Como a escassez de habilidades de segurança cibernética afeta seus negócios

Publicados: 2021-05-13

A escassez de habilidades tecnológicas não é novidade, mas o impacto que está causando em empresas de todos os tamanhos nunca foi tão claro.

A necessidade de até mesmo as pequenas organizações de hoje terem uma pilha de tecnologia forte para seus processos de negócios e uma pilha de segurança segura para seus dados e informações significa que os efeitos da escassez de habilidades de segurança cibernética estão atingindo as PMEs com mais frequência do que nunca.

Em suma, todos precisam de experiência em segurança tecnológica, mas essa é a demanda que muitas empresas simplesmente não podem pagar para todas as suas necessidades.

A escassez de habilidades antes da pandemia

A escassez de habilidades em tecnologia vem se formando há vários anos - você só precisa voltar a 2017 para ver como as empresas se sentiam sobre a situação na época, com três quartos das organizações na época sem mudanças ou uma lacuna de habilidades cada vez pior. tecnologia (veja o gráfico abaixo).

Isso tem sido o principal obstáculo para muitas empresas na contratação de candidatos para suas necessidades de tecnologia e TI.

Lacuna de habilidades tecnológicas conforme relatado pelas empresas | Como a escassez de habilidades tecnológicas afeta seu negócio

Mudanças desde a pandemia

Muitas das mudanças na forma como as organizações abordam tópicos como maturidade tecnológica e segurança cibernética foram antecipadas pela pandemia e exacerbaram os problemas existentes que estavam afetando a escassez de talentos de qualquer forma.

Durante 2020, quando os bloqueios se espalharam, as empresas que não possuíam a tecnologia necessária para, por exemplo, fornecer os recursos apropriados para uma força de trabalho totalmente remota, tiveram que mudar rapidamente e adotar o talento e as soluções para fazê-lo.

Isso afetou praticamente todas as linhas de negócios, sejam vendas, marketing, desenvolvimento de produtos/serviços – todos os aspectos dos processos de uma empresa de repente precisavam de uma capacidade tecnológica básica para permanecerem eficazes em suas operações.

Webinar Relacionado: Superando a Escassez de Talentos | Requisitos de negócios modernos

Considerações para soluções tecnológicas

Foi durante esse período que muitas empresas analisaram o que devem cortar para permanecer solventes, mas também o que devem investir pelo mesmo motivo - há muito pouco sentido em reduzir os gastos para manter uma empresa à tona se ela sofrer uma perda de dados cara. infringir e sofrer maiores danos financeiros no caso.

Então, para onde estão indo esses investimentos? Se dermos uma olhada nos dados da Microsoft de agosto de 2020, podemos ver que os cinco principais investimentos desde o início da pandemia no que diz respeito à segurança são:

  1. Autenticação multifator (MFA) – 20%
  2. Proteções de dispositivos de endpoint - 17%
  3. Ferramentas antiphishing – 16%
  4. VPN – 14%
  5. Educação de segurança do usuário final – 12%

Muitas dessas soluções, principalmente proteção de endpoints, VPNs e outras ferramentas de segurança, exigem a experiência de um profissional de segurança cibernética para mantê-las.

Veja a proteção de endpoint, por exemplo. É comum que membros da equipe de segurança cibernética gerenciem a proteção de endpoints por meio de uma plataforma em nuvem, como o Cisco Meraki (que o Impact usa com os clientes).

Aprovisionar, proteger e manter dispositivos, especialmente com forças de trabalho espalhadas por vários escritórios ou que não operam em uma única rede, não é fácil e requer algum tipo de supervisão.

Quando você considera todos os outros aspectos da segurança das informações e dos negócios, como a conformidade, por exemplo, não é difícil ver por que a contratação de uma equipe de segurança, além da equipe de TI existente, não é viável para muitas organizações.

Quem está contratando?

A maioria das empresas está ciente de que precisa aumentar seus gastos com segurança cibernética e, de fato, muitas delas estão fazendo exatamente isso, geralmente às custas de seus orçamentos de TI mais amplos.

A Kaspersky relata que, embora os orçamentos de TI tenham permanecido estagnados entre 2018 e 2020, os orçamentos de segurança normalmente aumentaram na faixa de 11 a 15%, indicando uma clara tendência a favorecer iniciativas de segurança em detrimento de projetos de TI, mesmo que às custas da TI em geral.

O mercado total de segurança cibernética valia US$ 3,5 bilhões em 2004. Em 2017 foi estimado em US$ 120 bilhões e até 2022 deverá chegar a US$ 170 bilhões.

Como resultado desse orçamento, a maioria das PMEs está lidando com um orçamento de segurança cibernética de cerca de US$ 275 mil, em comparação com cerca de US$ 14 milhões para empresas.

