Plateia no evento de cibersegurança Roadsec, em São Paulo: junto com a programação, oferta de empregos para hackers (Roadsec/Divulgação)

 Uma feira de recrutamento curiosa chamou a atenção de centenas de pessoas no fim do ano passado, em São Paulo. As vagas oferecidas ali, em um espaço dentro do evento de segurança Roadsec, não eram para qualquer profissional. As empresas no local estavam à procura de especialistas em cibersegurança. Ou melhor, na verdade, de hackers. As pouco mais de 100 vagas oferecidas no local representavam apenas uma parcela ínfima das oportunidades nesse mercado – e um retrato da alta demanda por profissionais da área.

 O setor de segurança da informação está em alta. Segundo dados da IDC, consultoria americana especializada em tecnologia, os gastos globais com segurança da informação deverão subir de 92 bilhões de dólares, em 2018, para mais de 133 bilhões até 2022. Mas, por mais que estejam dispostas a usar o caixa para proteger suas operações digitais, as companhias ainda esbarram em um problema básico: a escassez de mão de obra.

 A lacuna no mercado de trabalho é um problema geral. Um estudo da organização sem fins lucrativos americana (ISC)², que oferece treinamento e certificação a profissionais da área, aponta que, globalmente, faltam hoje quase 3 milhões de especialistas em segurança para -preencher as vagas disponíveis. O problema é maior na região da Ásia-Pacífico (China, Índia, Japão, países do Sudeste Asiático, Austrália e Nova Zelândia), onde se calcula a falta de 2,1 milhões de profissionais. Mas há déficits na Europa, na América do Norte e na América Latina (incluindo o Brasil), onde há mais de 136.000 oportunidades de trabalho em aberto.

 O "buraco" existe porque as empresas sempre foram mais reativas do que preventivas nesse campo, segundo especialistas ouvidos por EXAME. O assunto ficava em segundo plano, e muitos profissionais de tecnologia seguiam outras carreiras por falta de oportunidade. "Agora a quantidade de ameaças aumentou e, de alguns anos para cá, o perfil dos ataques a redes e sistemas mudou. Se antes um invasor estava em busca de fama, agora ele quer roubar propriedade intelectual ou conseguir vantagens financeiras", diz Demetrio Carrión, sócio-líder de cibersegurança na América Latina da consultoria britânica EY. Somado ao surgimento das leis de proteção de dados, como a europeia e a brasileira, isso fez os investimentos em segurança disparar. Mas a formação de mão de obra não acompanhou.

 Não há uma solução fácil para a escassez. As empresas têm testado diferentes formas de contornar o problema. A mais direta é capacitar funcionários com programas de treinamento. A empresa de telecomunicações brasileira Embratel recruta, desde o ano 2000, profissionais com algum conhecimento no setor já pensando em torná-los especialistas, por meio de cursos, certificações e workshops. Já a americana Symantec, fornecedora de soluções de segurança, treina aspirantes à área desde 2014. "O mercado não forma profissionais suficientes para suprir a demanda. Então os treinamentos funcionam bem no curto prazo. Uma empresa consegue aproveitar até quem não tem conhecimento formal na área", diz Andre Carraretto, estrategista em segurança da informação da Symantec.

 O problema é que isso demanda recursos, e nem todas as companhias têm capacidade de investir na formação de seus profissionais de segurança, especialmente as que não estão envolvidas diretamente no ramo. Um estudo da EY mostra que mais da metade das empresas no mundo e dois terços das brasileiras sofrem com a falta não só de mão de obra mas também de verba para a área de segurança da informação – que é tida pela maioria como ineficaz. Algumas empresas até planejam aumentar os investimentos, mas, segundo a EY, os valores dificilmente serão suficientes para resolver questões de recrutamento, capacitação e compra de equipamentos.

 É por causa dos altos custos que hoje a terceirização do setor de segurança tem se mostrado uma alternativa para as empresas. "Um fornecedor terceirizado oferece recursos de forma compartilhada e, por isso, consegue atender a um volume maior de empresas, 24 horas por dia", diz Pietro Delai, gerente de consultoria e pesquisa da IDC Brasil. Em resumo, a mão de obra é mais bem aproveitada. A maioria das fornecedoras de serviços não divulga quais são os clientes. Mas um caso notável e público é o da montadora japonesa Toyota, que adotou soluções da americana Palo Alto Networks para proteger de ameaças externas sua rede na Europa.

 Outra saída para driblar a escassez de mão de obra e de recursos são os programas de bug bounties ("caça a brechas"). A estratégia consiste em recompensar especialistas de fora da companhia por falhas encontradas nos sistemas. Nos Estados Unidos, a tática é adotada amplamente por empresas de tecnologia. O Facebook, por exemplo, pagou quase 7 milhões de dólares em recompensas nos últimos sete anos. O Google desembolsou 3 milhões de dólares em prêmios só em 2017.

 No Brasil, a prática de recompensas é rara, mas existe um nome forte testando o modelo: a recém-inaugurada Quod, uma empresa de inteligência de crédito. Controlada pelos bancos Itaú, Santander, Bradesco, Banco do Brasil e Caixa, ela foi criada em 2018 para concorrer com empresas como Serasa Experian e Boa Vista SCPC. "Um programa de bug bounty é uma forma de monitorar continuamente os sistemas e descobrir vulnerabilidades antes que aconteça um problema mais crítico", diz Leonardo Carmona, diretor de segurança da informação da Quod.

 Central de monitoramento da Symantec, nos Estados Unidos: a empresa de segurança da informação investe na capacitação dos próprios funcionários para compensar a falta de profissionais especializados | Divulgação

Mas é na inteligência artificial que parece residir a principal alternativa para a escassez de mão de obra. Hoje, os softwares mais avançados de empresas de segurança já são úteis para realizar tarefas que antes eram feitas por humanos, como o monitoramento em tempo real de incidentes na rede. Só que eles não substituem totalmente os especialistas de carne e osso, nem devem fazer isso tão cedo.

 "É humanamente impossível fazer o monitoramento de redes de forma manual, mas não dá para automatizar completamente as tarefas importantes que exigem um pouco de criatividade, como a busca por bugs", diz Geraldo Fonseca, conselheiro do (ISC)² na América Latina. No fim das contas, é uma forma de atenuar por ora a falta de mão de obra. A conta só deverá ser fechada mesmo com investimentos em educação e capacitação.