Traduzido do Inglês para o Português - www.onlinedoctranslator.

com

Prática de segurança cibernética

Protegendo sua organização recrutando,

contratando e retendo talentos de
segurança cibernética para reduzir o
risco cibernético
Abandone os métodos convencionais. A proteção de talento para valor define as funções de segurança
cibernética mais importantes que demonstram a maior redução de risco para a empresa.

Este artigo é um esforço colaborativo de Venky Anant, Michael Glynn, Justin Greis, Nick Kosturos, Ida Kristensen, Charlie Lewis e Leandro Santos,
representando pontos de vista da Prática de Segurança Cibernética da McKinsey.

© Eva-Katalin/Getty Images

Junho de 2022
 Para atender aos requisitos de segurançaPara enfrentar ameaças em
evolução e tecnologia em constante mudança, as organizações devem se
adaptar e mudar a forma como gerenciavam a segurança cibernética
anteriormente. Embora os controles e recursos técnicos ainda
continuem sendo uma prioridade e um método comumente aceito de
proteger o ambiente, adaptar-se a uma nova abordagem para contratar
talentos de segurança cibernética pode resolver uma das principais
preocupações de muitos líderes de maneira econômica e econômica.
A contratação de talentos em segurança cibernética normalmente usa
uma abordagem de cima para baixo que preenche a maioria das
funções seniores primeiro antes de preencher as funções mais abaixo
no organograma. No entanto, devido à escassez de trabalhadores de
segurança cibernética e à necessidade de se concentrar em recursos
específicos de um grupo de talentos – às vezes com origens não
tradicionais – a abordagem de contratação padrão é menos eficaz
nesse mercado de trabalho competitivo.
Embora uma resposta possa ser investir dinheiro no problema e
contratar o maior número possível de trabalhadores para expandir sua
organização ao longo do tempo, essa abordagem não leva
necessariamente à redução do risco. Independentemente da abordagem
de recursos usada pelas empresas, a natureza mutável do risco
cibernético significa que as empresas precisam gerenciar talentos com
flexibilidade para se adaptar a novas ameaças.
Ao planejar e entender as necessidades de segurança
cibernética da organização de forma holística,
Exposição 1
A proteção de talento para valor permite que as organizações reduzam o risco de segurança
cibernética com menos funcionários e recursos.
Comparação de abordagens para gerenciamento de talentos de segurança
Gerenciamento de talentos de segurança tradicionalalinha o pessoal mais
experiente com a mais alta responsabilidade ou amplitude de controle; os
papéis mais importantes são definidos por hierarquia
2 Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético
é possível traçar um roteiro de contratação que se concentre
especificamente nas iniciativas cibernéticas mais críticas. Avaliar os
riscos, entender as prioridades e, em seguida, preencher essas
funções com base nos recursos e habilidades associadas pode
reduzir o risco e proteger o valor do negócio.
Aplique o talento à proteção do valor
As organizações líderes entendem o impacto e a probabilidade dos
riscos de segurança cibernética e tecnologia e procuram reduzir
esses riscos para viabilizar os negócios.
Não se trata apenas de quais recursos priorizar, mas
também de quais habilidades são necessárias, se você pode
encontrar essas habilidades dentro da organização e se
precisa contratar ou terceirizar.
A abordagem de proteção de talento para valor define as funções
mais importantes que mostram uma redução máxima no risco
ou criam a maior quantidade de valor de segurança (Quadro 1).
As funções prioritárias devem ser preenchidas com as
habilidades certas para eliminar o risco o mais rápido possível,
utilizando todos os recursos, capacidades e esforços de
recrutamento.
Como exemplo, uma organização passando por uma
transformação cibernética procurou preencher mais de
150 funções em todos os recursos. Após aplicar a
abordagem de proteção de talento para valor, os líderes
da empresa priorizaram a contratação com base em
Funções prioritárias
Proteção de talento para valordefine os papéis mais importantes como aqueles
que reduzem a quantidade máxima de risco; essa abordagem permite ~50%
menos novas contratações para redução de risco equivalente
riscos críticos de negócios e quais conhecimentos e habilidades barreira número um para atender às necessidades de segurança

foram necessários primeiro para proteger o negócio. de suas organizações. Sessenta por cento dos entrevistados

relatam que a escassez de pessoal de segurança cibernética está

O uso da proteção de talento para valor permite que você se colocando suas organizações em risco. As consequências da falta

mova na direção certa e reduza o risco por meio de contratação de pessoal de segurança cibernética são reais e criam desafios

focada e desenvolvimento de talentos. A estratégia ajuda a para o sucesso organizacional (Quadro 2).

