Preparar os profissionais do futuro: aprender o Bê-A-Bá da cibersegurança

Se a cibersegurança começa a ser uma verdade inegável no seio das organizações, a ausência de conhecimentos sólidos e de formação adequada e, em muitos casos, contínua, pode colocar em causa a estrutura de segurança de uma organização perante potenciais ameaças.

Num estudo global, encomendado pela Kaspersky, mais de 50% dos profissionais de cibersegurança inquiridos e em exercício admitem que cometeram erros, no início da carreira, devido à falta de conhecimentos teóricos ou práticos. Os dados mostram que, nos últimos dois anos, as organizações sofreram pelo menos um incidente cibernético devido à falta de pessoal qualificado em matéria de cibersegurança.

Com este panorama como ponto de partida, a IT Security procurou conhecer o estado em que se encontra a formação de cibersegurança e quais as condições que existem para enfrentar a escassez de profissionais na área da InfoSec.

Formação adaptada às ameaças reais

	“O grau de mudança dos cursos deve ser, pelo menos, igual à transformação dos temas operantes na cibersegurança” Bruno Marques, Vice-Presidente da CIIWA

Na ótica de Bruno Marques, Vice-Presidente da CIIWA, um dos primeiros passos passa por garantir a adaptação dos planos de formação, de forma que estes evoluam à mesma velocidade que aumenta a complexidade em torno da cibersegurança. “O grau de mudança dos cursos deve ser, pelo menos, igual à transformação dos temas operantes na cibersegurança”, defende.

Como associação, a CIIWA tem procurado utilizar a sua flexibilidade para melhor analisar “as tendências, adaptar conteúdos, estabelecer parcerias para garantir os melhores especialistas e inovar em novos métodos e gamification”.

Bruno Marques aponta para a necessidade de as organizações colocarem como prioridade a formação e treino, “consistindo em ações não só teóricas, mas que introduzam aspetos práticos que permitam aos participantes melhorar a sua capacitação”.

Para a Academia Nacional de Cibersegurança “é imperativo adotar uma abordagem abrangente e integrada que promova a formação contínua e o desenvolvimento de competências avançadas” para combater a lacuna existente no conhecimento e na preparação dos profissionais de cibersegurança.

No entendimento de David Russo, Co-founder & Chief Technology Officer da CyberS3c, a área exige uma “atualização constante de conhecimentos”, tornando-se essencial que as instituições de formação “ofereçam programas contínuos que abranjam desde os conceitos fundamentais até às técnicas mais avançadas”, acompanhando sempre “as rápidas mudanças no panorama das ameaças e nas tecnologias de defesa”.

“Outro aspeto crucial é a formação prática baseada em cenários reais. Modelos de ensino que incluem cenários reais de ciberataque e ciberdefesa, utilizando tecnologia desenvolvida especificamente para o ensino da cibersegurança, permitem aos formandos ganhar experiência prática e desenvolver habilidades críticas em ambientes que simulam operações reais no ciberespaço” David Russo, Co-founder & Chief Technology Officer da CyberS3c

No caso das certificações reconhecidas, estas ajudam não só a validar a competência dos profissionais, mas também a manter um “nível contínuo de atualização e aprendizagem”.

“Outro aspeto crucial é a formação prática baseada em cenários reais. Modelos de ensino que incluem cenários reais de ciberataque e ciberdefesa, utilizando tecnologia desenvolvida especificamente para o ensino da cibersegurança, permitem aos formandos ganhar experiência prática e desenvolver habilidades críticas em ambientes que simulam operações reais no ciberespaço. A prática é essencial para consolidar conhecimentos teóricos e preparar os profissionais para situações reais”, sublinha David Russo.

A Academia Nacional de Cibersegurança é um dos exemplos ao assentar o seu modelo de ensino nesta perspetiva prática e operacional, “proporcionando uma experiência formativa que simula de forma realista os desafios do ciberespaço”.

Para além da formação específica, David Russo sublinha a importância de as organizações promoverem uma “cultura de aprendizagem contínua”. “As empresas devem incentivar os seus colaboradores a participarem em formações regulares e partilharem conhecimentos entre si. Facilitar a mentoria e o networking entre profissionais é também vital. Promover eventos de networking e sessões de mentoria onde os profissionais mais experientes podem partilhar os seus conhecimentos e orientar os menos experientes contribui significativamente para o crescimento profissional. A colaboração entre a academia, a indústria e as entidades governamentais é essencial para alinhar os programas de formação com as necessidades reais do mercado. A criação de parcerias com várias organizações pode ajudar a garantir que os conteúdos formativos são relevantes e adaptados à realidade atual”, constata.

