Depois de passar uma temporada nos EUA para um curso de aperfeiçoamento profissional tive a oportunidade de conhecer um pouco do mercado na terra do Tio Sam. Ao mesmo tempo que os ataques cibernéticos aumentam, a necessidade pela proteção de dados privados e ativos de valor para a organização tem sido a grande chave para o profissional de cibersegurança.
A demanda e capacitação destes profissionais tem aumentado, mas o número de profissionais em cibersegurança não tem sido o suficiente para superar esta necessidade. Conversando com alguns professores e profissionais da área foi factível ouvir a escassez em que, infelizmente, o futuro da tecnologia pode estar sujeito a ser impactado. De acordo com o estudo realizado pela Deloitte, nos próximos anos a necessidade por profissionais de segurança como o Strategist, Advisor e Scientist serão os profissionais mais requisitados no mercado canadense, o que deve se estender para os EUA, Brasil, etc.
Literalmente podemos ver o gap destes profissionais devido aos seguintes pontos que precisam ser trabalhados pela sociedade tecnológica. O que fazer para a empresa aceitar ou não um processo de cibersegurança? O que fazer para o mercado formar profissionais capacitados e articulados para lidar com a matéria? Sendo assim, durante o vôo de retorno, parei para escrever este artigo com intuito de compartilhar a visão e o valor do Cybersecurity para as empresas nos EUA e aqui no Brasil.
Pessoas gostam de usar a tecnologia, mas não querem perder tempo em criá-las ou protegé-las – > Nos EUA, por exemplo, é da cultura incentivar os adolescentes se tornar um ícone nos esportes e naturalmente muitos tornam o sonho em realidade. Por um lado é bom para o país, por outro pode ser considerado um desfalque em tecnologia. Pelo menos 80% dos estudantes caminham para os esportes e sobra apenas uma pequena fatia de estudantes interessados por tecnologia. Uma boa parte das universidades americanas de tecnologia possui estudantes de outros países como Índia, Brasil, China, Arábia Saudita, etc. Eis, o primeiro ponto: Onde que o governo deveria investir em conscientização para que os estudantes americanos tenham mais interesse em trabalhar com tecnologia?
As maiores empresas de tecnologia tem lutado fortemente com o governo para o aumento e aprovação de visto de trabalho para estrangeiros, pois a demanda está sendo muito alta e isso ainda tem sido um entrave para a área.
Ainda são poucos que falam outro idioma -> Nos estados da Flórida, New York e Califórnia, a exigência de um segundo idioma como o Espanhol e até um terceiro como Mandarim e o Português tem se tornado um requisito diferencial para vagas em TI. Por exemplo, a cidade de Miami é considerada o hub para as empresas que possuem negócios na América Latina, logo o conhecimento do Espanhol e Português fazem a diferença na hora da contratação. Empresas como a Amazon colocaram a cidade de Miami na lista das opções para implantação do seu segundo headquarters. Miami ainda é considerada o segundo polo de business depois de New York e na Flórida é fácil encontrar empresas de tecnologia e gigantes em peso, como a Citrix, Oracle, SAP, Visa, Burguer King, Mastercard, Fortinet, e Citibank que é forte em Fort Lauderdale e Tampa, também na Flórida. Como por exemplo a sede da ISC2, criadora da certificação CISSP, tem seu Corporate Headquarters na cidade de Clearwater/Tampa, Florida.
Qual é o ponto positivo disso tudo? É evidente que o brasileiro tem um grande diferencial, porque além de ter que saber falar Inglês, vem o Espanhol, e agora como muitos brasileiros migrando para região a necessidade pelo conhecimento do Português tem sido uma exigência não somente em Tecnologia, mas também em outras áreas, sendo um diferencial competitivo para nós brasileiros. Esta necessidade de mudança na geografia na região tem sido um gap para os americanos que estão na corrida para aprender o Espanhol e alguns casos o Português.
Mudança no Mindset -> Como mencionado no artigo que escrevi anteriormente “O novo Cyber Security Officer”, o mercado tem exigido muito mais que um profissional que conhece de cibersegurança, mas que tenha uma visão Generalista entre o Strategist, Scientist e Advisor, complementando habilidades como Liderança e ainda saber caminhar de maneira Intencional com propósito. Ou seja, ter uma visão clara do propósito da posição na organização, ter foco no objetivo alinhado com o negócio, não ser insensato e sim sábio, firme e resoluto, a fim de reunir recursos e aprendizado, ser cercado de pessoas dedicadas a encontrar soluções para os cenários mais complexos em uma organização e não permitir que obstáculos e oposições como um vazamento de dados o detenha.
