Cybersecurity is not too technical. Nor should be a career in the field

Tecnologia

A segurança cibernética não é muito técnica. Nem deve ser uma carreira na área.

 

Um post (artigo) ESPECIAL sobre segurança cibernética, seus perigos, o que é ficção e realidade, e melhor de tudo.. Em english e em português, então simbora ler, estudar e aprender um bucadin rsrs..

 

The talent shortage in the cybersecurity field is often self-inflicted. Numerous technical requirements scare capable people away when a large portion of the vacancies do not require people to be hoodie-wearing hackers, says Rick Howard, CSO and chief analyst at CyberWire. 

A escassez de talentos no campo da segurança cibernética costuma ser autoinfligida. Numerosos requisitos técnicos assustam as pessoas capazes quando uma grande parte das vagas não exige que as pessoas sejam hackers com capuz, diz Rick Howard, CSO e analista-chefe da CyberWire. 

 

With the world going more digital by the year, a need for cyber defense specialists would seem self-evident. However, numerous industry studies every year show a massive gap between the need for talent and supply that meets it. 

Com o mundo se tornando cada vez mais digital a cada ano, a necessidade de especialistas em defesa cibernética parece evidente. No entanto, vários estudos do setor a cada ano mostram uma enorme lacuna entre a necessidade de talento e a oferta que a atende. 

 

“I don’t need someone to understand computer science. I need people who can solve problems, who can read things on their own, learn things on their own. I give it to them because I don’t have the talent to solve the problem. It’s why I hired them.” Rich Howard, a cybersecurity veteran, told CyberNews. 

“Eu não preciso de alguém para entender ciência da computação. Preciso de pessoas que possam resolver problemas, que possam ler coisas por conta própria, aprender coisas por conta própria. Eu dou a eles porque não tenho o talento para resolver o problema. É por isso que os contratei. ” Rich Howard, um veterano da segurança cibernética, disse à CyberNews. 

 

There are numerous reasons people shy away from joining the cybersecurity field, but some of the blame for the trend lies within the industry. Howard, who has decades of experience with the military and within the private sector, explained that one of the most valuable skills within the sector is translating technical language to something people running the businesses could understand.

Existem vários motivos pelos quais as pessoas evitam entrar no campo da segurança cibernética, mas parte da culpa pela tendência está no setor. Howard, que tem décadas de experiência com os militares e no setor privado, explicou que uma das habilidades mais valiosas do setor é traduzir a linguagem técnica para algo que as pessoas que dirigem as empresas possam entender.

 

When young people come up to me and ask what they should study to be a cybersecurity person, I always tell them that they should practice writing and speaking. You need to get comfortable with the idea of conveying these ideas to people,

- Rick Howard.

Quando os jovens vêm até mim e perguntam o que devem estudar para ser uma pessoa de segurança cibernética, sempre digo a eles que devem praticar a escrita e a conversação. Você precisa se sentir confortável com a ideia de transmitir essas ideias às pessoas,

- Rick Howard.

 

You have spent decades with the US Army. How did that experience influence you to gravitate towards a career in cybersecurity? 

I was in the US Army for 27 years, if you count military school. I knew in high school that I wanted to do something with computers. I was a gamer back then, and I knew I wanted to do something where I can be around that kind of technology, so I studied computer science in college. 

 

I’ve turned into an IT guy about midway through my career. In my last job in the military, I ran the army computer emergency response team for the US Army, basically the CSO for the US army. This was back in the early ‘00s. My job was to coordinate all fencing and defensive operations for the military. 

 

Then I retired from the military, and I did something that most people like me don’t do. I went straight to a commercial cybersecurity vendor and one that didn’t have any ties to the government. Most people like me would transition to Booz Allen Hamilton or Raytheon. But I didn’t do that. I went to a pure-play commercial vendor, so I had to learn the business side of cybersecurity pretty quickly. 

 

Você passou décadas com o Exército dos EUA. Como essa experiência o influenciou a seguir uma carreira em segurança cibernética? 

Estive no Exército dos Estados Unidos por 27 anos, se contarmos com a escola militar. Eu sabia no colégio que queria fazer algo com computadores. Eu era um jogador na época e sabia que queria fazer algo em que pudesse estar em torno desse tipo de tecnologia, então estudei ciência da computação na faculdade. 

 

Eu me transformei em um cara de TI no meio da minha carreira. Em meu último trabalho nas forças armadas, dirigi a equipe de resposta a emergências de computadores do exército para o Exército dos EUA, basicamente o CSO para o exército dos EUA. Isso foi no início dos anos 2000. Meu trabalho era coordenar todas as operações de defesa e esgrima para os militares. 

 

Então me aposentei do exército e fiz algo que a maioria das pessoas como eu não faz. Procurei um fornecedor comercial de segurança cibernética que não tinha nenhum vínculo com o governo. A maioria das pessoas como eu faria a transição para Booz Allen Hamilton ou Raytheon. Mas eu não fiz isso. Fui a um fornecedor comercial puro, então tive que aprender o lado comercial da segurança cibernética muito rapidamente. 

 

How did your experience with the military help you in the private sector? 

