Quando falamos de tecnologias novas e emergentes, tendemos a embrulhá-las juntas. Inteligência Artificial (IA), Internet das Coisas (IoT), Machine Learning e Robótica misturam-se numa grande cacofonia digital de termos que poucos de nós compreendem – seja pela dificuldade ou novidade das próprias tecnologias. Embora a cibersegurança esteja frequentemente sob este guarda-chuva, está longe de ser nova (ou emergente) e bastante diferente na sua natureza e função.
Na verdade, podemos pensar na cibersegurança como uma tecnologia facilitadora: uma tecnologia que possibilita que os avanços em outras disciplinas, como IA, IoT e robótica, ocorram em um espaço online seguro e protegido. E à medida que estas tecnologias digitais evoluem e são cada vez mais adotadas em todos os setores, a cibersegurança cresce em importância – assim como a necessidade de especialistas em cibersegurança qualificados com conhecimentos mais especializados em Tecnologias da Informação e Computadores (TIC) que saibam como manter as pessoas, os sistemas e as empresas seguros.
Com ataques malignos e golpes cibernéticos crescendo em frequência e sofisticação, o conjunto de habilidades de um profissional de segurança cibernética também está evoluindo e mudando em um ritmo rápido. Isso torna o processo de educação e treinamento de profissionais de segurança cibernética ainda mais difícil; e paira sobre os objetivos de tornar a próxima década digital e europeia. Os sistemas educativos têm sido lentos a responder às realidades do mercado de trabalho, e a escassez de especialistas em cibersegurança, tanto na Europa como no mundo, acentua-se cada vez mais a cada ano que vem. Só na Europa, a escassez de profissionais de cibersegurança aproxima-se de 1 milhão de pessoas (cerca de 883 000), enquanto o número de ciberespecialistas necessários a nível mundial atingirá em breve os 4 milhões. A disparidade de género no domínio da cibersegurança é outro aspeto que requer uma atenção urgente: como sugerem os dados mais recentes e como veremos mais adiante, as mulheres não representam sequer um quarto dos profissionais de cibersegurança na Europa; e estão também em menor número em termos de inscrições no ensino superior no domínio das TIC e da cibersegurança.
Introdução
A cibersegurança é um campo em constante crescimento: já não é uma palavra da moda, mas sim uma necessidade tanto para as pessoas como para as empresas. Mais de 90 % dos agregados familiares (Eurostat, 2023) na Europa acedem frequentemente à Internet por várias razões, desde efetuar operações bancárias em linha ou outras compras, utilizar serviços governamentais em linha ou reservar férias em linha. Uma vez que se trata da partilha de informações sensíveis, o armazenamento e tratamento seguros dos dados de uma pessoa é uma prioridade para todos – e a menos que sejam seguidos protocolos de boas práticas em cibersegurança, empresas, governos e pessoas correm o risco de fugas significativas de informação de várias naturezas e intenções – desde danos financeiros e de reputação a roubos de identidade e uso indevido de dados pessoais. A transição digital significa mais dados, mais informações, mais dispositivos conectados: e os principais processos públicos, sociais e empresariais hoje dependem disso. Isso os torna alvos prováveis de ataques cibernéticos – que nos últimos anos aumentaram em frequência e potencial para infligir danos de tal forma que o Fórum Econômico Mundial chamou o cibercrime de “risco global substancial” em seu Relatório de Riscos Globais de 2021. E isso não é tudo. Os ciberataques de hoje são mais sofisticados e mais difíceis de detetar, uma vez que tiveram de evoluir em conjunto com a transição digital. A adoção acelerada de tecnologias com alto potencial de transformação e impacto, como a Inteligência Artificial (IA) ou a Internet das Coisas (IoT) em todos os setores e países, os profissionais de cibersegurança permitem que novos processos funcionem de forma suave e segura. Na Europa, a procura de competências de cibersegurança aumentou, em média, 22% só em 2021, com alguns Estados-Membros da UE, como a Alemanha, a Polónia ou a Roménia, a registarem um aumento de mais de 30%.
