O mercado de trabalho em segurança da informação é, sem dúvidas, um dos mais pitorescos que existem. São tantas peculiaridades e paradoxos que ele se torna até mesmo confuso para quem não está acostumado a estudá-lo. Por um lado, temos um déficit enorme de profissionais nesse setor, que cada vez mais subdivide-se em vertentes variadas como red team, blue team, privacidade, gestão de acesso e assim por diante.
Segundo o último estudo anual (ISC)² Cybersecurity Workforce Study, são necessários 3,4 milhões de novos colaboradores a nível global para preencher a crescente demanda, que acompanha as estatísticas de mais ataques e riscos à informação. Falando especificamente do Brasil, esse déficit é avaliado em 687 mil profissionais — um número bem menor, mas ainda assim preocupante.
E, se o budget já é escasso dentro da área de SI como um todo, o que dizer sobre o subsetor de human risk management? Muitas empresas nem sequer investem na conscientização e na gestão do risco humano — o que é um erro cabal, visto que o fator humano, como bem sabemos, é a linha de frente em qualquer estratégia de proteção e o mais importante na criação de uma cultura de segurança.
Salários pouco atraentes não fazem parte do rol de justificativas para esse gap de talentos — até mesmo analistas de nível júnior conseguem uma renda mensal que, no pior dos casos, não fica abaixo dos R$ 5 mil (além de benefícios). Subindo a escadinha, um especialista pode faturar facilmente mais de R$ 15 mil por mês. Isso faz com que um profissional de infosec faça parte dos 5% da população com maior rendimento do país.
Parece o cenário dos sonhos — o que pode dar errado? Simples: é justamente a falta de mão-de-obra especializada que está sobrecarregando os poucos trabalhadores competentes, causando um problema generalizado de colaboradores estressados, deprimidos e insatisfeitos com sua rotina corporativa. A alta carga de trabalho leva à tão temida Síndrome de Burnout, na qual ocorre o total esgotamento psicológico do indivíduo.
Um trabalho que recompensa, mas esgota
O Gartner já havia alertado, no início deste ano, que o esgotamento mental fará com que cerca de 25% dos CISOs decidam migrar para outra área de atuação até o ano de 2025. Na ocasião, Deepti Gopal, diretor e analista do instituto de pesquisas, lamentou como culturas organizacionais deficientes levam a rotinas altamente estressantes — algo que assusta novatos e cansa os veteranos.
“Os profissionais de cibersegurança estão enfrentando níveis insustentáveis de esgotamento mental. Os executivos de segurança trabalham focados na defesa digital para não serem hackeados. O impacto psicológico disso afeta diretamente a qualidade de suas decisões, assim como o desempenho dos gestores e de suas equipes”, explicou o executivo.
Contudo, não são apenas aqueles que ocupam cargos de liderança que estão sendo afetados por tal problema. Em uma recente reportagem, o g1 entrevistou diversos profissionais do setor e identificou uma série de histórias assustadoras de especialistas sendo afastados por conta de crises psicológicas geradas por excesso de trabalho. O veículo elencou com precisão alguns dos fatores que levam a tal problema:
- Prazos absurdamente curtos para efetivar ações e concluir projetos;
- Acúmulo de demandas e de funções (reflexo da falta de talentos especializados em determinada vertente de segurança);
- Pressão psicológica crescente em manter um número cada vez maior de ativos em segurança, ao mesmo tempo em que a superfície de ataques também aumenta;
- Promoções precoces de profissionais nível júnior para cargos de maior responsabilidade, no intuito de reter talentos ou preencher lacunas;
- Lideranças tóxicas, que muitas vezes obriga o profissional a trabalhar em horários e condições impróprias, impossibilitando um descanso equilibrado.
“Apesar de ter falado na entrevista de emprego que eu nunca tinha trabalhado na área, eles me cobravam como sênior, davam prazos curtos e quase nenhum apoio. Não aguentei aquilo e pedi demissão depois de dois meses”, confessou um dos profissionais entrevistados pelo g1, identificado somente como Henrique (nome fictício).
O que pode ser feito?
Infelizmente, não podemos ser muito otimistas em relação a tal assunto — sua resolução depende de uma série de fatores difíceis de se controlar, como a capacitação de novos talentos (o que pode “desafogar” os poucos profissionais do mercado), mudanças culturais de gestão corporativa nas empresas e a imposição dos próprios trabalhadores de limites claros sobre sua rotina corporativa, impondo-se ao máximo para que a diretoria respeite seus limites e mantenha um estilo de vida saudável e equilibrado.
A automação pode ser uma grande aliada aqui, com soluções tecnológicas automatizando grande parte de tarefas operacionais que, atualmente, precisam ser feitas manualmente. Nisto, entramos também no âmbito das evoluções nas áreas de machine learning e inteligência artificial. Por fim, a terceirização de serviços de segurança através de Provedores de Serviços Gerenciados de Segurança (MSSP) também pode ajudar.
Falando especificamente da área de human risk management, a Eskive conta com uma equipe especializada para cuidar de todo o seu programa de educação e gestão do risco humano. Desde a concepção da estratégia de security awareness, passando pela criação de materiais personalizados, definição da jornada de aprendizagem e fornecimento de inteligência analítica através da equipe Eskive Advisors, temos o que você precisa para garantir que seus colaboradores estejam em alerta sobre os riscos à informação.
Venha conversar com um de nossos consultores, sem compromisso, e entenda como podemos ajudar a desafogar sua equipe de SI lhe auxiliando com essas tarefas.
