Neste ponto, todos nós já ouvimos ad nauseam – a “Grande Resignação” está aqui. Os funcionários estão deixando os empregos em massa. Eles estão estressados, esgotados e buscando um lugar mais elevado.
Mais de três quartos dos funcionários sofreram esgotamento, e mais da metade daqueles que estão apenas começando sua carreira – de 18 a 25 anos — pensaram em deixar o emprego devido à fadiga do trabalho. Um colossal cinqüenta e cinco por cento das pessoas na força de trabalho planeja procurar um novo emprego em 2022, sinalizando tempos difíceis para as organizações que já lutam para preencher vagas.
A indústria de segurança
A indústria de segurança está sentindo esse calor. Quase 465.000 empregos cibernéticos não preenchidos permanecem não preenchidos nos Estados Unidos, sendo o setor público o mais atingido. No entanto, a lacuna global é mais significativa, aproximando-se de 3,12 milhões de vagas não preenchidas.
Enquanto isso, os executivos citam a escassez de talentos de TI como a principal barreira para a adoção de tecnologias emergentes, incluindo migração para nuvem, automação e ferramentas de segurança.
De nossa própria pesquisa recente na Invicti Security – de 600 profissionais de desenvolvimento e segurança, 78% experimentaram um aumento nos níveis de estresse no ano passado e quase dois terços consideraram deixar seu próprio emprego. Essa é uma bandeira vermelha de retenção de talentos.
Círculo vicioso para desenvolvedores e equipes de segurança
Tanto estresse alimenta um ciclo vicioso para equipes de desenvolvimento e segurança, especialmente quando já estão esticados. As equipes não podem se concentrar em tudo simultaneamente, então são forçadas a fazer escolhas difíceis sobre onde colocar seus recursos de segurança.
Em última análise, isso deixa as empresas expostas a ameaças de vulnerabilidades, falhas, dívida e esgotamento. As equipes de desenvolvimento, enfrentando escassez de pessoal, ainda estão sob pressão para criar aplicativos mais inovadores em velocidades vertiginosas, fazendo com que as etapas de segurança necessárias pareçam um obstáculo para realizar seu trabalho. Algo tem que ceder.
A liderança deve abordar o talento e o êxodo que o acompanha
É hora de a liderança intensificar e levar a sério a abordagem do êxodo de talentos . A segurança não é mais um devaneio; é um imperativo estratégico impactado pela escassez de talentos. Se você deseja encontrar (e manter) o melhor dos melhores e aprimorar o know-how de segurança para toda a sua organização, trabalhar na solução desses problemas o direcionará na direção certa.
Ampliar: por que a segurança cibernética é tão madura para o volume de negócios
Com quase meio milhões de empregos abertos em segurança de TI apenas nos Estados Unidos, não é surpresa que quase 60% das organizações estejam sentindo o impacto da escassez de habilidades em segurança cibernética. Infelizmente, as organizações ainda estão tendo dificuldades para contratar e manter uma equipe de segurança de TI qualificada, com 39% lutando para preencher as funções de segurança de computação em nuvem e 30% lutando para preencher as funções de segurança de aplicativos. Mas por que isso acontece?
Para começar, a lacuna de habilidades se espalha como um incêndio em empresas grandes e pequenas. Por exemplo, a Information Systems Security Association (ISSA) e o Enterprise Strategy Group descobriram em uma pesquisa que 95% dos profissionais de segurança cibernética acreditam que a lacuna de habilidades não melhorou devido a cargas de trabalho mais pesadas (62%), cargos não preenchidos (38%) e esgotamento (38%).
Tudo é exacerbado pela pressão constante para inovar e aumentar o tempo de lançamento no mercado no desenvolvimento de software, especialmente por desenvolvedores e equipes de DevSecOps isoladas que não têm largura de banda e ferramentas para o sucesso.