A imagem é a mesma em todo o mundo. O número de cibertrabalhadores a nível mundial atingiu o seu nível mais elevado de sempre, com cerca de 5 milhões de peritos em TIC especializados neste domínio atualmente empregados. Apesar deste progresso, ainda há uma escassez de 3,4 milhões de trabalhadores cibernéticos globais (ISC2, 2022). A procura por profissionais de cibersegurança mostra um aumento robusto, especialmente durante o período após a pandemia de COVID-19, como destaca a OCDE 2023 : num estudo, o número de anúncios de emprego online (OJAs) à procura de profissionais de cibersegurança no primeiro semestre de 2022 foi 5 vezes maior do que no início de 2012 e duas vezes maior do que no final de 2019. Algumas estimativas na Europa (EIT Digital 2021) sugerem que as empresas da UE estão à procura de centenas de milhares de especialistas em cibersegurança, muito mais do que o fornecimento da atual base de dados de talentos com competências em cibersegurança. A investigação confirma-o – mais de metade das empresas da UE comunicaram dificuldades no preenchimento de vagas no setor das TIC, de acordo com a edição de 2022 do IDES, o Índice da Economia e Sociedade Digitais da UE – um índice anual que acompanha o progresso digital dos Estados-Membros da UE em domínios fundamentais, incluindo as competências.
Balanço do ciberdéfice: desafios futuros
Uma escassez iminente de peritos em cibersegurança: dentro e fora da Europa
A Europa continua aquém dos profissionais especializados em cibersegurança em mais de uma ou duas áreas de especialização. A lacuna cibernética é composta por várias dimensões, cada uma representando um desafio específico. Dêuma olhada no infográfico abaixo para ver alguns dos principais aspetos.
Em 2022, a escassez de profissionais de cibersegurança na UE variou entre 260 000 e 500 000, enquanto as necessidades de pessoal de cibersegurança da UE foram
estimadas em 883 000 profissionais. Há também um acentuado desequilíbrio de género no grupo existente de profissionais de cibersegurança: em 2022, as mulheres representavam apenas 20% dos licenciados em cibersegurança e menos de 20% de todos os especialistas em Tecnologias de Informação e Comunicação (TIC) eram mulheres. Do mesmo modo, as mulheres estão sub-representadas nas disciplinas STEM (Ciência, Tecnologia, Engenharia e Matemática) no ensino superior, representando pouco mais de 30% de todos os diplomados na área (Monitor da Educação e Formação 2022). As universidades europeias fizeram progressos sólidos para entusiasmar os estudantes com a segurança das TIC: o número de programas e estudantes que estudam cibersegurança no ensino superior está a aumentar. De acordo com a ENISA (2021), isto significa que podemos esperar que o número de licenciados em cibersegurança duplique nos próximos dois anos.
Os especialistas estão esperançosos sobre o impacto dessa tendência na força de trabalho. Uma área crucial em que a cibersegurança continua subdesenvolvida na Europa diz respeito às competências presentes na mão de obra — algo que, ao longo dos anos, se tornou um «problema bem documentado» (ENISA 2021). À escala global, o quadro apresenta semelhanças. Com mais de 3,12 milhões de postos de trabalho em cibersegurança por preencher em 2021, a escassez de talentos em todo o mundo é uma questão transversal que afeta as pessoas, a força de trabalho, a educação e os especialistas digitais. Olhando para o ensino superior, são necessários mais esforços para atrair as pessoas para os estudos de TIC em geral e para a cibersegurança em particular. Dados do Eurostat mostram que apenas 3,8% dos diplomados na UE em 2018 receberam um diploma de TIC (Eurostat, 2020).
Ainda há menos mulheres do que homens no ciberespaço
O equilíbrio de género continua igualmente a ser um problema, com apenas 20% das estudantes do sexo feminino na Europa matriculadas em programas de cibersegurança na universidade (ENISA, 2021). Apesar destas médias, alguns Estados-Membros da UE realizaram progressos significativos para colmatar o fosso digital entre homens e mulheres. É o caso da Grécia, onde a percentagem de mulheres licenciadas em TIC quase duplicou entre 2019 e 2021, passando de 8,6% para 15,8% (Fórum Económico Mundial, 2022. Global Gender Gap Report). Fazer com que mais mulheres se interessem pela educação e carreiras em cibersegurança é fundamental se quisermos resolver isso, e a falta de diversidade no setor é palpável. Dados do LinkedIn mostram que, entre os 12 países da UE, as mulheres representam apenas cerca de 17% da força de trabalho cibernética (este rácio é o mais elevado na Polónia – 13% e o mais baixo em Itália, onde as mulheres representam 25%). As mulheres representam menos de um quarto (24%) da força de trabalho global de cibersegurança (ISC2, 2022), e esta proporção varia com a idade: representam 30% dos profissionais cibernéticos com menos de 30 anos, mas apenas 14% dos cibertrabalhadores com mais de 60 anos. Será difícil atingir o objetivo da UE de 20 milhões de especialistas em TIC até 2030 sem melhorar a inclusão. Com base nas tendências atuais, menos de 25 % dos especialistas em TIC serão mulheres em 2030, contra 19 % em 2021. Em muitos países, a participação está realmente caindo (Sekmokas & Vitaitė, 2021:8). E, embora alguns Estados-Membros da UE estejam a aproximar-se de um rácio mais equilibrado (as mulheres especialistas em TIC na Alemanha ultrapassaram os 2 milhões e as francesas ultrapassam os 1,5 milhões), com base nas tendências atuais, outros países deverão ficar para trás no que respeita à diversificação das TIC. Estudos apontam para tendências preocupantes de um fosso crescente entre homens e mulheres nas TIC em países como a Bulgária, a Estónia, a Irlanda, Chipre ou a Chéquia (Sekmokas & Vitairte, 2021:15).
