Construa uma equipe de segurança mais forte por meio da diversidade e treinamento

*Por Natalia Godyla, gerente de marketing de produtos de segurança da Microsoft e Heath Adams, CEO da TCM Security 

 

A comunidade de segurança está continuamente mudando, crescendo e aprendendo uns com os outros para melhor posicionar o mundo contra ameaças cibernéticas. Nessa postagem mais recente da nossa série Voice of the Community, a gerente de marketing de produtos de segurança da Microsoft, Natalia Godyla, conversa com Heath Adams, CEO da TCM Security sobre ser um mentor, contratar novos talentos de segurança, certificações, aperfeiçoamento, o futuro da capacitação em segurança cibernética e muito mais. 

 

Natalia: O que você recomenda aos líderes de segurança preocupados com a falta de talentos? 

Heath: É preciso haver mais abertura e ficar longe de barreiras na hora de receber contatos de diferentes pessoas. Nesta indústria, há muito “eu passei por esse caminho, então você precisa passar também”, ou “Eu fiz essas certificações, então você precisa fazer também”. Todo mundo quer o candidato perfeito – alguém que tenha 10 anos de experiência – mesmo quando não precisa necessariamente dele. Precisamos ser capazes de levar alguém mais jovem, que podemos ajudar a treinar.  

Como gerente, esteja aberto a mais do que apenas o que está na descrição do trabalho de Recursos Humanos. E esteja aberto a novas pessoas com diferentes origens. As pessoas estão vindo de todas as esferas da vida e faixas etárias. Então, se você deixar esses preconceitos de lado e considerar apenas a pessoa que está na sua frente, isso ajudará com a escassez de empregos e ajudará a diminuir a lacuna de talentos. 

Natalia: E como a pandemia e a mudança para o trabalho híbrido mudaram as habilidades em segurança necessárias? 

Heath: Acho que foram mudanças positivas. Em nosso campo, a capacidade de trabalhar remotamente sempre esteve presente. Mas a pandemia mudou as coisas, então mais empresas estão começando a perceber esse fato. Trabalhei em empregos como testador de lacunas, onde tive que me mudar, embora estivesse trabalhando de casa 95% do tempo. Agora, mais empresas estão abrindo os olhos para talentos que não são locais. Você não precisa mais procurar em grandes mercados, você pode olhar para alguém do outro lado do país que está estudando segurança e eles podem ser um trunfo para sua equipe. 

Eu estava fazendo muitas transmissões do Twitch durante o isolamento e notei que nossas transmissões estavam muito maiores do que antes. Tínhamos mais pessoas assistindo, mais pessoas interessadas. Muitas pessoas aproveitaram a paralisação para dizer: “Ei, esta é a minha hora de me concentrar. Quero uma nova carreira.” Há empregos bem remunerados e há trabalho remoto. E, como mencionei, você não precisa de um histórico ou diploma específico para entrar nesse campo. As pessoas podem vir de todas as esferas da vida. Acho que a pandemia ajudou a esclarecer isso. 

Natalia: Você é conhecida como The Cyber Mentor™. Como a mentoria afetou sua carreira? 

Heath: Isso me mantém no topo do meu jogo. Eu tenho que ser capaz de dar direção às pessoas e não quero dar informações ruins, então, estou me certificando de ficar por dentro de quais são as mudanças do setor, para onde os empregos estão indo e como entrevistar corretamente — tudo isso parece mudar de ano para ano. Isso me ajuda a manter contato com a próxima geração que também está entrando no campo da segurança. 

Natalia: Você tem seus próprios mentores que te ajudam a progredir em sua carreira? 

Heath: Eu criei o que chamo de “mentoria comunitária”. Eu tenho uma comunidade no Discord e usamos isso para incentivar as pessoas a contribuir. Aqui é possível ajudar as pessoas quando elas precisam ou obter ajuda quando precisamos, enquanto aprendemos uns com os outros. Quando é hora de fazer networking ou precisar de um emprego, isso ajuda muito. Para mim, é mais sobre estar onde há grupos de pessoas com a mesma opinião. Tenho muitos amigos que são donos de empresas de teste de lacunas, e nos reunimos, almoçamos, conversamos sobre estratégias. O que você está fazendo? O que eu estou fazendo? Esse é o tipo de orientação que temos uns com os outros, apenas certificando-se de que estamos mantendo um ao outro sob contato, pensando em coisas novas. 

Natalia: Quais são as maiores dificuldades para aprendizes em início de carreira que estão tentando desenvolver suas habilidades? E como os líderes podem enfrentar esses desafios? 

Heath: Para uma pessoa que deseja conseguir um emprego em segurança, há algumas coisas a serem lembradas. Uma é certificar-se de que você está engatinhando antes de andar, andando antes de correr. Vou usar hacking como exemplo. Muitas pessoas ficam empolgadas com o hacking e acham que isso soa incrível. “Você pode receber dinheiro para hackear algo? Eu quero fazer isso!” E eles tentam ir direto ao assunto sem construir conjuntos de habilidades fundamentais, aprender as partes de um computador ou aprender a fazer redes de computadores ou solucionar problemas básicos. O que eu digo às pessoas é para quebrar e consertar computadores. Entenda o hardware básico, a rede básica de computadores, o que são endereços IP, o que é uma sub-rede. Entenda alguns códigos, como Python. Você não precisa de formação em ciência da computação, mas ter essas habilidades fundamentais ajudarão muito. 

Se você não colocar uma fundação debaixo de uma casa, ela vai desmoronar. Então, você precisa pensar sobre sua carreira da mesma maneira. Você deve ter certeza de que está construindo uma base. As pessoas não percebem a quantidade de esforço que é necessário para entrar em campo. Faça a sua diligência com antecedência. 