One of the things that you have to learn how to do in the military is to summarize things right. Really complex, horrible, detailed, thousand-page documents into half a page to a general who could make a decision about it. I did have a lot of training on that. And all military people have to learn how to do that. Executive summaries are the way of the world. 

 

I learned in the cybersecurity space that that’s one of the best skills you can have because there are lots of smart people out there who understand how things work. But if they can’t convey what they know to other intelligent people who don’t understand the cybersecurity part of it, they’re not much use. So, how you communicate with businesspeople about the technical details of cybersecurity is a sought-after skill set. 

 

Como sua experiência com os militares o ajudou no setor privado? 

Uma das coisas que você precisa aprender a fazer nas forças armadas é resumir as coisas da maneira certa. Documentos realmente complexos, horríveis, detalhados, de mil páginas em meia página para um general que poderia tomar uma decisão a respeito. Eu tive muito treinamento nisso. E todos os militares precisam aprender a fazer isso. Os resumos executivos são o jeito do mundo. 

 

Aprendi na área de segurança cibernética que essa é uma das melhores habilidades que você pode ter, porque existem muitas pessoas inteligentes por aí que entendem como as coisas funcionam. Mas se eles não puderem transmitir o que sabem a outras pessoas inteligentes que não entendem a parte de segurança cibernética, eles não terão muita utilidade. Portanto, a forma como você se comunica com os empresários sobre os detalhes técnicos da segurança cibernética é um conjunto de habilidades muito procurado. 

 

 

Year after year, reports indicate a workforce shortage in the cybersecurity field. Why do you think this discrepancy exists? 

There are lots of factors that cause it. One is that at least on the commercial side, we, our HR departments, have hamstrung ourselves. They put the requirements down for an entry-level cybersecurity person that nobody can qualify for. You have to have a computer science degree, and you have to have 17 certifications. And I don’t need that. I don’t need someone to understand computer science. I need people who can solve problems, who can read things on their own, learn things on their own. I give it to them because I don’t have the talent to solve the problem. It’s why I hired them. 

 

And I think the other problem is that we scare people away. Because it sounds like it’s so technical and people think they’re not technical and therefore can’t do that job. But in truth, there are thousands of different kinds of careers in cybersecurity. A tiny percentage is highly technical. The rest is just understanding and explaining and coming up with policies that work and so on. We scare people away by making them think that you have to be able to write exploit code. 

 

Ano após ano, os relatórios indicam uma escassez de força de trabalho no campo da segurança cibernética. Por que você acha que existe essa discrepância? 

Existem muitos fatores que causam isso. Uma é que, pelo menos no lado comercial, nós, nossos departamentos de RH, nos prejudicamos. Eles colocaram os requisitos para uma pessoa de nível básico de segurança cibernética para a qual ninguém pode se qualificar. Você precisa ter um diploma de ciência da computação e ter 17 certificações. E eu não preciso disso. Não preciso de alguém para entender ciência da computação. Preciso de pessoas que possam resolver problemas, que possam ler coisas por conta própria, aprender coisas por conta própria. Eu dou a eles porque não tenho o talento para resolver o problema. É por isso que os contratei. 

 

E acho que o outro problema é que assustamos as pessoas. Porque parece que é muito técnico e as pessoas pensam que não são técnicas e, portanto, não podem fazer esse trabalho. Mas, na verdade, existem milhares de tipos diferentes de carreiras em segurança cibernética. Uma pequena porcentagem é altamente técnica. O resto é apenas entender, explicar e criar políticas que funcionem e assim por diante. Nós assustamos as pessoas fazendo-as pensar que você precisa ser capaz de escrever código de exploração. 

 

Another thing is that despite numerous initiatives for women to be more actively involved in the cybersecurity field, they make up only a fifth of the total workforce. What could the cyber community do to change that? 

There are a couple of contributing problems for that. One is that we’re our own worst enemies. Meaning that mostly men gravitate to the field early on. So, men are making decisions about who they hire. So, they hire people that look like them. And they don’t understand the value of having a diverse team.

 

There’s also a small portion of the cybersecurity workforce whose attitudes toward women are not very modern. But because of those early-on situations, women self-select out of those fields too. Research shows that at some point in a woman’s educational career, many decide that the technical stuff is not for them for some reason. That’s a societal thing that we need to fix. 

 

Outra coisa é que, apesar das inúmeras iniciativas para que as mulheres se envolvam mais ativamente no campo da segurança cibernética, elas representam apenas um quinto da força de trabalho total. O que a comunidade cibernética poderia fazer para mudar isso? 

Existem alguns problemas que contribuem para isso. Uma é que somos nossos próprios piores inimigos. O que significa que a maioria dos homens gravita em torno do campo desde o início. Então, os homens estão tomando decisões sobre quem eles contratam. Então, eles contratam pessoas que se parecem com eles. E eles não entendem o valor de ter uma equipe diversificada.

 

Também existe uma pequena parte da força de trabalho da segurança cibernética cujas atitudes em relação às mulheres não são muito modernas. Mas, por causa dessas situações iniciais, as mulheres também se auto-selecionam nessas áreas. A pesquisa mostra que em algum momento da carreira educacional de uma mulher, muitas decidem que o material técnico não é para elas por algum motivo. Isso é uma coisa social que precisamos consertar.