Uma oportunidade para as universidades

As instituições de ensino superior são um dos players neste jogo, ao oferecerem cursos que procuram ir ao encontro das necessidades de formar cada vez mais profissionais em cibersegurança.

A Nova SBE é um dos casos onde se tem até verificado um aumento da procura por este tipo de cursos. A justificar esta tendência, revela José Carlos Lourenço Martins, Diretor Executivo da Pós-Graduação em Gestão de Cibersegurança, está o facto de as empresas necessitam agora de uma “visão estratégica, políticas, planos, processos e o alinhamento ao nível da governação, gestão e operação” para encararem o tema da segurança. Outro dos fatores está relacionado com a maior consciência dos responsáveis de cibersegurança em alinhar a arquitetura com os objetivos de negócio.

	As empresas necessitam agora de uma “visão estratégica, políticas, planos, processos e o alinhamento ao nível da governação, gestão e operação” para encararem o tema da segurança José Carlos Lourenço Martins, Diretor Executivo da Pós-Graduação em Gestão de Cibersegurança, Nova SBE

A pós-graduação em “Gestão de Cibersegurança” da instituição centra-se na gestão da cibersegurança e segurança da informação, na perspetiva de um Chief Information Security Officer (o Estratega), proporcionando aos gestores e decisores “um conhecimento multidisciplinar e abrangente de algumas das principais abordagens, normas, frameworks, princípios fundamentais de segurança de informação e cibersegurança”, acrescenta José Carlos Lourenço Martins.

No caso da Universidade Europeia, a instituição tem procurado estabelecer protocolos de colaboração com entidades certificadoras, como é o caso do ISACA Lisbon Chapter, para que os conteúdos lecionados nos cursos de pós-graduação ou mestrado “permitam os conhecimentos suficientes e adequados para a realização dos exames de certificação internacional, por exemplo a Certificação em Auditoria de Sistemas de informação (CISA), Certificação em Risco e Controle em Sistemas de Informação (CRISC) Certificação em Gestão de Segurança da Informação (CISM)”, exemplifica o professor Jorge Cobra, Coordenador do Mestrado em Cibersegurança.

Tópicos como o ransomware, o phishing e a segurança em cloud integram já os currículos dos cursos de cibersegurança, que têm sido adaptados de forma a abranger cada vez mais conhecimentos, com a integração de novos tópicos tecnológicos, como é o caso da inteligência artificial e machine learning, segurança em cloud, questões de conformidade e regulamentação, formação em gestão de crise e resiliência cibernética, e testes de penetração e hacking ético.

Também aqui, e com o aumento dos ciberataques, “a resposta a incidentes e a gestão de crises tornaram-se componentes essenciais dos cursos. Isso inclui formação em procedimentos de resposta rápida, análise forense digital e gestão de crises cibernéticas para minimizar o impacto de um ataque”, reitera o professor.

A Universidade Lusófona tem trabalhado igualmente para suprir as necessidades do mercado no que à gestão de sistemas seguros diz respeito. A Licenciatura em Engenharia Informática oferece uma disciplina dedicada à segurança informática. No caso do Mestrado em Engenharia Informática e Sistemas de Informação, são aprofundados conhecimentos em diversas matérias, tais como programação segura, gestão e organização da cibersegurança nas organizações e as técnicas para gerir de forma segura a identidade dos utilizadores.

“Os recém-licenciados sentem que necessitam de uma formação adicional que lhes ofereça uma diferenciação positiva e lhes perpermita entrarem no mercado de trabalho em posições superiores ou para trabalharem em produtos mais sofisticados” Professor Luís Campos, Universidade Lusófona

Para necessidades mais específicas, a Pós- Graduação em Cibersegurança aplicada oferece um “entendimento profundo dos diversos aspetos da cibersegurança, capazes de ajudar as empresas e organizações a protegerem-se dessas ameaças, sejam elas ataques externos, ou ataques ou falhas de funcionamento no interior da própria organização”, frisa o professor Luís Campos, que sublinha, no entanto, a necessidade de atualizar os programas. “O mesmo se passa com as soluções técnicas para lidar com os ataques e as vulnerabilidades, que evoluem rapidamente. Os programas têm de refletir essa evolução. É necessário ter bases sólidas de conhecimento, mas também a flexibilidade necessária para atualizar as matérias neste jogo de gato e rato de novos tipos de ataques”, acrescenta.

