Profissionais de segurança da informação: entre a formação académica e a autodidata

Entrevistámos alguns especialistas para saber o que pensam sobre a formação no campo da segurança da informação.

O crescimento dos ataques informáticos ao longo dos anos levou a um aumento da procura de profissionais em cibersegurança. De acordo com estudos recentes que tomam 2013 como referência, o crescimento das vagas no setor da cibersegurança deve crescer 350% até 2021. No entanto, estima-se que a escassez de profissionais com habilidades suficientes para fazer face às necessidades gere, para esse mesmo ano, três milhões e meio de vagas em todo o mundo que não serão preenchidas.

Tendo em conta este panorama e pensando especialmente nos mais jovens, e na educação em cibersegurança estamos a publicar todas as semanas de novembro, em comemoração do Antimalware Day 2019, decidimos perguntar a diferentes especialistas que trabalham na indústria de segurança de que forma receberam formação nesta área, se é realmente verdade que muitos dos profissionais que trabalham atualmente nesta área aprendem de forma autodidata, se consideram que a oferta académica está alinhada com esta necessidade crescente e o que pensam sobre a divulgação de especializações neste área de estudo.

Formação obtida de forma autodidata?

Apesar de cada vez mais universidades em todo o mundo oferecerem cursos de graduação em segurança da informação, ainda não é uma realidade em várias instituições. Muitos profissionais desta área desenvolveram as suas habilidades através de certificações e de forma autodidata. No entanto, embora não sejam tão divulgadas como deveriam ser se considerarmos a procura, a realidade é que a oferta está a aumentar, destacam os especialistas.

O conhecido investigador da ESET, Aryeh Goretsky, explica que começou a trabalhar no setor no final dos anos 80, e que no início não havia cursos ou certificações em cibersegurança. “Apesar de abordarem o tema da segurança da informação, o foco estava nos modelos de controlo de acesso e no conceito de segurança de sistemas informáticos para vários utilizadores; mas não numa perspetiva mais ampla ou como um sistema globalmente interligado. Portanto, quem estivesse interessado no conceito de cibersegurança, tendo em conta o comportamento dos computadores e redes, tinha de aprender sozinho com os livros e com as próprias experiências práticas”, destacou.

Marc Etienne Léveillé, investigador de malware no laboratório da ESET Canadá, que estudou desenvolvimento de software e engenharia de computadores, refere que “várias das coisas que aprendi na universidade não se aplicavam à minha posição de investigador, o que me levou a ter que ler e aprender sobre muitos aspetos de segurança por conta própria”.

Sem dúvida que, hoje o cenário contribui muito para a aprendizagem autodidata. Podemos ver isso com a oferta educacional e de qualidade oferecida por plataformas de cursos on-line massivos e abertos (MOOCs) como o Coursera, com a possibilidade que oferecem as redes sociais como o Twitter para partilhar constantemente informações e nas quais se conectam grandes profissionais a pessoas ansiosas para aprender – para além da quantidade de recursos disponíveis no YouTube, sites e outros repositórios. “Embora a autoaprendizagem seja um caminho possível e muitos profissionais deste setor tenham sido formados dessa forma, não é a única opção”, explica o investigador da ESET Brasil, Daniel Cunha Barbosa. “Também é verdade que a comunidade de tecnologia e segurança é cada vez maior, e boa parte dela gosta de partilhar conhecimentos, isto permite que profissionais consigam ter apoio e possam aprender com diversas pessoas, sem falar nos variados cursos de graduação e pós-graduação que visam preparar profissionais para atuar em vertentes cada vez mais diversas do mercado de cibersegurança”, acrescenta.

No entanto, apesar da necessidade de muitas vezes ter que aprender por conta própria muitos aspetos que fazem parte da segurança e do trabalho diário dos investigadores, vários concordam sobre o valor da formação académica. “Se eu tivesse que decidir novamente o caminho a seguir, escolheria novamente a universidade, porque me deu a oportunidade de conhecer muitas pessoas e participar de diferentes atividades extracurriculares”, diz Marc Etienne.

