*Carlos Borella
Não é novidade que um dos reflexos da aceleração dos processos de transformação digital trazida pela pandemia de covid-19 foi o aumento de riscos à segurança cibernética. Com a pressão cada vez maior sobre as equipes de TI para fazer entregas mais e mais rápidas, a gestão de riscos sobre os ativos nem sempre foi deixada em primeiro plano.
Esse contexto trouxe uma explosão de incidentes cyber security e muitas empresas demoraram um tempo considerável para encontrar o seu “modus operandi” para lidar com este novo cenário. O próximo passo era olhar com mais atenção para as políticas e soluções de segurança que têm em mãos.
Uma das primeiras constatações deste momento é que há no mercado um grande problema de disponibilidade de profissionais de cyber security. Isso torna bastante complicado montar e manter uma equipe interna com foco específico em cyber security, lembrando sempre que o ecossistema não tem conseguido formar profissionais em número suficiente para atender a demanda do mercado.
De todo modo, seja interna ou com terceiros (através de serviços), muitas empresas estão se deparando nesse momento com o desafio de estruturar suas equipes de segurança. É bom lembrar que definir se as posições serão internas ou como serviço, é um decisão estratégica. Independente do modelo, é preciso dimensionar essa equipe de forma efetiva e para isso os responsáveis pelas áreas de segurança das empresas precisam de um framework (uma base de cálculo) que lhes permita defender seu orçamento e investimentos em head count..
O fato é que, cada vez mais, as empresas vão precisar de equipes corretamente dimensionadas e com conhecimento específico em cyber security. Mesmo não havendo um framework único que possa apoiar esta definição, já é possível encontrar alguns estudos de casos e benchmarkings que sugerem um dimensionamento adequado. Citamos alguns exemplos:
• A EDUCASE Research and Education sugere alocar um profissional de cyber security para cada mil recursos de processamento de informação (rede, servidores, workstation, dispositivos móveis etc.). Neste caso, para uma operação com 1,2 mil recursos de processamento de informação, teríamos 1,2 FTE (Full-time Equivalent), ou um profissional;
• Já o Computer Secutity Institute (CSI) propõe que os profissionais de cyber security devem compor 5% do total da equipe de Tecnologia da Informação (TI). Neste caso, para um equipe de TI com 100 profissionais, teríamos 5 colaboradores – Equipe de TI: 100 (*5%) = 5 FTE para cyber security;
• Uma opção que tem sido utilizada é a equação que leva em conta a quantidade de recursos de processamento e o tamanho da área de TI: Cyber Security FTE = Ʃ (1,2+5)/2, logo Cyber Security FTE* = 4. Neste formato, teríamos a definição de uma equipe de quatro profissionais.
Estas fórmulas não são engessadas e tem como objetivo apoiar as empresas no dimensionamento de seu time de cyber security , seja este interno ou terceiro. É sempre bom lembrar que a grande vantagem de contar com um parceiro é este tem muito mais agilidade para contratar ou repor profissionais, principalmente aqueles com conhecimentos específicos.
Por fim, independentemente da equipe, é importante ter uma visão geral da demanda, e os cálculos que apresentamos aqui permitem dar uma boa ideia e direcionamento neste sentido. Vale ressaltar que os estudos e cálculos acima apresentados não envolvem a manutenção de equipes com operação 24×7, por exemplo, de SOC (Security Operation Officer).
*Carlos Borella é CEO da Safeway.