E quanto à pandemia global
Fator em uma pandemia global com equipes dispersas e híbridas trabalhando remotamente por quase dois anos e a situação apenas compostos. Os aplicativos em nuvem e as alterações nas pilhas de tecnologia precisam ser examinados, monitorados e protegidos em todas as organizações.
Isso significa maior demanda por funções de segurança específicas, enquanto as habilidades não são abundantes e uma necessidade para a águia Funcionários de DevSecOps atentos que podem identificar problemas com mais rapidez e precisão.
Cargas de trabalho de alto estresse
Altos níveis de estresse de cargas de trabalho, falta de ferramentas adequadas e equipes dispersas podem afetar seriamente a capacidade de uma organização de reter funcionários e atingir as metas de inovação.
Veja da ISACA: 66% os entrevistados disseram que é um desafio manter a equipe de segurança cibernética, o que faz com que 42% das organizações que não conseguem preencher cargos de segurança em aberto sofram mais ataques.
Com novas e perigosas explorações sempre à espreita — como o zero -day Log4j falha que recentemente quebrou a internet – lacunas na cobertura de segurança são vitórias fáceis para os maus atores.
Até o governo dos Estados Unidos está notificando.
Em novembro, o DHS anunciou uma nova iniciativa de contratação de segurança cibernética para encontrar e manter os melhores talentos e fechar algumas dessas lacunas para as agências federais. O objetivo é modernizar a forma como o governo engaja, desenvolve e retém seus talentos, concentrando-se no preenchimento de funções críticas na Agência de Segurança Cibernética e Infraestrutura (CISA). grande problema para o futuro da segurança de software. Mas se fechar a lacuna de habilidades é fundamental e reter talentos é um sintoma de um problema mais significativo, por onde você começa?
Melhores resultados: Aumente a retenção dessas cinco maneiras testadas e comprovadas
Não há uma solução mágica para nada quando se trata de DevSecOps , especialmente quando as organizações precisam dinamizar constantemente suas estratégias para acompanhar as metas de negócios.
Mas não ter uma panacéia para essa doença não significa agitar a bandeira branca. Por outro lado, isso significa que precisamos intensificar nosso jogo e cultivar culturas de trabalho que incluam a melhor tecnologia, as ferramentas adequadas e programas de capacitação que deixem os trabalhadores empolgados com o ponto.
1. Vamos começar com o óbvio: pague o valor de seus funcionários
É um problema que assola a maioria das indústrias, mas especialmente a tecnologia. Quando os funcionários não são pagos de forma justa, eles se sentem desvalorizados, e a retenção pode se tornar complexa.
Os salários abaixo da média indicam que você também não está atento às tendências do mercado, o que significa que, em última análise, você está correndo o risco de deixar bons funcionários saírem pela porta de outras empresas que oferecem remuneração justa.
A receita é simples: se você quer que bons funcionários fiquem, você tem que tratá-los bem – inclusive certificando-se eles são pagos adequadamente para o mercado juntamente com experiência, habilidades únicas e trabalho duro.
2. A cultura da empresa não é mesa de pingue-pongue; é sobre o trabalho que importa
O famoso autor e psicólogo Adam Grant disse isso claramente: “O medo de ser julgado como fraco ou ingênuo impede muitas pessoas de agir como doadores no trabalho.”
Os doadores são essenciais para o progresso , novas ideias e desenvolvimento na cultura de uma empresa. Quando você oferece um ambiente seguro e acolhedor, onde todos podem causar impacto, aprender com os erros e crescer sem julgamento, é mais provável que você veja os investimentos em seus funcionários valerem a pena – e mantenha as pessoas em seus lugares por muito mais tempo.
3. Amplie seu pool de candidatos (e suas fronteiras)
À medida que você repensa as iniciativas de cultura de sua empresa para ser mais inclusiva, ampliar seu pool de candidatos pode abrir novas portas para novos talentos com diversos conjuntos de habilidades. E com a mudança para o digital apresentando novas oportunidades para ambientes de trabalho híbridos e remotos, você não precisa se encaixar em um único local.
