Escolar Documentos
Profissional Documentos
Cultura Documentos
com
Este artigo é um esforço colaborativo de Venky Anant, Michael Glynn, Justin Greis, Nick Kosturos, Ida Kristensen, Charlie Lewis e Leandro Santos,
representando pontos de vista da Prática de Segurança Cibernética da McKinsey.
© Eva-Katalin/Getty Images
Junho de 2022
Para atender aos requisitos de segurançaPara enfrentar ameaças em é possível traçar um roteiro de contratação que se concentre
evolução e tecnologia em constante mudança, as organizações devem se especificamente nas iniciativas cibernéticas mais críticas. Avaliar os
adaptar e mudar a forma como gerenciavam a segurança cibernética riscos, entender as prioridades e, em seguida, preencher essas
anteriormente. Embora os controles e recursos técnicos ainda funções com base nos recursos e habilidades associadas pode
continuem sendo uma prioridade e um método comumente aceito de reduzir o risco e proteger o valor do negócio.
nesse mercado de trabalho competitivo. A abordagem de proteção de talento para valor define as funções
cibernético significa que as empresas precisam gerenciar talentos com Como exemplo, uma organização passando por uma
flexibilidade para se adaptar a novas ameaças. transformação cibernética procurou preencher mais de
150 funções em todos os recursos. Após aplicar a
Ao planejar e entender as necessidades de segurança abordagem de proteção de talento para valor, os líderes
cibernética da organização de forma holística, da empresa priorizaram a contratação com base em
Exposição 1
A proteção de talento para valor permite que as organizações reduzam o risco de segurança
cibernética com menos funcionários e recursos.
Gerenciamento de talentos de segurança tradicionalalinha o pessoal mais Proteção de talento para valordefine os papéis mais importantes como aqueles
experiente com a mais alta responsabilidade ou amplitude de controle; os que reduzem a quantidade máxima de risco; essa abordagem permite ~50%
papéis mais importantes são definidos por hierarquia menos novas contratações para redução de risco equivalente
2 Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético
riscos críticos de negócios e quais conhecimentos e habilidades barreira número um para atender às necessidades de segurança
foram necessários primeiro para proteger o negócio. de suas organizações. Sessenta por cento dos entrevistados
O uso da proteção de talento para valor permite que você se colocando suas organizações em risco. As consequências da falta
mova na direção certa e reduza o risco por meio de contratação de pessoal de segurança cibernética são reais e criam desafios
focada e desenvolvimento de talentos. A estratégia ajuda a para o sucesso organizacional (Quadro 2).
prioridade para reduzir o risco de segurança cibernética – ou, em Dependendo do seu tipo de organização, a proteção de talento
outras palavras, quais podem demonstrar o maior “retorno do para valor pode funcionar de algumas maneiras diferentes:
recrutamento, pois a escassez global de pessoal de segurança melhoria em paralelo; ele preenche as funções de
qualificado disponível para contratação exige abordagens criativas gerenciamento de forma proativa e supera a importância dos
para encontrar talentos. líderes (por exemplo, gerentes e diretores) para gerenciar
Information System Security Certification Consortium, ou (ISC).2. abordagem se concentra em oportunidades de melhoria
Profissionais de segurança cibernética disseram no estudo que a lacuna direcionadas; enfatiza especialistas de alto impacto ou
Anexo 2
Parcela de líderes de segurança cibernética relatando impacto devido a equipe de segurança cibernética insuficiente ng, %
Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético 3
A primeira prioridade é entender quais
recursos impactam diretamente os sistemas e
processos que impulsionam o valor do
negócio: as joias da coroa.
menos peso sobre gerentes e diretores por causa da Por exemplo, uma grande empresa latino-americana de petróleo e
estrutura de liderança existente. gás repriorizou seus gastos com segurança cibernética,
3.Transformando organizações.As empresas em suas joias da coroa. A organização identificou o que mais
transformação priorizam novas contratações e importava e definiu claramente os riscos mais críticos. Esse esforço
habilidades em relação ao novo risco ou para proteger a de identificação da joia da coroa ajudou a fornecer uma
parte mais valiosa do novo negócio. Essa abordagem compreensão das necessidades mais críticas de talentos e permitiu
prioriza novas contratações para proteger o valor obtido que a organização criasse uma campanha de recrutamento
com a transformação do negócio, encontrando novos direcionada para desenvolver as capacidades de sua equipe.
Proteja as joias da coroa para fechar as lacunas nos controles para reduzir o risco e ficar
A primeira prioridade é entender quais recursos impactam à frente dos invasores em evolução. De acordo com uma
diretamente os sistemas e processos que impulsionam o valor pesquisa da McKinsey de 2021, apenas 10% das organizações
do negócio: as joias da coroa. As joias da coroa são os ativos, estavam abordando funções avançadas de segurança
operações do negócio. A implementação de uma abordagem 20% ultrapassaram a segurança cibernética madura, que deixou
baseada em risco para proteger esses ativos requer o 70% ainda para avançar totalmente para uma abordagem madura,
mapeamento dos controles necessários e a seleção das destacando ainda mais a necessidade de priorizar atividades de
pessoas certas para implementá-los. As organizações podem redução de risco que se concentrem primeiro na proteção de valor
pessoal que pode ser aprimorado ou determinar quando contratar com base em funções cibernéticas, independentemente dos
novas contratações são necessárias. riscos específicos que enfrentam. A proteção de talento para valor se
1 “Maturidade cibernética organizacional: uma pesquisa das indústrias”, McKinsey, 4 de agosto de 2021.
