|
|
Research Findings
The Basic Facts
|
Os fatos básicos
|
|
As in past years, ESG and ISSA got some baseline information regarding cybersecurity professionals’ careers. For example:
|
Como nos últimos anos, o ESG e a ISSA obtiveram algumas informações básicas sobre as carreiras dos profissionais de segurança cibernética. Por exemplo:
|
|
79% of cybersecurity professionals started their careers working in IT.
|
79% dos profissionais de segurança cibernética começaram suas carreiras trabalhando em TI.
|
|
When asked which skills were most helpful in the move from IT to cybersecurity, the top responses were IT operations knowledge and skills (61%), analytics skills (53%), hands-on technology knowledge and skills (48%), and business skills (as they relate to IT technologies and processes) (42%).
|
Quando perguntados sobre quais habilidades foram mais úteis na mudança da TI para a segurança cibernética, as principais respostas foram conhecimento e habilidades de operações de TI (61%), habilidades analíticas (53%), conhecimento e habilidades práticas de tecnologia (48%) e habilidades de negócios (no que se refere a tecnologias e processos de TI) (42%).
|
|
When asked the reasons for becoming a cybersecurity professional, the top responses were the chance to use skills and curiosity to address technical challenges (43%), the opportunity to develop technical skills and knowledge (40%), it being a natural career move from IT (34%), and attraction to the morality of the profession (29%).
|
Quando questionados sobre as razões para se tornar um profissional de segurança cibernética, as principais respostas foram a chance de usar habilidades e curiosidade para enfrentar desafios técnicos (43%), a oportunidade de desenvolver habilidades e conhecimentos técnicos (40%), sendo uma mudança natural de carreira de TI (34%), e atração pela moralidade do a profissão (29%).
|
|
28% of survey respondents say that either they or other cybersecurity professionals they know have experienced significant personal issues because of stress associated with the cybersecurity profession (i.e., drug abuse, alcohol abuse, depression, etc.).
|
28% dos entrevistados dizem que eles ou outros profissionais de segurança cibernética que conhecem tiveram problemas pessoais significativos devido ao estresse associado à profissão de segurança cibernética (ou seja, abuso de drogas, abuso de álcool, depressão, etc.).
|
|
50% of cybersecurity professionals surveyed say that job stress levels increased this past year as a result of remote worker support due to the COVID-19 pandemic. To help alleviate stresses caused by the pandemic, 36% of organizations instituted more CISO “check-ins” with staff, 32% created online social meetings for the cybersecurity team, and 24% added formal stress management programs driven by HR.
|
50% dos profissionais de segurança cibernética pesquisados afirmam que os níveis de estresse no trabalho aumentaram no ano passado como resultado do suporte remoto aos trabalhadores devido à pandemia de COVID-19. Para ajudar a aliviar o estresse causado pela pandemia, 36% das organizações instituíram mais “check-ins” do CISO com a equipe, 32% criaram reuniões sociais online para a equipe de segurança cibernética e 24% adicionaram programas formais de gerenciamento de estresse impulsionados pelo RH.
|
|
Survey respondents were also asked whether their organization employed a CISO. Those that did were asked several other related questions. On this topic, the research revealed:
|
Os respondentes da pesquisa também foram questionados se sua organização empregava um CISO. Aqueles que fizeram foram feitas várias outras perguntas relacionadas. Sobre esse tópico, a pesquisa revelou:
|
|
73% of survey respondents say that their organization employs a CISO while 5% say their organization employs a virtual CISO (vCISO).
|
73% dos entrevistados dizem que sua organização emprega um CISO, enquanto 5% afirmam que sua organização emprega um CISO virtual (vCISO).
|
|
Of those organizations that employ a CISO, 43% say that the CISO reports to the CIO, 29% say the CISO reports to the CEO, 9% say COO, 9% say “other,” and 10% don’t know.
|
Das organizações que empregam um CISO, 43% dizem que o CISO se reporta ao CIO, 29% dizem que o CISO se reporta ao CEO, 9% dizem COO, 9% dizem “outros” e 10% não sabem.
|
|
61% of respondents say their CISO is an active participant with executive management and the board of directors (or similar oversight group), 14% say their CISO is not an active participant with executive management and the board of directors (or similar oversight group), and 24% don’t know. 51% think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, 23% do not think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, and 26% don’t know.
|
61% dos entrevistados dizem que seu CISO é um participante ativo com a gerência executiva e o conselho de administração (ou grupo de supervisão semelhante), 14% dizem que seu CISO não é um participante ativo com a administração executiva e o conselho de administração (ou grupo de supervisão semelhante) e 24% não sabe. 51% pensam que seus O nível de participação do CISO da organização com a gerência executiva e o conselho de administração é adequado, 23% não acham que o nível de participação do CISO de sua organização com a gerência executiva e o conselho de administração é adequado e 26% não sabem.
|
|
43% believe their CISO has been very effective, 49% believe their CISO has been somewhat effective, 6% say their CISO hasn’t been very effective, and 2% claim their CISO has not been effective at all.
|
43% acreditam que seu CISO foi muito eficaz, 49% acreditam que seu CISO foi um tanto eficaz, 6% dizem que seu CISO não foi muito eficaz e 2% afirmam que seu CISO não foi efetivo.
|
|
When asked to identify the most important qualities of a successful CISO, 39% said leadership skills while 30% said operational skills. The remaining 31% included business skills, technical skills, management skills, communications skills, and other.
|
Quando solicitados a identificar as qualidades mais importantes de um CISO bem-sucedido, 39% disseram habilidades de liderança, enquanto 30% disseram habilidades operacionais. Os 31% restantes incluíram habilidades de negócios, habilidades técnicas, habilidades de gerenciamento, habilidades de comunicação e outras.
|
|
Survey respondents were asked which factors are likeliest to cause CISOs to leave one organization for another. The most popular answers were: CISOs are offered a higher compensation package at another organization (33%), the organization doesn’t have a culture that emphasizes cybersecurity (31%), and cybersecurity budgets are not commensurate with the organization’s size and industry (29%).