Missão impossível? Formação de especialistas em cibersegurança
A formação de profissionais de cibersegurança também exige tempo e esforço: tanto no que diz respeito ao ensino superior, como à formação no local de trabalho, importante tanto para a melhoria como para a requalificação. Este também é o caso do treinamento no trabalho: garantir que os funcionários sejam treinados nas mais recentes abordagens de segurança cibernética e privacidade ou contratar pessoal qualificado de segurança cibernética pode levar uma empresa de 6 meses a um ano (Symantec, 2019). E se falarmos em crescimento pessoal e profissional, o quadro fica ainda mais complexo. Pode levar anos para se tornar um profissional de segurança cibernética qualificado e um especialista na área, com conhecimento e experiência das últimas tendências e desenvolvimentos. Num inquérito recente dirigido a profissionais de cibersegurança em todo o mundo (ESG/ISSA, 2020), a maioria dos inquiridos estimou que demora entre 3 a 5 anos a desenvolver uma proficiência real em cibersegurança, outros apontaram para uma curva de aprendizagem mais ampla de 5 anos ou mais.
A tecnologia continua a mudar, por isso é difícil para o pessoal da indústria acompanhar, e muitas vezes requer conhecimento especializado que leva tempo para se desenvolver. De acordo com a Agência da União Europeia para a Cibersegurança (ENISA, 2019), os fabricantes e outras organizações que utilizam soluções de Indústria 4.0 e IoT muitas vezes não têm tempo para treinar adequadamente os funcionários antes que as coisas mudem novamente, deixando-se expostos a potenciais riscos. Além disso, a formação disponível é inadequada e/ou dispendiosa, o que a torna ainda menos viável para as PME.
A cibersegurança (juntamente com a IoT) é também uma área do ensino superior, onde as universidades se têm revelado lentas na adaptação dos currículos ou na atualização de conteúdos, de modo a refletir os mais recentes desenvolvimentos tecnológicos, de acordo com um relatório de 2021 do EIT Digital que analisa a oferta educativa de cibersegurança na Europa. Num outro relatório do EIT Digital, que utiliza dados da CyberHEAD, a maior base de dados em linha para o ensino superior em TIC e cibersegurança, apenas 34% dos programas de licenciatura e mestrado na UE exigem um estágio – um aspeto que significa que muitos estudantes de pós-graduação abandonam o ensino com pouca ou nenhuma experiência prática, muitas vezes necessária para garantir o primeiro emprego no setor.
A investigação mostra que a educação em cibersegurança na Europa está a crescer, mas não de forma uniforme, e que subsistem lacunas que afetam a sua qualidade (fraca interação com a indústria, falta de educadores em cibersegurança, falta de alinhamento com as realidades do mercado de trabalho, etc.). (Vishik & Heisel, 2015). Avaliando os dados do CyberHEAD, apenas 34% dos programas da UE preveem um estágio obrigatório para estudantes. Embora os estágios possam ser difíceis de configurar, a falta de oportunidades de estágio pode afetar negativamente as competências dos diplomados e também dificultar a obtenção de um emprego seguro, dada a falta de experiência profissional.
