O paradoxo da segurança cibernética: por que o gratuito custa muito caro

Bem, bem, bem. Veja o que o gato trouxe do ciberespaço. A indústria de segurança cibernética está fazendo um truque de mágica que deixaria Houdini orgulhoso: inflando simultaneamente as taxas de consultoria e inundando o mercado com novatos de olhos arregalados. Um paradoxo envolto em um enigma, servido com um toque de ironia. Você pensaria que isso seria motivo de comemoração, mas segure seus cavalos. Este pequeno ato de circo pode estar apenas nos preparando para uma queda espetacular, uma reminiscência do fiasco da terceirização que mantém os veteranos de TI acordados à noite. Então, vamos abrir a cortina deste drama digital e ver se não conseguimos detectar o truque de prestidigitação antes que seja tarde demais. A comunidade de segurança cibernética já se orgulhou de um senso de camaradagem e propósito compartilhado. No entanto, esse espírito foi corroído por uma corrida para o fundo em termos de preços e valor percebido. Ao oferecer treinamento e serviços gratuitos ou de custo extremamente baixo, a indústria inadvertidamente envia uma mensagem de que essas habilidades e esforços têm pouco valor intrínseco.

A ascensão da cultura de influenciadores na segurança cibernética

A desvalorização da expertise em segurança cibernética é ainda mais exacerbada pelo aumento da “ cultura influenciadora ” dentro da indústria. Nos últimos anos, houve um aumento de indivíduos focando em construir sua marca pessoal e se tornando influenciadores no espaço de segurança cibernética. Enquanto algumas dessas vozes fornecem insights valiosos, o campo ficou saturado com pessoas ansiosas para compartilhar seus pensamentos, independentemente de sua expertise ou experiência real.

Essa proliferação de autoproclamados especialistas levou a uma quantidade avassaladora de ruído no cenário de informações de segurança cibernética (veja o artigo de Alyssa Miller sobre “Infosec Rockstars vs Influencers”) . Plataformas de mídia social e fóruns online estão inundados com conselhos, dicas e “treinamentos” de qualidade variável. Infelizmente, a quantidade muitas vezes abafa a qualidade, dificultando que os alunos discernam informações valiosas de meras especulações ou explicações simplificadas demais.

A abundância de conteúdo gratuito ou de baixo custo cria uma falsa percepção de que educação de alta qualidade em segurança cibernética deve ser facilmente acessível e barata. Como resultado, provedores de treinamento de renome como SANS Institute , CISA (Cybersecurity and Infrastructure Security Agency) e Cybrary , que oferecem cursos abrangentes, verificados e atualizados, são frequentemente percebidos como proibitivamente caros.

A realidade é que desenvolver e manter treinamento de segurança cibernética atual e de alta qualidade requer recursos e expertise significativos. No entanto, muitos aspirantes a profissionais de segurança cibernética, diante de taxas de curso que chegam a milhares de dólares, optam por alternativas mais acessíveis ou gratuitas. Essa escolha, embora compreensível de uma perspectiva financeira, frequentemente leva a lacunas em conhecimento e habilidades que podem ter consequências sérias em cenários de segurança cibernética do mundo real.

Essa tendência cria um ciclo vicioso. À medida que mais pessoas recorrem a recursos gratuitos ou baratos, há menos suporte financeiro para programas de treinamento de alta qualidade. Isso pode levar a um declínio na qualidade geral da educação em segurança cibernética, justamente quando a necessidade de profissionais qualificados está no auge.

Além disso, o foco na marca pessoal e no status de influenciador pode desviar a atenção da missão principal da segurança cibernética: proteger sistemas, dados e pessoas. Quando o objetivo se torna acumular seguidores em vez de desenvolver expertise profunda, a indústria como um todo sofre.

Outsourcing Boomerang: Lição tecnológica da história ignorada

A situação ecoa assustadoramente uma citação famosa da série Battlestar Galactica reimaginada: “ Tudo isso já aconteceu antes. Tudo isso vai acontecer de novo. ” De fato, vimos padrões semelhantes se desenrolarem em outros setores de tecnologia, mais notavelmente no boom da terceirização do início dos anos 2000.

Durante esse período, muitas empresas americanas correram para terceirizar o desenvolvimento de software para países como a Índia, atraídas por custos de mão de obra significativamente mais baixos. Embora essa estratégia parecesse economicamente sólida no curto prazo, ela teve consequências de longo alcance para a indústria de tecnologia dos EUA – leia este artigo de pesquisa “ Impacto da terceirização offshore de serviços de TI na economia dos EUA ” por Kalyan Chakraborty e William Remington para mais detalhes:

Offshoring de empregos: Um número substancial de empregos na indústria de serviços dos EUA, particularmente em TI, foi transferido para o exterior. Em 2015, estimou-se que 3,4 milhões de empregos na indústria de serviços dos EUA seriam transferidos para o exterior. Essa mudança foi motivada pela economia de custos associada à terceirização, que permitiu às empresas reduzir os preços de software e serviços, aumentar a produtividade e investir em novas tecnologias e ideias de negócios.