|
Os respondentes da pesquisa foram questionados sobre quais fatores são mais prováveis de fazer com que os CISOs deixem uma organização por outra. As respostas mais populares foram: Os CISOs recebem um pacote de remuneração mais alto em outra organização (33%), a organização não tem uma cultura que enfatiza a segurança cibernética (31%) e os orçamentos de segurança cibernética não são compatíveis com o tamanho e a indústria da organização (29%).
|
Getting a Cybersecurity Job
|
Conseguir um emprego em segurança cibernética
|
|
For the first time, ESG and ISSA asked cybersecurity professionals how they found their current job (see Figure 1). The highest percentage (38%) say that they found their job by networking with industry contacts while 24% were contacted by an industry recruiter and 22% responded to a job posting at their company (see Figure 1). Not surprisingly, there is a slight correlation between methods used for finding a job and seniority. Senior cybersecurity professionals are more likely to find their jobs through industry contacts and recruiters while those with less experience are more likely to use job postings. This information should help guide CISOs and HR professionals as they compete to fill job requisitions.
|
Pela primeira vez, o ESG e a ISSA perguntaram aos profissionais de segurança cibernética como eles encontravam seu emprego atual (consulte a Figura 1). A porcentagem mais alta (38%) diz que encontrou seu emprego fazendo networking com contatos do setor, enquanto 24% foram contatados por um recrutador do setor e 22% responderam a um anúncio de emprego em sua empresa (veja a Figura 1). Não surpreendentemente, há uma ligeira correlação entre os métodos usados para encontrar um emprego e a antiguidade. Profissionais seniores de segurança cibernética são mais propensos a encontrar seus empregos por meio de contatos e recrutadores do setor, enquanto aqueles com menos experiência são mais propensos a usar anúncios de emprego. Essas informações devem ajudar a orientar os CISOs e os profissionais de RH à medida que competem para preencher as requisições de trabalho.
|
|
Despite the ongoing cybersecurity skills shortage, skilled candidates often complain that it can be very difficult to begin a cybersecurity career. When meeting entry-level candidates, ESG analysts and ISSA members are often asked for advice in this area. In 2021, ESG and ISSA addressed this issue directly by including a new survey question asking survey respondents for their recommendations for those seeking to enter the cybersecurity field. Nearly half (49%) of respondents suggested getting a basic cybersecurity certification, 42% proposed joining a professional industry organization, and 36% recommended finding a mentor who is willing to help develop skills and career plan (see Figure 2). This guidance will hopefully help entry-level candidates jumpstart their careers.
|
Apesar da contínua escassez de habilidades em segurança cibernética, candidatos qualificados costumam reclamar que pode ser muito difícil iniciar uma carreira de segurança cibernética. Ao encontrar candidatos iniciantes, os analistas do ESG e os membros da ISSA são frequentemente solicitados a fornecer conselhos nessa área. Em 2021, o ESG e a ISSA abordaram esse problema diretamente, incluindo uma nova pergunta de pesquisa solicitando aos entrevistados suas recomendações para aqueles que buscam entrar no campo da segurança cibernética. Quase metade (49%) dos entrevistados sugeriu obter uma certificação básica de segurança cibernética, 42% propuseram ingressar em uma organização profissional do setor e 36% recomendaram encontrar um mentor que esteja disposto a ajudar a desenvolver habilidades e plano de carreira (veja a Figura 2). Esperamos que essa orientação ajude os candidatos iniciantes a impulsionar suas carreiras.
|
Cybersecurity Careers Depend upon Hands-on Experience and Some Certifications
|
Carreiras em segurança cibernética dependem da experiência prática e de algumas certificações
|
|
Cybersecurity is highlighted by a plethora of esoteric technical certifications, so ESG and ISSA have continually asked survey respondents to tell us which certifications they’ve achieved, and which are most important. As in past years, survey respondents were asked to write in the answer to this question, and the top responses are listed in Figure 3. Of those certifications achieved, the most useful ones for getting a job are graphed in Figure 4 . In both graphics, the certified information systems security professional (CISSP) from (ISC)2 stands out—it’s the most popular certification and the one that’s most important for getting a cybersecurity job. Other certifications may be important tactically but should be viewed as vehicles for career advancement (in some cases) or to help cybersecurity professionals gain general knowledge in a cybersecurity subdiscipline (for example, certified ethical hacker).
|
A segurança cibernética é destacada por uma infinidade de certificações técnicas esotéricas, de modo que o ESG e a ISSA pedem continuamente aos entrevistados que nos digam quais certificações alcançaram e quais são as mais importantes. Como nos últimos anos, os respondentes da pesquisa foram solicitados a escrever a resposta a essa pergunta, e as principais respostas estão listadas na Figura 3. Dessas certificações obtidas, as mais úteis para conseguir um emprego estão representadas na Figura 4. Em ambos os gráficos, o profissional de segurança de sistemas de informação certificado (CISSP) da (ISC) 2 se destaca: é a certificação mais popular e a mais importante para conseguir um emprego em segurança cibernética. Outras certificações podem ser importantes taticamente, mas devem ser vistas como veículos para o avanço na carreira (em alguns casos) ou para ajudar os profissionais de segurança cibernética a obter conhecimento geral em uma subdisciplina de segurança cibernética (por exemplo, hacker ético certificado).
|
|
Cybersecurity professionals pursue a CISSP certification after accruing the requisite number of years of experience as this certification is a requirement for most available jobs. Beyond the CISSP, however, survey respondents take a more tactical approach to additional certifications based upon their skills, interests, and career plans. ESG and ISSA believe this is the right approach for certifications and career development. Rather than fill their resumes with acronyms, cybersecurity professionals should focus on hands-on training, mentoring, and professional networking as primary means for skills development. Rather, certifications should supplement these activities.
