nDm 14 | 30.jun.2022
A 14.ª edição da newDATAmagazine foi publicada no dia 30 de junho de 2022.
MENSAGEM DO DIRETOR
Importância da Educação e Ensino em Cibersegurança
A cibersegurança é suportada por três importantes pilares: as pessoas, os processos e as tecnologias. Apesar da importância dos processos e da tecnologia, as pessoas são um elemento fundamental para a administração e proteção de ativos das organizações. As pessoas ajudam na implementação e condução dos processos de cibersegurança e selecionam, implementam e geram a tecnologia. Incluem decisores, executivos, diretores e gestores, programadores, implementadores de cibersegurança, assim como todos os colaboradores da organização. Desta forma, as pessoas são um elemento completamente transversal da cibersegurança nas organizações e as devem estar preparadas para planear, implementar, prever e reagir corretamente a eventos de cibersegurança. Para que isso possa acontecer, é fundamental que as pessoas estejam devidamente capacitadas para o poderem fazer.
Imagem 1. Estratégia Nacional de Cibersegurança 2019-2023. Fonte: https://www.cncs.gov.pt/docs/cncs-ensc-2019-2023.pdf
Este é um objetivo que está perfeitamente identificado na Estratégia Nacional de Segurança do Cibersegurança 2019-2023, no seu terceiro objetivo estratégico, “Gerar e Garantir Recursos” e no eixo de intervenção “Prevenção, Educação e Sensibilização”.
Esta capacitação deve ser a mais adequada para os diferentes tipos de pessoas que devem lidar com os ativos das organizações, quer ao nível da sua proteção pró-ativa, quer a nível da reatividade a potenciais ameaças. Por um lado, temos os profissionais de cibersegurança, que devem ter a formação adequada para identificarem e gerirem ciber-riscos, implementarem as estratégias e técnicas adequadas de mitigação dos mesmos e responderem a incidentes. Por outro lado, temos todo um outro conjunto de profissionais, cujo objetivo profissional não é a cibersegurança, mas que nela desempenham um papel fundamental. Para ambos, a educação e ensino em cibersegurança é muito importante, mas infelizmente é uma área em que a resposta existente não é adequada nem suficiente.
De acordo com múltiplos estudos internacionais, existe uma séria carência de profissionais na área da cibersegurança para fazer face às necessidades do mercado. O estudo realizado pela (ISC)2, uma organização internacional sem fins lucrativos, composta por profissionais na área, estima uma carência de cerca de 1.8 milhões de profissionais nesta área face às necessidades atuais das organizações, até ao final de 2022. Infelizmente, ao nível da educação e ensino, ainda não estamos a fazer o necessário para suprir estas necessidades.
Apesar de tudo, a nível nacional existe já uma oferta formativa interessante e tendencialmente crescente em cibersegurança e segurança da informação. Num recente estudo realizado pelo Observatório de Cibersegurança do Centro Nacional de Cibersegurança, designado por “Estudo sobre o Ensino Pós-Secundário e o Ensino Superior de Cibersegurança em Portugal”, revela que existem em Portugal 4 Cursos de Especialização Tecnológica (CET) que abordam a temática da cibersegurança e 109 cursos e ciclos de estudo de ensino superior que têm nos seus planos de estudo conteúdos relacionados com cibersegurança e segurança de informação. Em Portugal, não existe ainda uma licenciatura específica em cibersegurança, embora exista uma em Segurança da Informação, sendo que grande parte desta formação superior está concentrada no 2.º e 3.º ciclo (mestrados e doutoramentos).
Imagem 2. Fonte: https://www.isc2.org//-/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx
Imagem 3: Fonte: https://www.cncs.gov.pt/docs/estudo-ensino-ciberseg-cncs.pdf
Uma vez que as pessoas são transversais à cibersegurança, deveria igualmente existir uma abordagem transversal no ensino e educação daquela, em particular em programas de ensino superior. Esta ideia deveria traduzir-se não apenas na maior presença de cursos na área, mas igualmente na existência de mais unidades curriculares com conteúdos de cibersegurança. Por exemplo, uma unidade curricular de engenharia de software deveria ter igualmente conteúdos que ajudassem os engenheiros de software a escrever código seguro. Se quisermos ser um pouco mais radicais nesta ideia, todos os alunos de todas as licenciaturas, nas mais variadas áreas científicas, deveriam ter algum tipo de formação e sensibilização em cibersegurança. Seria fundamental para que todos pudessem estar preparados para reconhecer ciberameaças e reagir adequadamente às mesmas.
De igual forma, deveria ser promovido um contacto com a área da cibersegurança em ciclos de ensino mais prematuros, nomeadamente no ensino preparatório e secundário. Seria útil dinamizar esta área curricular, permitindo que os jovens pudessem ter algum tipo de sensibilização para a área, nomeadamente no que respeita aos principais riscos de cibersegurança para assegurar a sua prevenção. Por outro lado, deveríamos aproveitar esta oportunidade, criando as bases para que os jovens pudessem encarar um potencial futuro profissional na área da cibersegurança.
Por tudo isto, é importante apostar fortemente na educação e ensino da cibersegurança como forma a dar resposta às necessidades do mercado e aumentar a resiliência das organizações.
Carlos Serrão
LER ESTE ARTIGO NA REVISTA ONLINE