TI, segurança da informação, segurança de rede , recuperação de desastres. 

Mas, vale ressaltar aqui, pela experiência deste que vos escreve, que somente a certificação não garante a sua promoção ou a sua tão esperada oportunidade. Existem outros fatores comportamentais e profissionais tão decisivos quanto as certificações que você carrega. Veja os artigos de Liderança aqui no nosso Blog Minuto da Segurança  . Além destes conceitos e critérios, é igualmente importante aplicar seu conhecimento de forma inteligente e suportando o negócio da empresa, pois isto gera valor e valoriza o “seu passe“. Sem esta plicação prática, sem a sua valorização como líder, sem o seu conhecimento alavancar o negócio da empresa, você será como um “mensageiro do apocalipse“, sempre trazendo notícias ruins e a certificação será como um quadro na parede de sua sala de jantar!

Aproveitem e preparem-se para “2021 and beyond”!

 

Fonte: WeLiveSecurity

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Enel vaza dados de CPF e dados bancários dados de 300 mil clientes
  2. TSE admite ataque hacker neste domingo de eleições
  3. A LGPD e o mito do advogado que entende de dados
  4. O que a presidência de Joe Biden significa para a segurança cibernética
  5. E se toda profissão fosse tratada como TI ?

Deixe sua opinião!