|
Os profissionais de segurança cibernética buscam uma certificação CISSP após acumularem o número necessário de anos de experiência, pois essa certificação é um requisito para a maioria dos empregos disponíveis. Além do CISSP, no entanto, os entrevistados adotam uma abordagem mais tática para certificações adicionais com base em suas habilidades, interesses e planos de carreira. A ESG e a ISSA acreditam que essa é a abordagem certa para certificações e desenvolvimento de carreira. Em vez de preencher seus currículos com siglas, os profissionais de segurança cibernética devem se concentrar em treinamento prático, orientação e networking profissional como principal meio para o desenvolvimento de habilidades. Em vez disso, as certificações devem complementar essas atividades.
|
|
ESG and ISSA have long held the belief that hands-on experience is the most important factor in cybersecurity career development, but this assumption was based on anecdotal data. In 2021, ESG and ISSA tested the hypothesis in the survey.
|
O ESG e a ISSA há muito acreditam que a experiência prática é o fator mais importante no desenvolvimento da carreira em segurança cibernética, mas essa suposição foi baseada em dados anedóticos. Em 2021, o ESG e o ISSA testaram a hipótese na pesquisa.
|
|
The data supports this long-held belief again. Only 1% of respondents believe security certifications are more important than hands-on experience. Alternatively, 52% believe that hands-on experience is more important than certifications while 46% place equal value on hands-on experience and certification achievement (see Figure 5). Based on the research, ESG and ISSA believe that those who believe that hands-on experience and achieving security certifications are equally important have the CISSP certification in mind, as this is considered a foundational requirement for a cybersecurity career.
|
Os dados apóiam essa crença de longa data novamente. Apenas 1% dos entrevistados acreditam que as certificações de segurança são mais importantes do que a experiência prática. Como alternativa, 52% acreditam que a experiência prática é mais importante do que as certificações, enquanto 46% dão o mesmo valor à experiência prática e à obtenção da certificação (consulte a Figura 5). Com base na pesquisa, o ESG e a ISSA acreditam que aqueles que acreditam que a experiência prática e a obtenção de certificações de segurança são igualmente importantes têm a certificação CISSP em mente, pois isso é considerado um requisito fundamental para uma carreira de segurança cibernética.
|
|
Based upon this data, aspiring and advancing cybersecurity professionals should take a balanced approach to skills development. As previously stated, hands-on experience should be supplemented with the appropriate security certifications on an as-needed basis.
|
Com base nesses dados, profissionais de segurança cibernética aspirantes e avançados devem adotar uma abordagem equilibrada para o desenvolvimento de habilidades. Como afirmado anteriormente, a experiência prática deve ser complementada com as certificações de segurança apropriadas, conforme necessário.
|
Cybersecurity Professionals: A 360 Degree View
|
Profissionais de segurança cibernética: uma visão de 360 graus
|
|
What are the most important factors that distinguish a satisfactory and unsatisfactory cybersecurity job? This question has been a constant in the ESG/ISSA research study for five years. Interestingly, the results have been fairly consistent. The top three priorities in 2021 are business management’s commitment to strong cybersecurity, competitive or industry-leading financial compensation, and the ability to work with highly skilled and talented cybersecurity staff (see Figure 6).
|
Quais são os fatores mais importantes que distinguem um trabalho de segurança cibernética satisfatório e insatisfatório? Essa questão tem sido uma constante no estudo de pesquisa ESG/ISSA por cinco anos. Curiosamente, os resultados foram bastante consistentes. As três principais prioridades em 2021 são o compromisso da gestão empresarial com uma forte segurança cibernética, uma compensação financeira competitiva ou líder do setor e a capacidade de trabalhar com uma equipe de segurança cibernética altamente qualificada e talentosa (consulte a Figura 6).
|
|
CISOs and HR executives take note, as this data represents what it will take to hire and retain cybersecurity professionals.
|
CISOs e executivos de RH tomam nota, pois esses dados representam o que será necessário para contratar e reter profissionais de segurança cibernética.
|
|
With job satisfaction in mind, ESG and ISSA also wanted insight into the most stressful aspects of a cybersecurity job. Nearly two-thirds (32%) of survey respondents claim it is finding out about IT/initiatives/projects that were started by other teams (within the organization) with no security oversight (see Figure 7). This makes sense. Security professionals want to be engaged in projects from the start so they can “bake in” rather than “bolt on” security. Similarly, nearly one-third (31%) of respondents believe it is stressful working with disinterested business managers while another 31% point to the overwhelming workload. Similar to the top response, 24% of security professionals believe it is stressful keeping up with the security needs of new IT initiatives. Clearly, cybersecurity professionals want to be involved in projects from the start and want to see cybersecurity commitment from business and IT associates. When these conditions are absent, organizations will likely face high employee burnout and staff attrition.
|
Com a satisfação no trabalho em mente, o ESG e a ISSA também queriam informações sobre os aspectos mais estressantes de um trabalho de segurança cibernética. Quase dois terços (32%) dos entrevistados afirmam que estão descobrindo sobre TI/iniciativas/projetos que foram iniciados por outras equipes (dentro da organização) sem supervisão de segurança (consulte a Figura 7). Isso faz sentido. Os profissionais de segurança querem se envolver em projetos desde o início para que possam “aproveitar” a segurança em vez de “ativar”. Da mesma forma, quase um terço (31%) dos entrevistados acredita que é estressante trabalhar com gerentes de negócios desinteressados, enquanto outros 31% apontam para a carga de trabalho esmagadora. Semelhante à resposta principal, 24% dos profissionais de segurança acreditam que é estressante acompanhar as necessidades de segurança das novas iniciativas de TI. Claramente, os profissionais de segurança cibernética querem se envolver em projetos desde o início e querem ver o compromisso de segurança cibernética dos associados de negócios e TI. Quando essas condições estão ausentes, as organizações provavelmente enfrentarão alto esgotamento dos funcionários e desgaste da equipe.