identificar quais habilidades e funções associadas são a maior

prioridade para reduzir o risco de segurança cibernética – ou, em Dependendo do seu tipo de organização, a proteção de talento

outras palavras, quais podem demonstrar o maior “retorno do para valor pode funcionar de algumas maneiras diferentes:

investimento em risco”. Ele permite que você contrate a pessoa

certa 1.Organizações de segurança cibernética em estágio inicial.Para as

no momento certo - garantindo que os gastos com pessoal organizações que estão apenas começando suas jornadas de
estejam alinhados com o que deveriam ser baseados nas segurança, o primeiro foco é colocar os principais
aspirações de crescimento. participantes no lugar e configurar os recursos de

gerenciamento de programas. Essa abordagem se concentra

É importante entender onde concentrar os esforços de na execução de iniciativas estratégicas e atividades de

recrutamento, pois a escassez global de pessoal de segurança melhoria em paralelo; ele preenche as funções de

qualificado disponível para contratação exige abordagens criativas gerenciamento de forma proativa e supera a importância dos

para encontrar talentos. líderes (por exemplo, gerentes e diretores) para gerenciar

controles e operar recursos.

Falta de trabalhadores de segurança cibernética 2.Organizações de estado estacionário.Para organizações

Há uma escassez global de 2,72 milhões de trabalhadores qualificados com recursos de segurança cibernética bem
em segurança cibernética, de acordo com o Estudo da Força de estabelecidos, a principal prioridade é fazer
Trabalho de Segurança Cibernética de 2021 do International melhorias para proteger contra riscos emergentes. Essa

Information System Security Certification Consortium, ou (ISC).2. abordagem se concentra em oportunidades de melhoria

Profissionais de segurança cibernética disseram no estudo que a lacuna direcionadas; enfatiza especialistas de alto impacto ou

da força de trabalho continua sendo a funcionários-chave da linha de frente e coloca

Anexo 2

A escassez de pessoal de segurança cibernética pode criar desafios reais dentro de

uma organização.

Parcela de líderes de segurança cibernética relatando impacto devido a equipe de segurança cibernética insuficiente ng, %

Não há tempo suficiente Incapacidade de

para o risco adequado Supervisões fique ciente de

Mal entendido avaliação e Lento para corrigir em processo todas as ameaças ativas Apressado
sistemas gestão sistemas críticos e procedimento contra a rede implantações
32 30 29 28 27 27

Fonte:(ICS)2Estudo da Força de Trabalho de Segurança Cibernética, 2021, (ICS)2, 2021 (n = 4.750)

Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético 3
 A primeira prioridade é entender quais
recursos impactam diretamente os sistemas e
processos que impulsionam o valor do
negócio: as joias da coroa.

menos peso sobre gerentes e diretores por causa da Por exemplo, uma grande empresa latino-americana de petróleo e

estrutura de liderança existente. gás repriorizou seus gastos com segurança cibernética,

desenvolvimento de capacidades e liderança depois de analisar

3.Transformando organizações.As empresas em suas joias da coroa. A organização identificou o que mais

transformação priorizam novas contratações e importava e definiu claramente os riscos mais críticos. Esse esforço

habilidades em relação ao novo risco ou para proteger a de identificação da joia da coroa ajudou a fornecer uma

parte mais valiosa do novo negócio. Essa abordagem compreensão das necessidades mais críticas de talentos e permitiu

prioriza novas contratações para proteger o valor obtido que a organização criasse uma campanha de recrutamento

com a transformação do negócio, encontrando novos direcionada para desenvolver as capacidades de sua equipe.

talentos ou novas habilidades para reduzir riscos

potenciais.
À medida que as organizações de todos os setores correm para

defender seu valor comercial, é fundamental que elas acelerem

Proteja as joias da coroa para fechar as lacunas nos controles para reduzir o risco e ficar

A primeira prioridade é entender quais recursos impactam à frente dos invasores em evolução. De acordo com uma

diretamente os sistemas e processos que impulsionam o valor pesquisa da McKinsey de 2021, apenas 10% das organizações

do negócio: as joias da coroa. As joias da coroa são os ativos, estavam abordando funções avançadas de segurança

os dados e os aplicativos mais críticos para o valor e as cibernética, enquanto

operações do negócio. A implementação de uma abordagem 20% ultrapassaram a segurança cibernética madura, que deixou

baseada em risco para proteger esses ativos requer o 70% ainda para avançar totalmente para uma abordagem madura,

mapeamento dos controles necessários e a seleção das destacando ainda mais a necessidade de priorizar atividades de

pessoas certas para implementá-los. As organizações podem redução de risco que se concentrem primeiro na proteção de valor

usar estruturas existentes, como a Iniciativa Nacional para (Quadro 3).1

Educação em Segurança Cibernética (NICE), liderada pelo

Instituto Nacional de Padrões e Tecnologia (NIST), para focar a
organização nos tipos de habilidades necessárias para Contratação com base em suposições
controles prioritários. Esse autoexame ajuda a identificar o Organizações menos maduras geralmente assumem que devem

pessoal que pode ser aprimorado ou determinar quando contratar com base em funções cibernéticas, independentemente dos

novas contratações são necessárias. riscos específicos que enfrentam. A proteção de talento para valor se

concentra na contratação ou treinamento do pessoal certo

1 “Maturidade cibernética organizacional: uma pesquisa das indústrias”, McKinsey, 4 de agosto de 2021.

