Profissional de cibersegurança: procura-se
Há oferta e há muito dinheiro na área da cibersegurança. Mas faltam profissionais na área, falta formação para os criar, e falta interesse. O problema é global.
Os especialistas em cibersegurança – capazes de prevenir, detectar e resolver ameaças informáticas – estão entre os especialistas mais cobiçados por empresas. Com as pessoas a passar cada vez mais tempo online e com as empresas e serviços públicos cada vez mais informatizados, o risco de ciberataques é maior e também aumenta a gravidade que estes podem ter. Um ciberataque em massa pode bloquear o acesso a serviços essenciais. No ano passado, por exemplo, vários doentes em hospitais no Reino Unido tiveram de ser transferidos para outras instituições devido a computadores infectados com o vírus WannaCry. Em Portugal, o Serviço Nacional de Saúde não registou incidentes, mas, preventivamente, deixou de aceitar emails vindos de entidades externas.
A verdade faz-nos mais fortes
Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.
Os especialistas em cibersegurança – capazes de prevenir, detectar e resolver ameaças informáticas – estão entre os especialistas mais cobiçados por empresas. Com as pessoas a passar cada vez mais tempo online e com as empresas e serviços públicos cada vez mais informatizados, o risco de ciberataques é maior e também aumenta a gravidade que estes podem ter. Um ciberataque em massa pode bloquear o acesso a serviços essenciais. No ano passado, por exemplo, vários doentes em hospitais no Reino Unido tiveram de ser transferidos para outras instituições devido a computadores infectados com o vírus WannaCry. Em Portugal, o Serviço Nacional de Saúde não registou incidentes, mas, preventivamente, deixou de aceitar emails vindos de entidades externas.
Os salários nesta área são bons, mas isso não chega para atrair todos os profissionais necessários. Em Portugal, um especialista que começa a trabalhar em cibersegurança pode ganhar entre 21 mil euros e 24 mil euros, brutos, por ano. Profissionais com experiência podem chegar aos 70 mil euros anuais, a que se somam vários benefícios extra. Porém, a cibersegurança é uma área que gera pouco interesse, em que há pouca formação universitária especializada, e onde os profissionais não ficam muito tempo na mesma empresa.
Jorge Alcobia, director executivo da Multicert, uma empresa de segurança informática, diz que tem “uma dúzia de profissionais” nesta área, mas “com outra dúzia, continuava a não ter o suficiente para a quantidade de oportunidades que há para explorar”. A situação é semelhante noutras empresas, e a escassez também se faz sentir no sector público: Pedro Veiga, o ex-coordenador do Centro Nacional de Cibersegurança (CNCS), que se demitiu recentemente do cargo, admitiu na altura que o centro tinha fortes “dificuldades em contratar pessoas”.
A situação tem vindo a agravar-se nos últimos dois meses, diz Vasco Teixeira, gestor sénior na empresa de recrutamento Michael Page. “É uma combinação de vários factores: a fuga de talento para o estrangeiro, o novo regulamento sobre a protecção de dados, e a necessidade de estar protegido.”
Um perfil raro
“A guerra de talento resultou num aumento salarial nos últimos anos nesta área, mas obviamente que tudo depende das competências de cada profissional”, diz Beatriz Carrizo, directora de recursos humanos na S21Sec, uma empresa de segurança informática (que pertence ao grupo Sonae, dono do PÚBLICO). Desde 2016 que a empresa tenta recrutar mais destes profissionais. Actualmente, há 55 processos de selecção abertos, tanto a nível nacional, no Porto e Lisboa, como em Espanha e na América Latina. Beatriz Carrizo refere que a “capacidade para trabalhar em equipa” é fundamental, com "profissionais orientados a pessoas e a clientes". Encontrar pessoas não é fácil e a S21Sec optou por oferecer vários programas de formação específicos a profissionais que tenham cursos em tecnologias de informação.
“Procura-se cada vez mais a combinação de um perfil especializado e as chamadas soft skills”, resume Vasco Teixeira, da Michael Page. “É preciso um papel pró-activo ao falar com outras empresas, e também um papel de evangelização dentro da própria organização, ao definir e explicar o que são boas práticas de segurança e garantir que os trabalhadores as aplicam.”