|
|
As in the past, security professionals were asked their opinions on several topics (see Figure 8). A few stats stand out:
|
Como no passado, os profissionais de segurança eram questionados sobre vários tópicos (veja a Figura 8). Algumas estatísticas se destacam:
|
|
Conflict between the need for training and time allocated to training remains a critical issue: 91% of respondents agree that cybersecurity professionals must keep up with their skills or their organizations are at a significant disadvantage, yet 59% agree that while they try to keep up on cybersecurity skills, it is hard to do given the demands of their jobs. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note and make sure to convince the organization that ample training time and resources are an absolute requirement.
|
O conflito entre a necessidade de treinamento e o tempo alocado para o treinamento continua sendo uma questão crítica: 91% dos entrevistados concordam que os profissionais de segurança cibernética devem acompanhar suas habilidades ou suas organizações estão em desvantagem significativa, mas 59% concordam que, embora tentem acompanhar as habilidades de segurança cibernética, é difícil de fazer, dadas as demandas de seus empregos. ESG e ISSA chamam essa situação de paradoxo do treinamento em segurança cibernética. Os CISOs tomam nota e se certificam de convencer a organização de que um amplo tempo e recursos de treinamento são um requisito absoluto.
|
|
Cybersecurity professionals tend to pride themselves on their endurance and competitiveness, masking the personal price these jobs can have. The research supports this as 60% agree that a cybersecurity career can be taxing on one’s work/life balance, and 38% agree that they often feel an unhealthy level of stress with their jobs. Accordingly, CISOs should constantly monitor the mental health of team members while establishing programs for stress relief.
|
Os profissionais de segurança cibernética tendem a se orgulhar de sua resistência e competitividade, mascarando o preço pessoal que esses empregos podem ter. A pesquisa apóia isso, pois 60% concordam que uma carreira de segurança cibernética pode sobrecarregar o equilíbrio entre trabalho e vida pessoal, e 38% concordam que muitas vezes sentem um nível prejudicial de estresse com seus empregos. Consequentemente, os CISOs devem monitorar constantemente a saúde mental dos membros da equipe enquanto estabelecem programas para alívio do estresse.
|
|
58% of survey respondents agree that security professionals spend too much time on the technical aspects of cybersecurity and not enough time on how cybersecurity aligns with the corporate mission. ESG and ISSA believe this is a fundamental industry dilemma, sometimes called the “shiny object problem.” To address this, CISOs must always reinforce the business focus of cybersecurity within the security team.
|
58% dos entrevistados concordam que os profissionais de segurança gastam muito tempo com os aspectos técnicos da segurança cibernética e pouco tempo em como a segurança cibernética se alinha com a missão corporativa. A ESG e a ISSA acreditam que esse é um dilema fundamental da indústria, às vezes chamado de “problema de objeto brilhante”. Para resolver isso, os CISOs devem sempre reforçar o foco comercial da segurança cibernética dentro da equipe de segurança.
|
|
Interestingly, despite the personal challenges represented in this data, 79% of cybersecurity professionals agree that they are happy as cybersecurity professionals. ESG and ISSA believe that this commitment to the mission regardless of the challenges is what makes cybersecurity professionals special. Rather than business or technical professionals, cybersecurity professionals behave like dedicated public servants, with a focus tilting toward the greater good rather than personal accolades.
|
Curiosamente, apesar dos desafios pessoais representados nesses dados, 79% dos profissionais de segurança cibernética concordam que estão felizes como profissionais de segurança cibernética. O ESG e a ISSA acreditam que esse compromisso com a missão, independentemente dos desafios, é o que torna os profissionais de segurança cibernética especiais. Em vez de profissionais de negócios ou técnicos, os profissionais de segurança cibernética se comportam como servidores públicos dedicados, com foco voltado para o bem maior, em vez de elogios pessoais.
|
|
In another opinion question, survey respondents were asked how long it takes a cybersecurity professional to become proficient at their job. The plurality of respondents (35%) believe it takes anywhere from 3 to 5 years to develop real cybersecurity proficiency, while 25% say 2 to 3 years and 17% claim it takes more than 5 years (see Figure 9). Three to 5 years is a long time. CISOs should do everything they can to accelerate staff skills development and retain employees with this level of experience.
|
Em outra pergunta de opinião, os entrevistados foram questionados sobre quanto tempo leva para um profissional de segurança cibernética se tornar proficiente em seu trabalho. A pluralidade de entrevistados (35%) acredita que leva de 3 a 5 anos para desenvolver proficiência real em segurança cibernética, enquanto 25% dizem de 2 a 3 anos e 17% afirmam que leva mais de 5 anos (veja a Figura 9). Três a 5 anos é muito tempo. Os CISOs devem fazer tudo o que puderem para acelerar o desenvolvimento de habilidades da equipe e reter funcionários com esse nível de experiência.
|
|
It is often said that cybersecurity is a “team sport.” In other words, an organization’s cybersecurity program success goes beyond the information security team alone and depends upon commitment and cooperation across the entire organization. With this collaborative ideal in mind, survey respondents were asked to characterize the working relationship between their organization’s cybersecurity team and other departments (see Figure 10). The data indicates that the best relationships are with IT, executives, legal, and operations teams, but ESG and ISSA believe a few points are noteworthy:
|
Costuma-se dizer que a segurança cibernética é um “esporte de equipe”. Em outras palavras, o sucesso do programa de segurança cibernética de uma organização vai além da equipe de segurança da informação sozinha e depende do compromisso e da cooperação em toda a organização. Com esse ideal colaborativo em mente, os entrevistados foram solicitados a caracterizar a relação de trabalho entre a equipe de segurança cibernética de sua organização e outros departamentos (consulte a Figura 10). Os dados indicam que os melhores relacionamentos são com equipes de TI, executivos, jurídicas e de operações, mas o ESG e a ISSA acreditam que alguns pontos são dignos de nota:
|
|
16% of respondents said the relationship between security and IT teams is fair or poor. This is somewhat alarming since these teams must work together constantly on tasks like technology deployment, configuration management, and risk mitigation.