Há também muita síndrome do impostor na área de segurança. Eu digo às pessoas para não se preocuparem com os outros, especialmente nas redes sociais. Dizem que a comparação é a ladra da alegria, e eu realmente acredito nisso. Você precisa ter certeza de que está executando sua própria corrida. Mesmo se você correr um mesmo percurso que outra pessoa, e ele terminar em 5 minutos e você em 10, você ainda está terminando o mesmo percurso. O que importa é que você chegou lá. Enquanto você estiver tentando ser melhor do que foi ontem, você vai muito mais longe do que pensa. 

Por fim, a segurança cibernética é um campo que está mudando constantemente. Para alguém que é complacente – que quer se formar, conseguir um emprego e pronto – a segurança cibernética não é a opção certa. É uma área para quem está interessado em aprender constantemente porque sempre há novas vulnerabilidades. Acabou de ocorrer a vulnerabilidade do Log4J que causou preocupação a todos. Tive uma reunião hoje com um cliente e, se não estiver preparado, vou decepcioná-lo. Estou deixando a segurança deles para baixo também. Passei o fim de semana estudando porque precisava. Esse é o negócio em que estamos. 

Você também deve ficar por dentro disso do lado do empregador – sendo capaz de treinar pessoas e mantê-las atualizadas. A TCM Security tem uma base onde queremos que nossos funcionários estejam e, em seguida, os incentivamos a obter conhecimento onde estão mais interessados. Fui enviada para um treinamento no qual não tinha nenhum interesse e queria arrancar meu cabelo. Como gerente, pergunto: “O que você quer aprender?” Quando eu envio um funcionário para um treinamento de segurança cibernética no qual ele está interessado, ele retém essas informações muito melhor. Eles podem então trazer essas informações de volta para nós, e podemos usá-las em cenários do mundo real. 

Natalia: Como os líderes de segurança podem recrutar melhor os profissionais de segurança para suas equipes? O que eles devem procurar? Por exemplo, qual a importância das certificações? 

Heath: Para uma função de nível básico, as certificações são importantes, mas a importância diminui quando você já está em campo. Ainda assim, sou uma defensora delas, pois ajudam a provar algum conhecimento – assim como ter um blog, participar de uma conferência, construir um laboratório doméstico, falar em uma conferência, falar em um grupo comunitário local – qualquer coisa que diga: “Sou apaixonado por segurança”. 

Já vi algumas funções de nível iniciante em que os entrevistadores fazem você codificar algo ou consertar um código quebrado, apenas para garantir que você entenda logicamente o que está acontecendo. Você não precisa ser um desenvolvedor ou ser capaz de codificar, mas deve ser capaz de entender o que está à sua frente. Ter alguns desafios de codificação durante o processo de contratação pode ser benéfico, mas deve ser um livro aberto. Para um profissional de segurança, usar a pesquisa é 90% do nosso trabalho, honestamente. Se você está limitando alguém de pesquisar online, você está definindo falsas expectativas. 

Eu assisto vídeos e releio blogs o tempo todo, porque há tantos comandos diferentes, e não há como memorizar todos eles. Mas você precisa entender os conceitos. Se você entende a ferramenta que eles podem precisar executar ou o conceito dela, então você pode pesquisar isso, encontrar a ferramenta e executá-la. Isso é mais importante. 

Natalia: Todos nós lemos as estatísticas sobre burnout no setor de segurança. O que você recomenda para líderes que desejam reter melhor seus talentos? 

Heath: Você deve ser pró-saúde mental. Certifique-se de que haja ampla folga remunerada e incentive os funcionários a usá-la. Além disso, certifique-se de que seus funcionários possam tirar uma folga além disso. Se eles estão doentes, eles não devem sentir que estão decepcionando as pessoas. É por isso que temos horários flexíveis, nós temos uma semana de trabalho de 32 horas. Tentamos dar às pessoas tanto tempo de descanso para ter um equilíbrio entre vida profissional e pessoal. Também pagamos pelo treinamento, para que as pessoas possam se concentrar nos tópicos de seu interesse. Garantimos que estamos investindo em nossos funcionários. É muito mais caro recontratar e treinar novamente. Prefiro investir em um funcionário e manter sua saúde mental em alto nível, e ter certeza de que estou dando a eles todas as ferramentas e treinamento necessários para um desempenho bem-sucedido. 

Natalia: Quais tendências você viu na qualificação em segurança? O que você acha que está por vir em termos de como os profissionais de segurança são treinados, recrutados e retidos? 

Heath: Há mais pessoas interessadas na área, e isso é ótimo. Estamos começando a ver muito mais provedores de treinamento e opções de treinamento. Quando eu comecei, muito disso era apenas lendo posts de blogs, e havia talvez um ou dois provedores de treinamento. Agora são 10 ou 15. 

A desinformação pode estar por aí, ou informações desatualizadas. Se você pesquisar on-line por empresas de certificação – ou até mesmo olhar para uma postagem on-line de um ano atrás – essa informação pode estar desatualizada. Então, novamente, isso volta para a devida diligência e para garantir que você esteja fazendo sua pesquisa, não apenas confiando em uma fonte. Se eu fosse procurar por certificações para entrar nesse campo, procuraria 20 ou 30 recursos diferentes, obteria um consenso sobre quais pesquisas são as mais qualificadas e faria minha própria pesquisa sobre essas organizações. É uma ótima prática de habilidades de trabalho pesquisar e garantir que você entenda para onde precisa ir. 

Tags: ,

Posts Relacionados