4 Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético
Anexo 3
no momento certo, alinhando o risco com o apetite reduzirá esse risco e quem será necessário para reduzir esse risco.
de risco da organização. As organizações podem usar uma abordagem de três etapas para
Com muita frequência, os diretores de segurança da informação identifique as atividades de segurança cibernética mais
(CISOs), diretores de informação (CIOs) e vice-presidentes de importantes com base nas necessidades da organização e nos
segurança são inundados pela tempestade diária de atividades riscos mais urgentes que devem ser mitigados. Em segundo lugar,
cibernéticas. O uso da proteção de talento para valor ajuda os defina os papéis mais importantes que levam à redução máxima
líderes a obter clareza sobre onde aplicar os recursos para reduzir de risco. Terceiro, crie descrições de cargos para as funções
melhor os riscos. Em vez disso, os líderes podem se concentrar em prioritárias e determine se a qualificação ou a contratação é a
traçar um roteiro para identificar as principais prioridades de melhor opção para cada cargo.
Uma abordagem de três etapas para implementar a valor torna possível criar uma lista de atividades para identificar as
proteção de talento para valor principais prioridades necessárias para executar a estratégia de
Essa abordagem requer um esforço colaborativo para segurança. Cada organização atribui pontuações de forma
entender e comunicar qual é o risco, o que diferente, mas todas devem trabalhar para
Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético 5
avaliar o risco com base no negócio ou impacto operacional. Quando as descrições de cargos para as funções prioritárias
As pontuações de risco combinam a probabilidade e a estiverem concluídas, os líderes poderão analisar quem em sua
intenção de um invasor agir e a vulnerabilidade da equipe de segurança cibernética atual pode se encaixar bem
organização a esse risco específico. Por exemplo, uma nessas funções. Em alguns casos, é mais rápido e mais barato
organização de tecnologia percebeu após a modelagem de aprimorar esse membro da equipe por meio de treinamento. Às
risco que o comprometimento da nuvem era um de seus vezes, upskilling não é viável. Nesse caso, os líderes podem usar a
principais riscos cibernéticos, exigindo que a empresa descrição detalhada do cargo para iniciar a busca de contratação –
priorizasse as atividades que reduziam o maior risco, incluindo com grande confiança no tipo de indivíduo que precisam recrutar.
a implementação de controles de segurança na nuvem sobre Para uma empresa de tecnologia, criar e preencher uma variedade
os locais. Por meio dessa identificação, tornou-se possível de descrições de cargos de engenheiro de segurança em nuvem
conciliar as atividades com as funções necessárias para era uma prioridade. A empresa rapidamente reconheceu a
contratação, que exigiam requalificação e que deveriam ser necessidade de contratar funções de segurança de nuvem
Etapa 2: Definir funções prioritárias.A próxima etapa seria capacidade de reduzir os principais riscos.
níveis.
Cada descrição de trabalho para as funções prioritárias deve ser
nível de tarefas, habilidades e antecedentes para a pessoa que Modelo para o sucesso
preencherá a função; segundo, escrevendo os detalhes do papel; A proteção de talento para valor cria um modelo para as
terceiro, identificando as tarefas, conhecimentos, habilidades e funções e as necessidades de uma organização onde as
habilidades relevantes para a função. empresas podem começar a criar um plano sobre como
6 Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético
atrair, reter e treinar talentos e encontrar as lacunas em seus quando. Os líderes aprendem as especificações de trabalho e os
programas de segurança e pool de talentos. Isso ajuda a trabalhos para os quais devem contratar, o que lhes permite dizer:
priorizar quem a organização precisa direcionar para o “Não preciso de um gerente de segurança na nuvem; em vez disso, eu
recrutamento e como se concentrar na retenção do pessoal precisam de arquitetos de segurança na nuvem com experiência em
mais crítico. Ele ajuda a identificar novos requisitos de transferir cargas de trabalho para a nuvem.”
necessidades podem ser atendidas por funcionários Nesta era de falta de pessoal de segurança qualificado, a
qualificados. Se a organização não pode aprimorar seus colegas proteção de talento para valor permite que as organizações
de equipe, ela pode contratar. sejam mais estratégicas em suas contratações. Ao vincular isso à
Aplicativo McKinsey Insights entender o que precisa, quem precisa contratar e empresa segura.
Venky Ananté sócio do escritório da McKinsey na Bay Area;Michael Glynné consultor no escritório de Washington, DC; Justin
Greisé sócio do escritório de Chicago;Nick Kosturosé especialista no escritório de Nova York, ondeIda Kristensené um sócio
sênior;Charlie Lewisé sócio associado no escritório de Stamford; eLeandro Santosé sócio sênior no escritório de Atlanta.
Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético 7