|
16% dos entrevistados disseram que a relação entre as equipes de segurança e TI é justa ou ruim. Isso é um tanto alarmante, pois essas equipes precisam trabalhar juntas constantemente em tarefas como implantação de tecnologia, gerenciamento de configuração e mitigação de riscos.
|
|
21% of respondents said the relationship between security and executives was fair or poor. Similarly, 27% said the relationship between security and the board of directors was fair or poor. These are likely organizations that still believe that security is related to technology and not the business. It’s likely that these firms still equate security with regulatory compliance.
|
21% dos entrevistados disseram que a relação entre segurança e executivos era justa ou ruim. Da mesma forma, 27% disseram que a relação entre a segurança e o conselho de administração era justa ou ruim. Provavelmente são organizações que ainda acreditam que a segurança está relacionada à tecnologia e não aos negócios. É provável que essas empresas ainda equiparam segurança com conformidade regulatória.
|
|
29% of respondents said the relationship between security and HR was fair or poor. This is of concern since the two groups work together on projects like security awareness training, recruitment, and hiring. These tasks are probably managed sub-optimally at organizations with fair or poor security/HR working relationships.
|
29% dos entrevistados disseram que a relação entre segurança e RH era justa ou ruim. Isso é preocupante, pois os dois grupos trabalham juntos em projetos como treinamento de conscientização de segurança, recrutamento e contratação. Essas tarefas provavelmente são gerenciadas de forma insuficiente em organizações com relações de trabalho justas ou ruins de segurança/RH.
|
|
What can organizations do to improve some of these relationships? Survey respondents were asked this question directly about the relationships between security, IT, and business management teams. With regard to improving the security/IT relationship, security professionals suggest making sure security staff is included in all IT projects from the beginning, embedding cybersecurity staff within functional technology groups, and increasing cybersecurity training for all IT staff (see Figure 11).
|
O que as organizações podem fazer para melhorar alguns desses relacionamentos? Os respondentes da pesquisa receberam essa pergunta diretamente sobre as relações entre as equipes de segurança, TI e gerenciamento de negócios. No que diz respeito à melhoria da relação segurança/TI, os profissionais de segurança sugerem garantir que a equipe de segurança seja incluída em todos os projetos de TI desde o início, incorporando a equipe de segurança cibernética em grupos de tecnologia funcional e aumentando o treinamento de segurança cibernética para toda a equipe de TI (consulte a Figura 11).
|
|
These suggestions are especially interesting. Recall that the most stressful aspect of a security job identified previously relates to IT projects/initiatives lacking security oversight. Alleviating this issue will not only decrease employee stress but also improve the working relationship between security and IT as well as overall security protection. Embedding cybersecurity staff members into functional technology groups is happening with activities such as DevSecOps focused on cloud-native application development. Along with additional security training (especially for software developers), organizations are fusing security into more aspects of IT people, processes, and technologies.
|
Essas sugestões são especialmente interessantes. Lembre-se de que o aspecto mais estressante de um trabalho de segurança identificado anteriormente está relacionado a projetos/iniciativas de TI sem supervisão de segurança. Aliviar esse problema não só diminuirá o estresse dos funcionários, mas também melhorará a relação de trabalho entre segurança e TI, bem como a proteção geral da segurança. A incorporação de membros da equipe de segurança cibernética em grupos de tecnologia funcional está acontecendo com atividades como DevSecOps focadas no desenvolvimento de aplicativos nativos da nuvem. Juntamente com o treinamento adicional de segurança (especialmente para desenvolvedores de software), as organizações estão fundindo a segurança em mais aspectos das pessoas, processos e tecnologias de TI.
|
|
In terms of the relationship between security and business management, survey respondents suggest encouraging cybersecurity participation in business planning and strategy, improving cyber-risk identification/quantification, and focusing cybersecurity resources and investments on business-critical assets (see Figure 12). Like the IT relationship, cybersecurity pros believe that working closer and earlier with business teams can be beneficial. As this happens, security teams must be prepared with the right communications, reports, and metrics that present cybersecurity in a business context.
|
Em termos da relação entre segurança e gerenciamento de negócios, os entrevistados sugerem incentivar a participação da segurança cibernética no planejamento e estratégia de negócios, melhorar a identificação/quantificação de riscos cibernéticos e concentrar os recursos e investimentos em segurança cibernética em ativos críticos para os negócios (consulte Figura 12). Assim como o relacionamento de TI, os profissionais de segurança cibernética acreditam que trabalhar mais perto e mais cedo com as equipes de negócios pode ser benéfico. Quando isso acontece, as equipes de segurança devem estar preparadas com as comunicações, relatórios e métricas corretos que apresentem a segurança cibernética em um contexto de negócios.
|
The Cybersecurity Skills Shortage Persists, and in Many Cases, Continues to Worsen
|
A escassez de habilidades de segurança cibernética persiste e, em muitos casos, continua a piorar
|
|
ESG and ISSA believe the cybersecurity skills shortage has two major implications. The most obvious is a shortage of talented cybersecurity professionals, with simply more cybersecurity job openings than qualified candidates to fill them. The other implication isn’t as widely discussed but is at least as important: Many members of the current cybersecurity workforce lack the advanced skills necessary to safeguard critical business assets or counteract sophisticated cyber-adversaries.
|
O ESG e a ISSA acreditam que a escassez de habilidades de segurança cibernética tem duas implicações principais. O mais óbvio é a escassez de profissionais talentosos de segurança cibernética, com simplesmente mais vagas de emprego em segurança cibernética do que candidatos qualificados para preenchê-las. A outra implicação não é tão amplamente discutida, mas é pelo menos tão importante: muitos membros da atual força de trabalho de segurança cibernética não possuem as habilidades avançadas necessárias para proteger ativos comerciais críticos ou combater adversários cibernéticos sofisticados.
|
|
After researching the cybersecurity skills shortage for five years, ESG and ISSA are convinced that it is real and impactful, yet each report on the subject receives a fair amount of negative feedback, questioning its existence. Comments include theories that there are plenty of cybersecurity professionals to go around, if only organizations knew how and where to recruit them.