O crescimento da oferta académica em cibersegurança

Considerando o facto dos incidentes de segurança terem vindo a aumentar ao longo dos anos, também aumentou o desejo de padronizar os aspetos pedagógicos daqueles que pretendem ser formados neste setor, destaca Goretsky. “Em geral, acho que a ampla oferta educacional existente atualmente em todos os níveis da cibersegurança é positiva, mas também estou preocupado com a qualidade da formação oferecida”, destaca. “Precisamos de profissionais com conhecimento teórico e perfis operacionais, e todos eles precisam ter conhecimentos sólidos sobre a construção de blocos de sistemas complexos. Embora grande parte disto possa ser aprendido, a autoaprendizagem ainda é necessária para levar o conhecimento adquirido à construção de estruturas complexas e ao desenvolvimento de ideias, mas não sei se a oferta de cursos e certificações de pós-graduação oferece uma estrutura suficiente ou limitada que permite obter uma base sólida dos conceitos em cibersegurança”, acrescenta.

Em países como o Canadá, a oferta de cursos universitários em cibersegurança aumentou, diz Léveillé. “Agora existem cursos de graduação em segurança da informação, enquanto antes a única opção eram cursos de desenvolvimento de software ou redes informáticas. Da mesma forma, existe ainda uma necessidade crescente de profissionais no nosso setor. Talvez, com o esforço dos programas educacionais, vejamos dentro de alguns anos uma situação mais estável”, destaca.

Para Cunha Barbosa, “é mais positivo que haja cursos de especialização e pós-graduação do que graduação em si. Acredito ser mais interessante uma base mais ampla para graduação, para que o profissional possa conhecer mais coisas de tecnologia do que apenas foco em segurança, na minha perceção isso fará com que se torne um profissional mais bem preparado”.

Como os cursos de cibersegurança são disseminados?

Muitas vezes, os jovens enfrentam um processo difícil quando precisam decidir qual o curso que pretendem fazer. Muitos terminam o ensino médio sem ter muito claro sobre o que querem fazer da vida. Para além da multiplicidade de fatores que entram em jogo e dificultam este processo, o facto de não terem informações sobre os cursos menos tradicionais significa que os mais jovens não conseguem vincular os seus interesses e gostos pessoais a uma área de formação.

Vários especialistas concordam que a visibilidade dos cursos de cibersegurança é maior agora do que alguns anos atrás. “Antes era algo que se descobria por conta própria, mas agora vejo muito mais estudantes interessados ​​em segurança da informação do que nos meus dias de estudante. Agora podemos ver mais empresas e escolas que desejam despertar interesse nos estudantes”, diz Léveillé.

Por outro lado, “os jovens geralmente criam uma imagem errada sobre o que é a cibersegurança e deixam de perceber a real abrangência da área”, diz Aryeh Goretsky. Os jovens podem ter uma imagem protótipo de um hacker a fazer ataques informáticos e que dessa forma chegam à fama e somam dinheiro como atrativos, mas também é necessário explicar o que é realmente a cibersegurança. “Acho que há uma falta de conscientização a nível geral, já que a defesa de redes e dispositivos contra um ataque é geralmente uma tarefa mais difícil e intensa do que atacar essas redes e computadores. No entanto, o que a imprensa e a indústria do entretenimento transmitem é uma imagem tendenciosa e idealizada do atacante e não daqueles que trabalham do lado da defesa, o que distorce a visão do que é a cibersegurança”, destaca.

Segurança desde o projeto: um problema de formação?

Questionados sobre se consideram que os conteúdos sobre cibersegurança estudados durante o processo de formação dos futuros programadores e/ou desenvolvedores são suficientes para que, no momento que derem o salto para o mercado de trabalho, sejam treinados para fornecer sistemas seguros: “o desenvolvimento seguro é algo que recebe destaque no ensino atual. O problema é que os desenvolvedores precisam do incentivo para aplicar o que aprenderam. Os problemas de segurança no código devem ser detetados durante a revisão do código e devem ser resolvidos antes de serem incluídos no projeto. Se os desenvolvedores perceberem que seus códigos são sempre rejeitados, eles prestarão mais atenção e desenvolverão reflexos apropriados”, diz Marc Etienne.

O desenvolvimento de profissionais na área da segurança da informação deve ser constante devido à contínua evolução das ameaças. Considerando que existem atualmente muitas opções para desenvolver capacidades neste campo, tais como cursos, especializações, certificações e até mesmo materiais disponíveis para estudar de forma independente, é claro que não existe apenas uma única maneira de aprender.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

three + 9 =