O que isso significa é uma tarefa quase impossível para organizações de pequeno e médio porte.

Considere alguns cargos de segurança cibernética e seus salários médios:

  • Gerente de Segurança da Informação: $ 125.000 - $ 215.000
  • Engenheiro de segurança cibernética: $ 120.000 - $ 200.000
  • Engenheiro de segurança de aplicativos: US$ 120.000 – US$ 180.000
  • Analista de segurança cibernética: $ 90.000 - $ 160.000
  • Testador de penetração: $ 80.000 - $ 130.000
  • Engenheiro de segurança de rede: US$ 125.000 – US$ 185.000
  • Diretor de Conformidade Corporativa de Saúde: US$ 120.000

No ambiente atual, as posições de segurança cibernética estão em alta demanda e exigem altos salários, uma barreira que é simplesmente muito difícil de navegar para muitos.

Se considerarmos o orçamento médio de cerca de US$ 275 mil que muitas empresas têm para sua segurança cibernética, fica evidente que ele secará muito rapidamente apenas com o talento - e isso sem pagar nem um centavo pelas soluções tecnológicas.

Isso levou as empresas a mostrar relutância em contratar novos funcionários de segurança cibernética ou mesmo uma equipe de segurança – isso está de acordo com as reservas comuns, com cerca de 54% dos líderes empresariais preocupados com os gastos com pessoal de segurança cibernética.

Três pessoas olhando para o espaço vazio no quebra-cabeça | Como a escassez de habilidades tecnológicas afeta seu negócio

Como as empresas respondem a isso?

Coisas contraditórias estão em jogo aqui – as empresas devem equilibrar seus orçamentos enquanto gastam mais em segurança cibernética para se proteger.

A questão para muitos, então, é a simples questão do que fazer? Para muitos, a resposta foi terceirizar suas necessidades de segurança para terceiros.

Um MSSP é um provedor de serviços de segurança gerenciado. O conceito não é diferente de qualquer outro serviço gerenciado – o MSSP fornece os recursos (tecnologia e pessoal) e a empresa do cliente celebra um contrato de serviço com o MSSP.

Os MSSPs de qualidade oferecerão um contrato mensal de taxa fixa para seus clientes, para que eles não sejam atingidos por contas inesperadas.

O mercado de serviços de segurança gerenciados cresceu significativamente ao longo dos últimos anos, de US$ 32 bilhões em 2020 para US$ 46 bilhões previstos em 2025, uma taxa de crescimento anual composta (CAGR) de 8%.

A contratação de um MSSP para segurança cibernética permite que a empresa aproveite a experiência e as ferramentas que o MSSP possui, sem quebrar o banco, criando uma equipe inteira de segurança cibernética internamente.

É claro que uma equipe interna sempre conhecerá melhor uma empresa, e é por isso que é importante que as empresas considerem que tipo de MSSP é desejável para sua organização específica – nem todos os provedores de serviços são criados igualmente.

Post relacionado: Quais serviços MSSP você deve esperar de seu parceiro de segurança?

Resultado final

O aumento do risco de as empresas se tornarem vítimas de crimes cibernéticos criou uma forte demanda por profissionais e serviços de segurança cibernética.

Isso, por sua vez, pressionou as organizações a encontrar espaço em seus orçamentos para acomodar um programa de segurança, mas para a maioria é simplesmente muito difícil fazê-lo.

As empresas devem optar por ignorar a ameaça do cibercrime e enterrar a cabeça na areia (o que uma quantidade não insignificante de empresas está realmente fazendo) ou encontrar outra maneira de construir uma estratégia de defesa.

Os MSSPs como alternativa estão oferecendo às organizações a oportunidade de investir em sua segurança cibernética enquanto permanecem dentro do orçamento, e é grande parte do motivo pelo qual o setor de serviços de segurança gerenciados decolou em grande estilo nos últimos anos.

As empresas que estão preocupadas com o estado de sua defesa de segurança cibernética devem ser realistas sobre a ameaça do crime cibernético, mas também realistas sobre seu orçamento.

A escassez de segurança cibernética, embora melhorias tenham sido observadas no ano passado, continua sendo um problema para as empresas que contratam talentos em segurança e um problema que afeta muitas empresas hoje que buscam proteger seus dados e processos.

Essas organizações devem considerar fortemente um provedor de serviços de segurança gerenciados para atender às suas necessidades dentro do orçamento, pois é improvável que a escassez de habilidades de segurança cibernética seja aliviada na medida necessária para ser acessível para pequenas e médias empresas em breve.

Saiba mais sobre o que envolve uma estratégia completa de segurança cibernética e como um MSSP atende a essas necessidades em nosso eBook, O que é uma boa defesa de segurança cibernética para uma PME moderna?