|
Depois de pesquisar a escassez de habilidades de segurança cibernética por cinco anos, ESG e ISSA estão convencidos de que é real e impactante, mas cada relatório sobre o assunto recebe uma boa quantidade de feedback negativo, questionando sua existência. Os comentários incluem teorias de que há muitos profissionais de segurança cibernética por aí, se apenas as organizações soubessem como e onde recrutá-los.
|
|
Based on this feedback, ESG and ISSA asked survey respondents a basic question in the 2021 survey: Has the cybersecurity skills shortage been overstated? As it turns out, one-third of respondents share the opinion that the skills shortage has been greatly or somewhat overstated, but the highest percentage of cybersecurity professionals (44%) believe it has received the right amount of attention, while 23% claim it has been understated (see Figure 13).
|
Com base nesse feedback, o ESG e a ISSA fizeram aos entrevistados uma pergunta básica na pesquisa de 2021: A escassez de habilidades de segurança cibernética foi exagerada? Ao que parece, um terço dos entrevistados compartilha a opinião de que a escassez de habilidades foi muito ou um pouco exagerada, mas a maior porcentagem de profissionais de segurança cibernética (44%) acredita que recebeu a quantidade certa de atenção, enquanto 23% afirmam que foi subestimado (veja a Figura 13).
|
|
As further research clearly indicates, the cybersecurity skills shortage is real, leading to lots of problems for organizations. At the same time however, the research points to the fact that some organizations may be experiencing self-inflicted wounds and truly don’t recruit well, provide the right level of training, or address the skills shortage with the right strategies. In essence, both groups are right: The skills shortage is real, but organizations could and should be doing more.
|
Como outras pesquisas indicam claramente, a escassez de habilidades de segurança cibernética é real, levando a muitos problemas para as organizações. Ao mesmo tempo, no entanto, a pesquisa aponta para o fato de que algumas organizações podem estar passando por ferimentos autoinfligidos e realmente não recrutam bem, fornecem o nível certo de treinamento ou abordam a escassez de habilidades com as estratégias certas. Em essência, ambos os grupos estão certos: a escassez de habilidades é real, mas as organizações poderiam e deveriam estar fazendo mais.
|
|
As in past years, ESG and ISSA wanted to understand the implications of the global cybersecurity skills shortage and how it is affecting organizations. For the first time, the data improved slightly. This year, 57% of organizations claim they’ve been impacted by the cybersecurity skills shortage, compared to 70% in 2020 and 73% in 2019 (see Figure 14).
|
Como nos últimos anos, o ESG e a ISSA queriam entender as implicações da escassez global de habilidades de segurança cibernética e como isso está afetando as organizações. Pela primeira vez, os dados melhoraram um pouco. Este ano, 57% das organizações afirmam ter sido afetadas pela escassez de habilidades de segurança cibernética, em comparação com 70% em 2020 e 73% em 2019 (veja a Figura 14).
|
|
While this data point seems to represent an encouraging trend, additional data paints a different picture. Last year, ESG and ISSA added a question asking cybersecurity professionals whether they believe the cybersecurity skills shortage is improving or getting worse. This year’s results are distressing as 44% believe the cybersecurity skills shortage (and its impact) have gotten worse over the past few years while 51% say it’s about the same today as it was over the past few years (see Figure 15). Sadly, only 5% believe the situation has gotten better.
|
Embora esse ponto de dados pareça representar uma tendência encorajadora, dados adicionais pintam um quadro diferente. No ano passado, o ESG e a ISSA adicionaram uma pergunta perguntando aos profissionais de segurança cibernética se eles acreditam que a escassez de habilidades de segurança cibernética está melhorando ou piorando. Os resultados deste ano são angustiantes, pois 44% acreditam que a escassez de habilidades de segurança cibernética (e seu impacto) piorou nos últimos anos, enquanto 51% dizem que é quase o mesmo hoje e nos últimos anos (veja a Figura 15). Infelizmente, apenas 5% acreditam que a situação melhorou.
|
|
Based upon years of research, ESG and ISSA firmly believe that the cybersecurity skills shortage is a long-term reality where the industry has achieved little progress. While education and recruitment programs may be worthwhile, CISOs must craft enterprise security programs that accommodate and plan for perpetual skills shortages.
|
Com base em anos de pesquisa, o ESG e a ISSA acreditam firmemente que a escassez de habilidades de segurança cibernética é uma realidade de longo prazo em que o setor alcançou pouco progresso. Embora os programas de educação e recrutamento possam valer a pena, os CISOs devem criar programas de segurança empresarial que acomodem e planejem a escassez perpétua de habilidades.
|
|
As in the past, survey respondents working at organizations impacted by the cybersecurity skills shortage were asked about the ramifications experienced (see Figure 16). Once again, the top response (62%) was that it has increased the workload on existing staff (similar to last year’s results, 58%). This is the biggest consequence of the skills shortage by far. Additionally, 38% of respondents indicated that the skills shortage has led to new security jobs remaining open for weeks or months (this may be one reason why 29% of organizations must hire and train junior employees rather than experienced candidates). Consistent with the mental health theme described previously, 38% of respondents said that the skills shortage has led to employee burnout and employee attrition.
|
Como no passado, os entrevistados que trabalhavam em organizações afetadas pela escassez de habilidades de segurança cibernética foram questionados sobre as ramificações experimentadas (veja a Figura 16). Mais uma vez, a principal resposta (62%) foi que aumentou a carga de trabalho da equipe existente (semelhante aos resultados do ano passado, 58%). Essa é, de longe, a maior consequência da escassez de habilidades. Além disso, 38% dos entrevistados indicaram que a escassez de habilidades fez com que novos empregos de segurança permanecessem abertos por semanas ou meses (essa pode ser uma das razões pelas quais 29% das organizações devem contratar e treinar funcionários juniores em vez de candidatos experientes). Consistente com o tema da saúde mental descrito anteriormente, 38% dos entrevistados disseram que a escassez de habilidades levou ao esgotamento e ao desgaste dos funcionários.
