O crescimento dos ciberataques ao longo dos anos levou a um aumento da demanda de profissionais no campo da segurança da informação. De acordo com estudos recentes que tomam 2013 como referência, o crescimento de vagas no setor de cibersegurança deve crescer 350% até 2021. No entanto, estima-se que a escassez de profissionais com habilidades suficientes para atender a essa demanda gere, para esse mesmo ano, três milhões e meio de vagas em todo o mundo que não serão preenchidas.
Tendo em conta este panorama e pensando especialmente nos mais jovens, como parte da série sobre educação em cibersegurança que estamos publicando todas as segundas-feiras de novembro, em comemoração ao Antimalware Day 2019, decidimos perguntar a diferentes especialistas que trabalham na indústria de segurança como eles foram formados neste campo, se é realmente verdade que muitos dos profissionais que trabalham atualmente nesse campo aprendem de forma autodidata, se consideram que a oferta acadêmica está alinhada com esta demanda crescente e o que pensam sobre a divulgação de especializações neste campo de estudo.
Uma formação adquirida de forma autodidata?
Apesar de cada vez mais universidades ao redor do mundo oferecerem cursos de graduação em segurança da informação, ainda não é uma realidade em várias instituições. Muitos profissionais desta área adquiriram suas habilidades através de certificações e de forma autodidata. No entanto, embora não sejam tão divulgadas como deveriam ser se considerarmos a demanda, a realidade é que a oferta está aumentando, destacam os especialistas.
O renomado pesquisador da ESET, Aryeh Goretsky, explica que começou a trabalhar no setor no final dos anos 80, e que no início não havia cursos ou certificações sobre cibersegurança. “Apesar de nos ensinarem sobre segurança da informação, o foco estava nos modelos de controle de acesso e no conceito de segurança de sistemas de computador para vários usuários; mas não de uma perspectiva mais ampla ou como um sistema globalmente interconectado. Portanto, quem estivesse interessado no conceito de cibersegurança, levando em conta o comportamento dos computadores e das redes interconectadas entre si, teria que aprender sozinho com os livros e com as próprias experiências práticas”, destacou.
Marc Etienne Léveillé, pesquisador de malware no laboratório da ESET Canadá, que estudou desenvolvimento de software e engenharia de computadores, explica que “várias das coisas que aprendi na universidade não se aplicavam à minha posição de pesquisador, o que me levou a ter que ler e aprender sobre muitos aspectos da segurança por conta própria”.
Sem dúvida, hoje o cenário contribui muito para a aprendizagem autodidata. Podemos ver isso com a oferta educacional e de qualidade oferecida por plataformas de cursos on-line massivos e abertos (MOOCs) como o Coursera, com a possibilidade que oferecem as redes sociais como o Twitter para compartilhar constantemente informações e nas quais se conectam grandes profissionais com pessoas ansiosas para aprender - além da quantidade de recursos disponíveis no YouTube, sites e outros repositórios. “Embora a auto-aprendizagem seja um caminho possível e muitos profissionais desse setor tenham sido formados dessa maneira, não é a única opção”, explica o pesquisador da ESET Brasil, Daniel Cunha Barbosa. "Também é verdade que a comunidade de tecnologia e segurança é cada vez maior e boa parte dela gosta de compartilhar conhecimentos, isso permite que profissionais consigam ter apoio e possam aprender com um ótimo respaldo de muitas pessoas, sem falar nos diversos cursos de graduação e pós-graduação que visam preparar profissionais para atuar em vertentes cada vez mais variadas do mercado de segurança da informação”, acrescenta.
No entanto, apesar da necessidade de muitas vezes ter que aprender por conta própria muitos aspectos que fazem parte da segurança e do trabalho diário dos pesquisadores, vários concordam sobre o valor da formação acadêmica. "Se eu tivesse que decidir novamente o caminho a seguir, escolheria novamente a universidade, porque me deu a oportunidade de conhecer muitas pessoas e participar de diferentes atividades extracurriculares", diz Marc Etienne.