“Têm um perfil raro, que é difícil de encontrar. E não há formação académica específica em Portugal”, nota, por seu lado, Jorge Alcobia, da Multicert. “Pode-se tirar engenharia informática, administração de sistemas, mas tem de se entrar na área por interesse pessoal, desenvolvido fora de horas. Geralmente, as pessoas que entram nesta área desenvolvem uma curiosidade sobre o tema aos 13 ou 14 anos e mantêm-na ao longo dos anos.” As ofertas universitárias, argumenta Alcobia, não são suficientes. Por norma, as empresas preferem contratar profissionais que já estão no mercado há pelo menos dois anos. “Há quem chegue ao pé de nós e diga que tem muito interesse na área, mas é preciso ter experiência", diz. “Há cursos pequenos, mas existe uma falha ao nível do ensino superior.”
Em 2018, só há uma licenciatura focada em cibersegurança em Portugal: a de Segurança Informática em Redes de Computadores da Escola Superior de Tecnologia e Gestão do Instituto Politécnico do Porto. "A empregabilidade não poderia estar melhor”, diz João Paulo Magalhães, o professor que coordena a licenciatura. “Sinto isso no dia-a-dia, quando, por diversos canais, me perguntam sobre a disponibilidade de estudantes para abraçar desafios profissionais.” As vinte vagas disponíveis para o concurso nacional são preenchidas na primeira fase, e as médias têm vindo a subir, bem como o número de estudantes que seleccionam a licenciatura como primeira opção. As outras opções académicas são uma licenciatura em engenharia informática ou em redes e sistemas, antes de se seguir para um mestrado ou especialização técnica na área.
“Não há muitas licenciaturas e dificilmente haverá", defende Manuel Eduardo Correia, responsável pelo mestrado em Segurança Informática da Universidade do Porto. “Muito antes de fazer uma especialização é preciso ter bases que só se conseguem em áreas como engenharia informática. Um mestrado como o nosso é a resposta mais comum a nível da Europa e a nível internacional.” Luís Rodrigues, responsável pela licenciatura e mestrado em Engenharia Informática e de Computadores do Instituto Superior Técnico, em Lisboa, concorda que uma aprendizagem muito direccionada no início dos estudos não faz sentido: “Não é interessante ingressar num curso excessivamente focado. Uma especialização com esse cariz faz mais sentido no contexto da formação pós-graduada, já no mercado de trabalho."
Problema global
Os problemas, porém, não acabam com a contratação. “É muito difícil reter”, frisa Jorge Alcobia. “Não são pessoas que procuram progressão de carreira a nível hierárquico, mas sim novas oportunidades e desafios. Tendem a ficar um ou dois anos numa empresa antes de decidir que já aprenderam o suficiente.” Deixar o emprego não é problema. “É fácil saltar de um lado para o outro”, diz.
Recrutar profissionais fora do país não é solução, porque a escassez é global. Até 2022, o mundo vai precisar de 1,8 milhões de profissionais de cibersegurança – que não existem – para lidar com o número crescente de ataques. Os dados vêm da ISC2, uma associação internacional para profissionais de cibersegurança, que em 2017 realizou inquéritos sobre o tema em 170 países.
“Há um problema global de pessoas”, explica John McCumber, director daquela associação. “É preciso trabalhar com organizações públicas e privadas, e com governos, para desenvolver formas mais criativas e acessíveis de entrar na área através de escolas vocacionais, estágios, e mais."
Segundo o relatório da ISC2, 19% dos profissionais a trabalhar hoje na área vieram de áreas alheias à informática como vendas, finanças, marketing e contabilidade. E, embora outras áreas das tecnologias de informação já comecem a ver um maior equilíbrio de géneros, a área da cibersegurança é ocupada quase a 100% por homens.
“Em Portugal, há claramente mais homens do que mulheres”, diz Vasco Teixeira, da Michael Page. “Mas acredito que não é algo para que os recrutadores olham. Numa área em que já há falta de trabalhadores, se o mercado estivesse a estrangular pelo género, perdia ainda mais.”