Ao terceirizar cargos de nível básico, as empresas americanas inadvertidamente criaram uma lacuna em seu pipeline de talentos domésticos. Os recém-formados acharam cada vez mais difícil obter a experiência necessária para progredir em suas carreiras. Quinze anos depois, os EUA agora enfrentam uma escassez de desenvolvedores seniores e gerentes técnicos experientes — profissionais que teriam começado a trabalhar nesses empregos de nível básico há uma década e meia.

Ironicamente, a maré da terceirização agora está se voltando contra os primeiros a adotar, como a Índia. À medida que as empresas buscam fontes de mão de obra cada vez mais baratas ou recorrem à automação, os trabalhadores de tecnologia indianos se veem enfrentando os mesmos desafios que seus colegas americanos enfrentaram anos atrás.

Os paralelos com o estado atual da segurança cibernética são claros e preocupantes. Ao subestimar o elemento humano na segurança cibernética – seja por meio de treinamento gratuito, preços de serviço baixíssimos ou dependência excessiva de IA – corremos o risco de criar uma lacuna de talentos semelhante neste campo crítico.

O setor de segurança cibernética deve aprender com essas lições históricas. Embora a inovação e a eficiência de custos sejam importantes, elas não devem vir às custas do desenvolvimento de talentos e expertise humanos. A natureza complexa e em constante evolução das ameaças cibernéticas exige uma força de trabalho que não seja apenas qualificada, mas também esteja em constante desenvolvimento e adaptação.

À medida que avançamos, é crucial encontrar um equilíbrio entre alavancar novas tecnologias e valorizar a expertise humana. Somente reconhecendo e compensando adequadamente as habilidades e os esforços dos profissionais de segurança cibernética podemos garantir uma defesa robusta e eficaz contra futuras ameaças digitais.

A natureza cíclica dessas tendências do setor serve como um lembrete de que ganhos de curto prazo geralmente levam a desafios de longo prazo. À medida que navegamos no futuro da segurança cibernética, vamos nos esforçar para quebrar esse ciclo e construir um modelo sustentável que valorize tanto a inovação quanto a expertise humana.

Resumo

O setor de segurança cibernética enfrenta um desafio crítico: a desvalorização da expertise e dos serviços, alimentada por treinamento gratuito, mas muitas vezes abaixo da média, e um cenário de informações supersaturado. Essa tendência, que lembra erros de terceirização do passado, ameaça minar a eficácia do campo contra ameaças digitais em evolução. Para proteger o futuro da segurança cibernética, as partes interessadas devem:

 Recognize the true value of expert knowledge and quality training

 Critically evaluate information sources and invest in reputable education

 Prioritize building a skilled workforce over personal brand promotion

Ao abordar essas questões-chave, o setor pode manter sua integridade, melhorar seu conjunto de talentos e aumentar sua capacidade de proteger nossa infraestrutura digital em um cenário de ameaças cada vez mais complexo.

Créditos

Gostaria de reconhecer uma discussão em andamento entre os fundadores do ThreatGEN e eu sobre como o treinamento gratuito e os serviços de baixo custo estão destruindo a segurança cibernética. Clint Bodungen , Aaron Shbeeb e Matthew Anderson sentiram isso em primeira mão. Jeff Whitney e Gary Leibowitz, como membros do conselho, estão ajudando a combater essa “ mentalidade gratuita ” predominante.

Também gostaria de reconhecer meu melhor amigo Patrick Anderson , que está vivenciando isso de outra perspectiva – o processo de terceirização de TI e implementação. Patrick e eu, juntamente com Eddie Tipton, fomos parceiros na Systems Evolution Incorporated nos primeiros anos de 1999 a 2003, e fizemos parte da terceirização onshore com empresas como EDS, Accenture e outras grandes empresas de consultoria. Mais tarde, na evolução da Systems Evolution (naquele ponto, uma empresa de capital aberto), adquirimos a Duration Software, que era a maior desenvolvedora de software personalizado do estado do Texas. Chris Montgomery , Rich Steinle , Frank Prevatt e Scott Friesen , entre outros, entendem os estágios posteriores da terceirização, pois estávamos competindo com a onda offshore.

Por fim, revelo que usei Claude , da Anthropic, para polir meus pensamentos, bem como o mecanismo de busca do Perplexity para referências que reforçam meus pensamentos.

Aqui está um link para o artigo original no LinkedIn.