O crescimento da oferta acadêmica no campo da segurança da informação
Considerando que os incidentes de segurança aumentaram ao longo dos anos, também aumentou o desejo de padronizar os aspectos pedagógicos daqueles que pretendem ser formados neste setor, destaca Goretsky. “Em geral, acho que a ampla oferta educacional existente atualmente em todos os níveis da cibersegurança é positiva, mas também estou preocupado com a qualidade da educação oferecida”, destaca. “Precisamos de profissionais com conhecimento teórico e perfis operacionais, e todos eles precisam ter conhecimentos sólidos sobre a construção de blocos de sistemas complexos. Embora muito disso possa ser aprendido, a auto-aprendizagem ainda é necessária para levar o conhecimento adquirido à construção de estruturas complexas e ao desenvolvimento de ideias, mas não sei se a oferta de cursos e certificações de pós-graduação oferece uma estrutura suficiente ou limitada que permite obter uma base sólida dos conceitos em cibersegurança”, acrescenta.
Em países como o Canadá, a oferta de cursos universitários em cibersegurança aumentou, diz Léveillé. “Agora existem cursos de graduação em segurança da informação, enquanto antes a única opção era cursar algo como desenvolvedor de software ou redes de computadores. Da mesma forma, ainda há uma demanda crescente por profissionais no nosso setor. Talvez, com o esforço dos programas educacionais, veremos em alguns anos uma situação mais estável”, destaca.
Para Cunha Barbosa, “é mais positivo que hajam cursos de especialização e pós-graduação do que graduação em si. Acredito ser mais interessante uma base mais ampla para graduação, para que o profissional possa conhecer mais coisas de tecnologia do que apenas foco em segurança, na minha percepção isso o tornará um profissional mais bem preparado”.
Como os cursos de cibersegurança são disseminados?
Muitas vezes, os jovens enfrentam um processo difícil quando precisam decidir qual curso pretendem fazer. Muitos terminam o ensino médio sem ter muita clareza sobre o que querem fazer da vida. Além da multiplicidade de fatores que entram em jogo e dificultam esse processo, o fato de não ter informações sobre cursos menos tradicionais significa que os jovens não conseguem vincular seus interesses e gostos pessoais a uma área de formação.
Vários especialistas concordam que a visibilidade dos cursos de cibersegurança é maior agora do que alguns anos atrás. “Antes era algo que você tinha que descobrir por conta própria, mas agora vejo muito mais estudantes interessados em segurança da informação do que nos meus dias de estudante. Agora podemos ver mais empresas e escolas que desejam despertar interesse nos estudantes”, diz Léveillé.
Por outro lado, "os jovens geralmente criam uma imagem errada sobre o que é a cibersegurança e deixam de perceber a real abrangência da área", diz Aryeh Goretsky. Os jovens podem ter a imagem protótipo de um hacker atacando computadores e adquirindo fama e dinheiro como atrativos, mas também é necessário explicar o que a cibersegurança faz. “Acho que há uma falta de conscientização em nível geral, já que a defesa de redes e dispositivos contra um ataque é geralmente uma tarefa mais difícil e intensa do que atacar essas redes e computadores. No entanto, o que a imprensa e a indústria do entretenimento transmitem é uma imagem tendenciosa e idealizada do atacante e não daqueles que trabalham do lado da defesa, o que distorce a visão do que é a cibersegurança”, destaca.
Segurança desde o projeto: um problema de formação?
Questionados sobre se consideram que os conteúdos sobre cibersegurança vistos durante o processo de formação dos futuros programadores e/ou desenvolvedores são suficientes para que, quando os profissionais dêem um salto para o mercado de trabalho, sejam treinados para fornecer sistemas seguros: "o desenvolvimento seguro é algo que recebe destaque no ensino atual. O problema é que os desenvolvedores precisam do incentivo para aplicar o que aprenderam. Os problemas de segurança no código devem ser detectados durante a revisão do código e devem ser resolvidos antes de serem incluídos no projeto. Se os desenvolvedores perceberem que seus códigos são sempre rejeitados, eles prestarão mais atenção e desenvolverão reflexos apropriados”, diz Marc Etienne.
O desenvolvimento de profissionais na área da segurança da informação deve ser constante devido à contínua evolução das ameaças. Considerando que existem atualmente muitas opções para desenvolver habilidades neste campo, tais como cursos, especializações, certificações e até mesmo materiais disponíveis para estudar de forma independente, é claro que não há apenas uma única maneira de aprender.