4 Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético
Anexo 3

A maioria das empresas ainda precisa atingir os níveis avançados de maturidade de

segurança cibernética exigidos pelo ambiente de negócios atual.

Nível médio de maturidade de segurança cibernética,pontuação (0-4)

Nível 4Abordagem proativa

Organizações líderes
10% da amostra estão se
aproximando do avançado
funções de segurança cibernética

Nível 3Funções avançadas Aspirantes a líderes

20% da amostra
ultrapassaram a maturidade
cíber segurança

Nível 2Fundações maduras Organizações restantes 70% da

amostra ainda precisa avançar
totalmente para uma abordagem
madura

Nível 1Gerenciamento ad hoc

Nível 0Capacidade zero

0 20 40 60 80 100
Parcela do tamanho da amostra, % (n = 114)

no momento certo, alinhando o risco com o apetite reduzirá esse risco e quem será necessário para reduzir esse risco.

de risco da organização. As organizações podem usar uma abordagem de três etapas para

adotar uma estrutura de proteção de talento para valor. Primeiro,

Com muita frequência, os diretores de segurança da informação identifique as atividades de segurança cibernética mais

(CISOs), diretores de informação (CIOs) e vice-presidentes de importantes com base nas necessidades da organização e nos

segurança são inundados pela tempestade diária de atividades riscos mais urgentes que devem ser mitigados. Em segundo lugar,

cibernéticas. O uso da proteção de talento para valor ajuda os defina os papéis mais importantes que levam à redução máxima

líderes a obter clareza sobre onde aplicar os recursos para reduzir de risco. Terceiro, crie descrições de cargos para as funções

melhor os riscos. Em vez disso, os líderes podem se concentrar em prioritárias e determine se a qualificação ou a contratação é a

traçar um roteiro para identificar as principais prioridades de melhor opção para cada cargo.

segurança e combinar talentos com elas. Os líderes podem reduzir

progressivamente o risco em áreas-chave, em vez de tentar mitigá-

lo de uma só vez. Etapa 1: Identificando as atividades priorizadas.Por meio da

modelagem de risco e da atribuição de pontuações a possíveis

vulnerabilidades com base no risco, a proteção de talento para

Uma abordagem de três etapas para implementar a valor torna possível criar uma lista de atividades para identificar as

proteção de talento para valor principais prioridades necessárias para executar a estratégia de

Essa abordagem requer um esforço colaborativo para segurança. Cada organização atribui pontuações de forma

entender e comunicar qual é o risco, o que diferente, mas todas devem trabalhar para

Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético 5
 avaliar o risco com base no negócio ou impacto operacional.
As pontuações de risco combinam a probabilidade e a
intenção de um invasor agir e a vulnerabilidade da
organização a esse risco específico. Por exemplo, uma
organização de tecnologia percebeu após a modelagem de
risco que o comprometimento da nuvem era um de seus
principais riscos cibernéticos, exigindo que a empresa
priorizasse as atividades que reduziam o maior risco, incluindo
a implementação de controles de segurança na nuvem sobre
os locais. Por meio dessa identificação, tornou-se possível
conciliar as atividades com as funções necessárias para
contratação, que exigiam requalificação e que deveriam ser
terceirizadas.
Etapa 2: Definir funções prioritárias.A próxima etapa seria
definir e priorizar as funções de segurança necessárias para
atender às principais prioridades baseadas em risco. Para a
organização mencionada acima, tornou-se prioridade preencher
as funções de segurança da nuvem para executar as atividades
necessárias para implementar os controles de nuvem mais
críticos. Uma vez definidas as funções prioritárias, é possível
criar as descrições de cargos do que a empresa precisa em cada
função.
Passo 3: Construir descrições de cargos e determinar qualificar ou
contratar.A etapa final é determinar se a função prioritária deve
ser preenchida pela qualificação dos funcionários existentes ou
pela contratação de novos talentos. Uma maneira de fazer isso é
desenvolver uma arquitetura de trabalho e função vinculada ao
catálogo de serviços de segurança da organização. Os catálogos de
serviços de segurança podem ser criados em torno de grupos
funcionais, como operações de segurança cibernética, governança,
engenharia e agrupamentos de serviços, como segurança na
nuvem ou governança de dados. A arquitetura de cargos e funções
organiza os cargos em famílias, funções, cargos e funções. As
funções podem acabar atribuídas a uma categoria e área de
especialidade provenientes de estruturas conhecidas como NIST/
NICE.
Cada descrição de trabalho para as funções prioritárias deve ser
descrita em detalhes: primeiro, construindo um resumo de alto
nível de tarefas, habilidades e antecedentes para a pessoa que
preencherá a função; segundo, escrevendo os detalhes do papel;
terceiro, identificando as tarefas, conhecimentos, habilidades e
habilidades relevantes para a função.
6 Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético
Quando as descrições de cargos para as funções prioritárias
estiverem concluídas, os líderes poderão analisar quem em sua
equipe de segurança cibernética atual pode se encaixar bem
nessas funções. Em alguns casos, é mais rápido e mais barato
aprimorar esse membro da equipe por meio de treinamento. Às
vezes, upskilling não é viável. Nesse caso, os líderes podem usar a
descrição detalhada do cargo para iniciar a busca de contratação –
com grande confiança no tipo de indivíduo que precisam recrutar.
Para uma empresa de tecnologia, criar e preencher uma variedade
de descrições de cargos de engenheiro de segurança em nuvem
era uma prioridade. A empresa rapidamente reconheceu a
necessidade de contratar funções de segurança de nuvem
adicionais depois de analisar o conhecimento e as habilidades da
equipe usando estruturas NIST/NICE e ver uma lacuna na
capacidade de reduzir os principais riscos.
Interno ou terceirizado
Mesmo com essa abordagem, construir uma equipe interna de
segurança cibernética específica da organização pode não ser
viável devido ao talento disponível, recursos ou outro motivo. Às
vezes, faz sentido terceirizar talentos para acelerar a
implementação e dimensionar o suporte de segurança mais
rapidamente. Por exemplo, ao passar por uma transformação
cibernética em larga escala, um produtor de petróleo priorizou a
terceirização de operações de segurança, dada sua geografia e as
habilidades que existiam na equipe de segurança, reduzindo
assim o risco.
O CISO, que tinha um forte histórico de segurança cibernética,
construiu uma equipe enxuta de vários gerentes de programa
com uma compreensão geral de segurança cibernética. Fora
dessa pequena equipe, todas as outras funções de segurança
cibernética foram terceirizadas. Ao entender o que a
organização precisava e onde contratar talentos versus serviços
de compra, a empresa conseguiu atingir suas metas de
maturidade de segurança cibernética dentro dos prazos e
aumentar sua segurança de tecnologia operacional para novos
níveis.
Modelo para o sucesso
A proteção de talento para valor cria um modelo para as
funções e as necessidades de uma organização onde as
empresas podem começar a criar um plano sobre como
 atrair, reter e treinar talentos e encontrar as lacunas em seus quando. Os líderes aprendem as especificações de trabalho e os

programas de segurança e pool de talentos. Isso ajuda a trabalhos para os quais devem contratar, o que lhes permite dizer:

priorizar quem a organização precisa direcionar para o “Não preciso de um gerente de segurança na nuvem; em vez disso, eu

recrutamento e como se concentrar na retenção do pessoal precisam de arquitetos de segurança na nuvem com experiência em

mais crítico. Ele ajuda a identificar novos requisitos de transferir cargas de trabalho para a nuvem.”

segurança cibernética, ajudando a determinar se essas

necessidades podem ser atendidas por funcionários Nesta era de falta de pessoal de segurança qualificado, a
qualificados. Se a organização não pode aprimorar seus colegas proteção de talento para valor permite que as organizações
de equipe, ela pode contratar. sejam mais estratégicas em suas contratações. Ao vincular isso à

abordagem baseada em risco, uma organização terá uma lista

Encontre mais conteúdos como este no

A proteção de talento para valor ajuda a empresa a priorizada de funções a serem contratadas para construir uma

Aplicativo McKinsey Insights entender o que precisa, quem precisa contratar e empresa segura.

Venky Ananté sócio do escritório da McKinsey na Bay Area;Michael Glynné consultor no escritório de Washington, DC; Justin
Greisé sócio do escritório de Chicago;Nick Kosturosé especialista no escritório de Nova York, ondeIda Kristensené um sócio
sênior;Charlie Lewisé sócio associado no escritório de Stamford; eLeandro Santosé sócio sênior no escritório de Atlanta.

Projetado pela McKinsey Global Publishing

Digitalizar • Baixar • Personalizar Direitos autorais © 2022 McKinsey & Company. Todos os direitos reservados.

Protegendo sua organização recrutando, contratando e retendo talentos de segurança cibernética para reduzir o risco cibernético 7