|
|
It is also noteworthy that one-third of respondents say that the skills shortage has led to a situation where the cybersecurity team is unable to learn or utilize some security technologies to their full potential. Think about that for a moment: Organizations determine they need some new security technology for threat prevention, detection, or response. They go through the rigor of researching, purchasing, testing, configuring, deploying, and operating the product as well as training staff. After all this work, they still lack the staff or skills to operate the product correctly. Given this situation, CISOs must reassess their priorities, only purchasing technologies that can be used appropriately. In other cases, organizations should consider managed services as an alternative to underutilized security technologies.
|
Também é digno de nota que um terço dos entrevistados afirma que a escassez de habilidades levou a uma situação em que a equipe de segurança cibernética é incapaz de aprender ou utilizar algumas tecnologias de segurança em todo o seu potencial. Pense nisso por um momento: as organizações determinam que precisam de uma nova tecnologia de segurança para prevenção, detecção ou resposta a ameaças. Eles passam pelo rigor de pesquisar, comprar, testar, configurar, implantar e operar o produto, bem como treinar a equipe. Depois de todo esse trabalho, eles ainda não têm equipe ou habilidades para operar o produto corretamente. Diante dessa situação, os CISOs devem reavaliar suas prioridades, adquirindo apenas tecnologias que possam ser usadas adequadamente. Em outros casos, as organizações devem considerar os serviços gerenciados como uma alternativa às tecnologias de segurança subutilizadas.
|
|
For the first time, organizations claiming to be impacted by the cybersecurity skills shortage were asked to identify contributing factors. The three top responses included issues related to compensation, HR’s understanding of cybersecurity skills, and working in an industry that may be unattractive to cybersecurity professionals (see Figure 17). It is also worth noting that 25% pointed to unrealistic job postings (i.e., asking for skills that were not commensurate with compensation offered, real job requirements, etc.). To some extent, this data supports the theory that the cybersecurity skills shortage is related to mismanagement rather than a dearth of qualified candidates or advanced skills.
|
Pela primeira vez, as organizações que alegavam ter sido afetadas pela escassez de habilidades de segurança cibernética foram solicitadas a identificar fatores contribuintes. As três principais respostas incluíram questões relacionadas à remuneração, à compreensão do RH sobre as habilidades de segurança cibernética e ao trabalho em um setor que pode ser pouco atraente para os profissionais de segurança cibernética (consulte a Figura 17). Também vale a pena notar que 25% apontaram para anúncios de emprego irrealistas (ou seja, pedir habilidades que não eram proporcionais à remuneração oferecida, requisitos reais de trabalho, etc.). Até certo ponto, esses dados apóiam a teoria de que a escassez de habilidades de segurança cibernética está relacionada à má gestão, e não à escassez de candidatos qualificados ou habilidades avançadas.
|
|
Compensation is a binary issue—either an organization offers competitive compensation, or it does not. The same could be said of an organization’s industry. If compensation or industry is unappealing, the hiring company is at a distinct disadvantage and will only be successful at recruiting if other job attributes are especially attractive (i.e., working hours, training opportunities, benefits, etc.). With regard to compensation, CISOs must lobby HR, finance, and other departments to offer competitive salaries, or they face a perpetual losing battle for staff recruitment and retention. As for other factors mentioned, CISOs must ensure that HR departments and recruiters are well versed in cybersecurity needs and put together accurate and realistic job postings as part of their recruitment process.
|
A remuneração é um problema binário — ou uma organização oferece remuneração competitiva ou não. O mesmo poderia ser dito do setor de uma organização. Se a remuneração ou a indústria não forem atraentes, a empresa contratante estará em desvantagem distinta e só terá sucesso no recrutamento se outros atributos de trabalho forem especialmente atraentes (ou seja, horas de trabalho, oportunidades de treinamento, benefícios, etc.). No que diz respeito à remuneração, os CISOs devem pressionar os departamentos de RH, finanças e outros para oferecer salários competitivos, ou eles enfrentam uma batalha perpétua de perdas pelo recrutamento e retenção de pessoal. Quanto a outros fatores mencionados, os CISOs devem garantir que os departamentos de RH e os recrutadores sejam bem versados nas necessidades de segurança cibernética e reúnam anúncios de emprego precisos e realistas como parte de seu processo de recrutamento.
|
|
Additional data from this year’s survey results add further evidence to the extent of the cybersecurity skills shortage. According to Figure 18, when asked how difficult it is to recruit cybersecurity professionals, 76% of security professionals say it is either extremely (18%) or somewhat difficult (58%).
|
Dados adicionais dos resultados da pesquisa deste ano adicionam mais evidências sobre a extensão da escassez de habilidades de segurança cibernética. De acordo com a Figura 18, quando perguntados sobre o quão difícil é recrutar profissionais de segurança cibernética, 76% dos profissionais de segurança dizem que é extremamente (18%) ou um pouco difícil (58%).
|
|
Survey respondents were asked to identify areas with the most acute skills shortages. Nearly four in ten (39%) cite cloud computing security, followed by nearly a third (30%) who identify application security and/or security analysis and investigations as areas of personnel deficiency (see Figure 19).
|
Os entrevistados foram solicitados a identificar as áreas com maior escassez de habilidades. Quase quatro em cada dez (39%) citam a segurança da computação em nuvem, seguida por quase um terço (30%) que identifica a segurança de aplicativos e/ou análises e investigações de segurança como áreas de deficiência de pessoal (consulte a Figura 19).
|
|
CISOs must understand the level of competition for candidates with these skill sets. It may be worthwhile to craft backup plans if recruitment efforts languish or fail completely. Examples include training software developers and DevOps personnel on application security, recruiting and training server virtualization administrators as cloud computing security specialists, and working with experienced managed services providers.