As pesquisas mostram que pelo menos 65% das empresas no EUA já sofreram um incidente em cybersecurity: (Ataques DDoS, Phishing Scam, Ransomware, Data Leakage, etc) nos últimos dois anos e isso tem sido um dos grandes fatores da preocupação das empresas por cibersegurança. Fato que a chegada das regulamenções como a GDPR tem fortalecido a exigência por um Data Privacy Officer em organizações que coletam ou armazenam dados de cidadãos europeus. Vale ressaltar que o presidente Temer sancionou a nova LGPD (Lei Geral de Proteção de Dados Pessoais) de cidadãos brasileiros no qual as empresas terão até 18 meses para se adequarem, caso negativo o risco de reputação e multa pode chegar até 4% do faturamento da organização, ou seja, pode levar até a falência. É isso mesmo, o Brasil de “terra sem lei” passa a ser um dos países mais avançados no tema.
Uma nova restruturação na formação destes profissionais -> Nos EUA é muito comum os veteranos que serviram o exército, força aérea e marinha migrem para a área de cibersegurança. Na realidade a grande maioria dos CISOs na América é ex-militar e traz na bagagem o conhecimento profundo de segurança física e aplicam no mundo de tecnologia como Cloud, IoT, Big Data, etc, com muita facilidade.
Enquanto a escassez pela falta de profissionais com esta especialização continua afetando o mercado e as universidades não conseguem formar profissionais suficientes, é visível que nos últimos dois anos o surgimento por cursos especializados em Cybersecurity tem aumentando, mas mesmo assim ainda não resolve o problema, pois a mudança tem que ser no Mindset da cultura, com o propósito de incentivar os jovens pelo gosto de trabalhar com tecnologia. Por exemplo, o Miami Dade College criou recentemente um Cyber Security Center of the Americas para formação de profissionais em cybersecurity e também para a formação de executivos capazes de gerir a segurança da informação na alta direção. A iniciativa tem sido criada a fim de incentivar os estudantes a ingressarem na área de cibersegurança.
Olhando para o Brasil, é o contrário. A maioria dos profissionais em cibersegurança costuma migrar da tecnologia para a área e o grande eixo que dificulta estes profissionais é capacidade de absorver habilidades de comunicação e articulação, traduzindo um reporte de um risco crítico em cloud para organização com clareza e objetividade para os executivos.
Infelizmente os gaps existem, fato que muitos programadores saem fera da universidades, mas não possuem uma base para desenvolver um sistema ou um mobile application com a devida segurança. Por outro lado, a luta contra o tempo que os profissionais em cibersegurança enfrentam em gerir as atividades diárias e se manter atualizados ainda corre um pouco atrás dos bad guys. Enquanto que um black hat gasta todo seu tempo explorando vulnerabilidades em softwares, os profissionais em cibersegurança estão apagando incêndios. Notório que no Brasil o investimento do budget em cibersegurança ainda tem sido muito pouco, é comum ainda encontrar líderes de segurança que ao mesmo tempo que estão atuando no hands on, em paralelo precisam lidar com o estratégico. E será que sobra tempo de serem capazes de proteger a organização com eficácia realizando o propósito no qual foram contratados a fazer?
Por outro lado, na América, onde muitas tecnologias são criadas e cabeças e cabeças de mestres surgem, o mesmo mercado não acompanha o surgimento de experts em cibersegurança capazes de proteger as novas tecnologias como cloud. O bom disso tudo é que o mercado continua em ascensão e tudo indica que haverá muitos anos pela frente de muito trabalho gerando valor a cibersegurança para as empresas.
Isto não é uma especulação, mas uma realidade que algumas cidades como Miami já despertaram e colocaram em prática um plano de ação para não serem impactadas no futuro. Como costumo sempre citar um provérbio do sábio: Você que está dormindo, acorde! Levante-se e aja! Portanto, não devemos ser ignorantes com a realidade, mas agir como sábios antecipando e prevenindo dos desastres, pois vale um piscar de olhos para acontecer. Enfim, com a chegada desta nova lei em nosso país, será mesmo que o governo e as empresas irão despertar? Bom, quanto a resposta conheceremos no tempo oportuno e o que basta agora é acreditar e agir!
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