Quando você vai além de suas fronteiras habituais e entrevista candidatos, você tem Se não for considerado antes, você pode se surpreender com todas as novas proficiências que descobrir que ajudarão a resolver processos complicados e desafios de segurança.
Repense seus pré-requisitos
Você já decidiu não entrevistar alguém porque se formou recentemente na faculdade ou não tem experiência suficiente? Seu pool de talentos está perdendo.
Os recém-formados trazem muitos benefícios: eles sabem como trabalhar com orçamentos limitados, têm novas perspectivas sobre o mundo, foram criados com tecnologia moderna e dão aos seus funcionários estabelecidos mais espaço para crescer como mentores.
Ainda melhor, recém-formados e novatos sem experiência fazem muitas perguntas, o que pode servir como uma grande fonte de inspiração e criatividade.
Elimine os pré-requisitos que limitam as pessoas a diplomas ou proficiências e, em vez disso, concentre-se em buscar candidatos que tenham esses problemas de segurança atuais e tenham paixão por descobrir as correções.
Automatize tudo o que puder
As tarefas manuais de segurança são uma chatice. Eles podem impedir seriamente a inovação ou interromper completamente novos projetos de desenvolvimento, não apenas para o moral. E no mundo do software onde a entrega precisava acontecer ontem, isso não funciona.
A integração de ferramentas de segurança diretamente no SDLC em cada ponto crítico do processo de desenvolvimento de software exige algum trabalho manual (e muitas vezes retrabalho) fora de cena.
A automação pode ajudar com precisão, priorização de remediação e redução de falsos positivos que consomem tempo. Em resumo, as ferramentas de segurança automatizadas que se conectam aos fluxos de trabalho existentes facilitam a vida dos profissionais de DevSecOps, o que significa menos estresse e funcionários mais felizes.
Um mais tempo para as pessoas nas costas: a automação reina suprema
Está claro como o dia que a automação é agora uma peça crítica do Quebra-cabeça AppSec. E o elefante na sala é a capacitação; quando você facilita a vida de seus desenvolvedores e profissionais de segurança, eles ficam menos propensos ao estresse e mais propensos a permanecer.
Investindo em automação para melhorar processos, economizar tempo e reduzir o estresse manual o trabalho deve ser levado a sério.
Nossa pesquisa destaca como ferramentas com pouca potência e processos manuais estão esmagando a eficiência: pode levar duas semanas surpreendentes por membro da equipe, em média, para resolver o atraso atual de sua organização de problemas de segurança – e isso se eles não funcionarem em mais nada.
Adicione outras responsabilidades do dia-a-dia e, realisticamente, você está olhando para mais de quatro a quatorze semanas de atenção- trabalho exaustivo.
E os problemas de precisão?
É um problema de precisão também. Mais de três quartos dos entrevistados dizem que são forçados a verificar vulnerabilidades sempre ou frequentemente manualmente. Os falsos positivos, sem dúvida, desempenham um papel nisso: 96% relatam falsos positivos como problemáticos em sua organização e 39% dizem que aumentam o atrito entre desenvolvimento e segurança.
Mas a boa notícia é que os funcionários olham para automação favoravelmente – 60% concordam que a automação pode ajudar, especialmente para desenvolvedores que operam com as melhores práticas de codificação segura em mente.
A automação alivia os pontos de estresse
A automação também alivia os pontos de estresse em torno de áreas de ameaças potenciais “ocultas”, como APIs, cadeias de suprimentos e fornecedores terceirizados. As APIs da Web, em particular, geralmente aumentam os riscos imprevistos que as organizações enfrentam diariamente, pois expõem uma superfície de ataque maior para os agentes de ameaças explorarem.
Automatizando a segurança diretamente no ciclo de vida de desenvolvimento de software, mantendo-se no topo das APIs e todas essas transferências de software críticas na cadeia de suprimentos ajudam a reduzir significativamente essa superfície de ataque.