Na zona centro, a Escola Superior de Tecnologia e Gestão do Instituto Politécnico de Leiria admite a dificuldade em abordar todas as situações referentes à cibersegurança junto dos estudantes. O Mestrado em Cibersegurança e Informática Forense (MCIF) arrancou em 2017, num regime pós-laboral, com uma turma composta por 20 estudantes. Hoje, e devido à crescente procura, são já duas turmas de duas dezenas de alunos.

“Existem vários fatores, mas o principal será provavelmente o valor da remuneração. Temos estudantes que terminaram o MCIF e foram ganhar três mil euros por mês numa empresa em Portugal. Depois, existem as empresas internacionais, nomeadamente europeias, que oferecem valores remuneratórios ainda mais elevados. Estes valores, bastante acima da média dos ordenados em Portugal, são um fator bastante atrativo para quem procura formação na área da cibersegurança” Miguel Frade, Coordenador do Mestrado em Cibersegurança e Informática Forense, Instituto Politécnico de Leiria

“No MCIF procuramos sempre manter os conteúdos programáticos atualizados. No entanto, devido às restrições temporais, é impossível cobrir em profundidade todos os tipos de ciberataques que existem e respetivas variantes. Assim, o nosso objetivo é preparar os estudantes com os conhecimentos necessários não só para identificar os principais vetores de ataques, como também terem as competências necessárias para estudar e prevenir novas formas de ataques”, explica Miguel Frade, Coordenador do Mestrado em Cibersegurança e Informática Forense.

O plano curricular é atualizado sempre que necessário, como foi há dois anos, com o reforço da componente de cibersegurança ativa e passiva.

Noutro ponto do país, os cursos de cibersegurança apresentados pela Escola Superior de Tecnologia do Instituto Politécnico do Cávado e do Ave (IPCA) têm- -se adaptado, seguindo duas abordagens: “diversidade nas matérias abordadas no curso, de modo a dotar os formandos com um conhecimento abrangente dos pontos fracos dos sistemas informáticos; e, por outro lado, na atualização permanente dos conteúdos, de modo a estar a par do que melhor se faz no mercado para prevenir esses ataques”, contextualiza Nuno Lopes, Diretor do Mestrado Profissional em Cibersegurança Aplicada e Diretor da Pós-Graduação em Cibersegurança e Informática Forense.

Perfis de estudantes para todos os gostos

O perfil dos inscritos nos cursos da CIIWA assenta sobretudo em profissionais com um perfil médio alto, que incluem desde o profissional liberal sénior aos profissionais liberais com um perfil técnico médio-alto. Neste grupo estão integrados gestores intermédios e de topo, das mais diversas tipologias de organizações.

“A motivação destes profissionais passa, principalmente, pela atualização de conhecimentos, aquisição de conhecimentos em áreas de especialidade”, revela Bruno Marques.

Os profissionais e gestores da área procuram também as competências não técnicas em cibersegurança, consideradas competências diferenciadoras que têm conquistado uma “pertinência cada vez mais central”, frisa o vice-presidente da CIIWA. “Existem ainda profissionais que procuram especializar-se na área, recém-licenciados, que têm a consciência que existem temas de especialização e de elevada tecnicidade. Procuramos estabelecer os tais percursos formativos que os apoiem a reconhecer oportunidades e áreas de maior interesse”, remata.

A Academia Nacional de Cibersegurança recebe igualmente profissionais já estabelecidos, que procuram atualizar os seus conhecimentos face às ameaças mais recentes.

“Acolhemos também um número significativo de profissionais sem licenciatura que estão interessados em mudar de carreira, bem como indivíduos com graus avançados, como doutoramento, que procuram uma reconversão profissional. Esta diversidade no perfil dos inscritos é uma prova da crescente necessidade de formação especializada em cibersegurança, independentemente do nível académico ou da trajetória profissional anterior”, considera David Russo, que destaca a parceria estabelecida com a Fundação José Neves para a atribuição de bolsas Income Share Agreement (ISA) como um “fator decisivo para permitir que um maior número de profissionais possa reconverter a sua carreira ou melhorar as suas competências”.