|
Os CISOs devem entender o nível de competição dos candidatos com esses conjuntos de habilidades. Pode valer a pena elaborar planos de backup se os esforços de recrutamento definharem ou falharem completamente. Os exemplos incluem o treinamento de desenvolvedores de software e pessoal de DevOps sobre segurança de aplicativos, recrutamento e treinamento de administradores de virtualização de servidores como especialistas em segurança de computação em nuvem e trabalho com provedores de serviços gerenciados experientes.
|
|
The research also points out that it is most difficult to recruit mid-career and senior cybersecurity professionals while fewer organizations have trouble recruiting entry-level security staff or cybersecurity leadership (see Figure 20).
|
A pesquisa também aponta que é mais difícil recrutar profissionais de segurança cibernética em meio de carreira e seniores, enquanto menos organizações têm problemas para recrutar funcionários de segurança de nível básico ou liderança de segurança cibernética (veja a Figura 20).
|
|
While organizations find it difficult to recruit and hire cybersecurity staff, security professionals are constantly being recruited for new positions with promises of higher pay, better benefits, and an assortment of perks. In fact, 70% of the cybersecurity professionals surveyed are solicited to consider other job opportunities at least once per month (see Figure 21). Furthermore, 71% of survey respondents believe that the frequency/volume of job solicitations has increased over the past few years. Cybersecurity truly remains a seller’s market.
|
Embora as organizações tenham dificuldade em recrutar e contratar funcionários de segurança cibernética, os profissionais de segurança são constantemente recrutados para novos cargos com promessas de salários mais altos, melhores benefícios e uma variedade de vantagens. Na verdade, 70% dos profissionais de segurança cibernética pesquisados são solicitados a considerar outras oportunidades de emprego pelo menos uma vez por mês (veja a Figura 21). Além disso, 71% dos entrevistados acreditam que a frequência/volume de solicitações de emprego aumentou nos últimos anos. A segurança cibernética continua sendo um mercado de vendedores.
|
|
In 2021, survey respondents were once again asked to identify who is responsible for addressing the cybersecurity skills shortage. Respondents indicate that CISOs/CSOs really own this problem (see Figure 22). Are these individuals and the organizations they work for doing enough to address the cybersecurity skills shortage? Not according to survey respondents, as 27% believe their organization could be doing somewhat more to address the skills shortage while nearly one-third (32%) say their organizations could be doing much more here (see Figure 23).
|
Em 2021, os respondentes da pesquisa foram mais uma vez solicitados a identificar quem é o responsável por lidar com a escassez de habilidades de segurança cibernética. Os entrevistados indicam que os CISOs/OSCs realmente são os donos desse problema (veja a Figura 22). Esses indivíduos e as organizações para as quais trabalham estão fazendo o suficiente para lidar com a escassez de habilidades de segurança cibernética? Não de acordo com os entrevistados, 27% acreditam que sua organização poderia estar fazendo um pouco mais para lidar com a escassez de habilidades, enquanto quase um terço (32%) afirma que suas organizações poderiam estar fazendo muito mais aqui (veja a Figura 23).
|
|
As previously stated, this data reinforces the need for CISOs/CSOs and the organizations they work for to plan for staff and skills shortages by including plans for additional use of professional/managed services and process automation. Organizations should also research, test, and pilot “smart” security solutions based on advanced analytics. These technologies vary widely in terms of efficacy and should be approached cautiously, but their potential to augment human skills in the future is worth pursuing.
|
Como afirmado anteriormente, esses dados reforçam a necessidade de os CISOs/OSCs e as organizações para as quais trabalham planejarem a escassez de pessoal e habilidades, incluindo planos para uso adicional de serviços profissionais/gerenciados e automação de processos. As organizações também devem pesquisar, testar e pilotar soluções de segurança “inteligentes” com base em análises avançadas. Essas tecnologias variam muito em termos de eficácia e devem ser abordadas com cautela, mas vale a pena buscar seu potencial para aumentar as habilidades humanas no futuro.
|
|
With most respondents believing that their organizations could do more to address the skills shortage, ESG and ISSA asked them for some specific recommendations (see Figure 24). Cybersecurity professionals suggested actions like increasing the commitment to cybersecurity training, increasing compensation, providing additional perks, and creating or improving a cybersecurity internship program.
|
Com a maioria dos entrevistados acreditando que suas organizações poderiam fazer mais para resolver a escassez de habilidades, o ESG e a ISSA pediram algumas recomendações específicas (veja a Figura 24). Os profissionais de segurança cibernética sugeriram ações como aumentar o compromisso com o treinamento em segurança cibernética, aumentar a remuneração, fornecer vantagens adicionais e criar ou melhorar um programa de estágio em segurança cibernética.
|
|
The top three recommendations are clear; organizations need to offer competitive compensation, benefits, and training opportunities to attract top cybersecurity talent. Aside from these basics, survey respondents have some additional advice such as looking beyond security and IT for talent, working more closely with cybersecurity professional organizations, and increasing work with local colleges and universities. In summary, successful cybersecurity recruiting requires a bit of experimentation and creativity. Organizations should take chances with the goal of creating programs that are attractive to the cybersecurity community. CISOs should gather further feedback and enlist the HR department’s help to create this type of environment.
|
As três principais recomendações são claras; as organizações precisam oferecer remuneração competitiva, benefícios e oportunidades de treinamento para atrair os melhores talentos em segurança cibernética. Além desses princípios básicos, os entrevistados têm alguns conselhos adicionais, como olhar além da segurança e da TI em busca de talentos, trabalhar mais de perto com organizações profissionais de segurança cibernética e aumentar o trabalho com faculdades e universidades locais. Em resumo, o recrutamento bem-sucedido de segurança cibernética requer um pouco de experimentação e criatividade. As organizações devem se arriscar com o objetivo de criar programas que sejam atraentes para a comunidade de segurança cibernética. Os CISOs devem coletar mais feedback e contar com a ajuda do departamento de RH para criar esse tipo de ambiente.
|
|
|