Perseguição de falsos positivos, segurança de API, verificação manual demorada… imagine automatizar esses processos e elementos críticos do AppSec. Você pode liberar semanas (meses!) tirando o fardo de tarefas repetitivas e rotineiras das mãos de sua equipe de segurança de TI.
Elas também terão um impacto mais significativo na organização, o que positivamente impacta a retenção. O funcionário que passa mais tempo eliminando vulnerabilidades perigosas tende a se sentir mais realizado no final do que aquele que passa horas perseguindo falsos positivos tediosos.
Definindo o palco com Security Champions
Você tem todos os atores certos nos papéis certos, eles conhecem suas falas e podem se comunicar bem, e eles têm as melhores ferramentas para o trabalho. Então, como você mantém esse ímpeto e garante que pode trabalhar com quaisquer problemas novos ou de longo prazo que façam os funcionários talentosos se esforçarem para atualizar seus currículos?
Os programas de campeões de segurança funcionam bem para muitas organizações porque eles estimulam mais participação nos esforços de segurança e ajudam a liderança a enfatizar a importância do AppSec.
Os desenvolvedores e profissionais de segurança mantêm as empresas seguras
Como desenvolvedores e profissionais de segurança altamente qualificados e os mais apaixonados por manter os negócios protegidos contra explorações e agentes de ameaças, esses homens e mulheres ajudam você espalha mensagens e práticas recomendadas e pode até atrair novos talentos.
Eles também falam sobre ferramentas e processos críticos que faltam no quebra-cabeça, o que reduz o estresse e aumenta a largura de banda.
Os programas de campeões de segurança são um impulsionador do moral, mas, mais importante, eles fazem os profissionais de DevSecOps se sentirem ouvidos. Use o programa como uma oportunidade para comemorar vitórias, melhorar a educação e promover o crescimento para que as pessoas qualificadas de sua equipe – e as que se juntarão ao futuro – operem em um ambiente onde desejam plantar raízes.
Um pequeno passo para a segurança, um salto gigante para o DevSecOps
Reformular sua abordagem para descobrir e reter talentos em segurança cibernética não é tarefa fácil. Mas, se você fizer uma série de pequenas melhorias para melhorar a agilidade e ampla cobertura de segurança, verá impactos positivos na produtividade, inovação e satisfação dos funcionários.
E isso é essencial: dificilmente um passa uma semana em que não há uma brecha significativa nas notícias que incendeie os cabelos tanto para o desenvolvimento quanto para a segurança.
A agilidade é um aspecto essencial para tornar o vida dos profissionais de DevSecOps
A agilidade é um aspecto essencial para facilitar a vida dos profissionais de DevSecOps. A boa notícia é que podemos reduzir as dores de cabeça de todo o setor capacitando bons funcionários.
Agilidade significa substituir suas ferramentas legadas por pilhas de tecnologia atualizadas e criar programas de capacitação que corrijam problemas. Além disso, você vai querer usar a automação para economizar tempo e sanidade, e ampliar sua visão de mundo ao procurar novas habilidades.
Só então podemos dar passos sérios na retenção de talentos e fechar a lacuna gritante de habilidades retendo as equipes de segurança cibernética.
Crédito da imagem: Saksham Choudhary; Pexels; Obrigado
Mark Ralls
Mark Ralls é Presidente e Diretor de Operações da Invicti. Nesta função, Mark ajuda a definir, comunicar e conduzir a estratégia e execução da empresa, trazendo profundo conhecimento em análise, marketing, operações e fusões e aquisições. Ele é um construtor e líder comprovado de equipes de alto desempenho e tem paixão por ajudar as empresas a crescer e escalar. Mark anteriormente ocupou cargos de liderança no Vista Consulting Group (parte da Vista Equity Partners), Social Solutions Global, SolarWinds e Boston Consulting Group. Mark é bacharel em Engenharia Mecânica pela Universidade do Texas em Austin e possui MBA pela Harvard Business School.