O perfil dos alunos, no caso da Universidade Lusófona, passa por profissionais que trabalham a nível de desenvolvimento de software e “procuram adquirir conhecimentos para produzirem programas mais robustos e que utilizem tecnologias mais seguras”. Também aqui “os recém-licenciados sentem que necessitam de uma formação adicional que lhes ofereça uma diferenciação positiva e lhes perpermita entrarem no mercado de trabalho em posições superiores ou para trabalharem em produtos mais sofisticados”, refere o professor Luís Campos.

Aproveitar as capacidades para reaproveitar talento

Quando o tema é cibersegurança, a escassez/dificuldade em reter talento é um dos principais problemas com os quais as organizações se deparam.

Miguel Frade, do Instituto Politécnico de Leiria, considera que o primeiro passo é compreender as razões exatas pelas quais “as organizações não conseguem reter talento”. “Existem vários fatores, mas o principal será provavelmente o valor da remuneração. Temos estudantes que terminaram o MCIF e foram ganhar três mil euros por mês numa empresa em Portugal. Depois, existem as empresas internacionais, nomeadamente europeias, que oferecem valores remuneratórios ainda mais elevados. Estes valores, bastante acima da média dos ordenados em Portugal, são um fator bastante atrativo para quem procura formação na área da cibersegurança”, reforça.

Desta forma, o recurso ao reskilling/requalificação torna-se numa opção, levando a que os funcionários de uma organização sejam formados num conjunto de competências, com a intenção de exercerem uma nova função.

“Pode acontecer que os novos desenvolvimentos tecnológicos, ou mudanças na estrutura da empresa, tenham tornado certas atividades/tarefas irrelevantes. Consequentemente, os funcionários podem ser obrigados a requalificar-se e a alterar/ganhar competências numa nova função, o que pode acontecer na área de cibersegurança e de segurança da informação”, esclarece José Carlos Lourenço Martins, da Nova SBE.

O reskilling permite que, ao invés de despedir o funcionário, a organização opte por formar os seus colaboradores de forma a exercerem uma nova função, uma vez que já têm conhecimento “da estrutura e da dinâmica da empresa/ negócio”.

Este fator leva, naturalmente, à procura deste tipo de cursos de cibersegurança. “No caso da pós-graduação da Nova SBE, leva à procura por parte dos gestores intermédios ou funcionários que exercem funções de gestão de projetos na empresa”, afirma José Carlos Lourenço Martins.

Nuno Lopes, do IPCA, afirma que é possível observar nos formandos, principalmente nos candidatos que se inscrevem pela primeira vez “a procura destes cursos como forma de aumentarem as suas competências numa nova área como a cibersegurança, partindo de outras formações base que já obtiveram noutras instituições”.

Entre algumas das razões para a aposta no reskilling destes profissionais estão a demanda do mercado, a segurança profissional, a atualização de competências e a progressão na carreira Jorge Cobra, Coordenador do mestrado em Cibersegurança, Universidade Europeia

Entre algumas das razões para a aposta no reskilling destes profissionais, elenca Jorge Cobra, da Universidade Europeia, estão a demanda do mercado, a segurança profissional, a atualização de competências e a progressão na carreira.

“Outro aspeto importante é a criação de um ambiente de trabalho que valorize a aprendizagem contínua e o desenvolvimento profissional. As organizações que investem no crescimento dos seus colaboradores através de iniciativas de reskilling e upskilling tendem a ser mais bem-sucedidas na retenção de talento. Programas de mentoria, oportunidades de certificação e a participação em conferências e eventos de cibersegurança são algumas das formas de incentivar os funcionários a continuar a desenvolver as suas competências”, acrescenta David Russo, da Academia Nacional de Cibersegurança.

Bruno Marques, da CIIWA, aponta para a necessidade de os percursos formativos apoiarem o reskilling, uma área que a associação procura estruturar ainda mais. “A luta pelos talentos em cibersegurança, que irá agudizar-se ainda mais, passa também por este processo de reskilling. Também a este nível, será necessário desenhar parcerias, uma vez que esta é uma área multidisciplinar, em que se deverá unir competências para se promoverem as valências dos novos profissionais. Esta é uma matéria decisiva a curto prazo”, remata o vice-presidente, que conclui: “é imperioso maior agilidade e visão nas áreas da formação e capacitação. O jogo competitivo na cibersegurança é igualmente o jogo do conhecimento”.