Colmatar o défice de competências em matéria de cibersegurança
Criação de quadros de cibersegurança e avaliação das qualificações
Foram criados vários quadros, recursos e ferramentas comummente aceites para reforçar a cibercompetitividade da UE e permitir que os peritos em cibersegurança adquiram as competências necessárias para se destacarem num mundo digital em rápida mutação. Um exemplo é o Quadro Europeu de Competências em Cibersegurança (ECFS), uma ferramenta prática que ajuda a identificar as tarefas, competências, aptidões e conhecimentos associados ao trabalho quotidiano dos profissionais de cibersegurança na Europa, colmatando o fosso entre os ciberlocais de trabalho profissionais e os ambientes de aprendizagem. O principal objetivo do quadro ECFS é criar um entendimento comum entre todos os intervenientes no ecossistema da cibersegurança (indivíduos, empregadores e prestadores de formação) nos Estados-Membros da UE. Também apoia a conceção de programas de formação relacionados com cibersegurança e facilita o reconhecimento de competências em cibersegurança. O ECFS divide as funções de cibersegurança em 12 perfis, cada um dos quais avaliado individualmente através de parâmetros predefinidos (competências, responsabilidades, tarefas, interdependências, etc.). Outros quadros que categorizam e identificam as competências digitais e das TIC em geral também podem ser úteis e incluem domínios de competência em matéria de privacidade e segurança. Por exemplo, o Quadro de Competências Digitais da UE (DigComp), atualmente na sua edição 2.2, inclui o conhecimento de aspetos relacionados com a cibersegurança, como a privacidade ou a partilha de informações ou dados pessoais. O Quadro Europeu de Cibercompetências (e-CF) proporciona uma linguagem comum para as competências, aptidões e níveis de proficiência em toda a Europa. As competências no âmbito do e-CF estão organizadas de acordo com 5 áreas de negócio das TIC e relacionadas com o Quadro Europeu de Qualificações (QEQ). Com o Regulamento Europeu para a Cibersegurança, a Europa pode agora também beneficiar de um quadro de certificação da cibersegurança de produtos e serviços e de um mandato reforçado da ENISA, a Agência da União Europeia para a Cibersegurança, criada pela primeira vez em 2004.
Reduzir o défice de competências em cibersegurança na Europa: um passo de cada vez
Principais iniciativas e ações da UE para colmatar o défice de cibercompetências
Juntamente com a Comissão Europeia, a ENISA coordena a campanha do Mês Europeu da Cibersegurança (ECSM): uma campanha de sensibilização que promove a cibersegurança através da educação, da partilha de boas práticas e de concursos. O Desafio Europeu de Cibersegurança (CECA) é outro concurso anual que reúne jovens talentos da cibersegurança de toda a Europa para testar as suas competências em matéria de segurança de dados.
O financiamento ao abrigo do programa Europa Digital para o período de 2023-2024 inclui um programa de trabalho específico centrado na cibersegurança, com um orçamento de 375 milhões de EUR para o período de 2023-2024, a fim de reforçar a resiliência coletiva da UE contra ciberameaças. O papel dos polos de inovação digital da UE na racionalização do financiamento ao abrigo da iniciativa DIGITAL para o domínio da cibersegurança promoverá uma maior inovação para as PME e o setor público. Com 2023 a ser designado o «Ano das Competências» pela presidente da Comissão Europeia, Ursula Von der Leyen, a campanha do ano à escala da UE centra-se na resolução da escassez de competências e na promoção do investimento na formação. Estes objetivos são também prioridades fundamentais integradas no Plano de Ação para a Educação Digital (2021-2027), cuja visão para o futuro da educação na Europa está no cerne das competências digitais.
Apoiar as empresas e as PME
Existe uma série de mecanismos para ajudar as empresas, em especial as pequenas e médias empresas (PME), a tirarem o máximo partido da cibersegurança e a garantirem que o seu pessoal pode lidar com os riscos em linha de forma competente e informada. Com 25 milhões de empresas (ou seja, 90% das empresas da UE), as PME são a espinha dorsal da economia europeia. Com menos recursos, pessoal e conhecimentos, é menos provável que as PME invistam na segurança das suas empresas e operações, bem como menos probabilidades de formar o seu pessoal. Vários fatores influenciam a falta de adoção da cibersegurança entre as PME e afetam negativamente a formação dos trabalhadores. A falta de sensibilização do pessoal para a cibersegurança e a falta de profissionais de cibersegurança das TIC para monitorizar e orientar em tarefas difíceis constituem um grande desafio para as PME. Assim como a falta de orçamento para recrutar novos funcionários e treinar os existentes e o fraco apoio da gestão. Isto significa que as informações comerciais sensíveis e críticas em muitas PME ficam desprotegidas. É também provável que as PME enfrentem problemas fora do seu controlo e sejam mais voláteis a mudanças e escassez no mercado de trabalho (ENISA, 2019). As organizações também pensam muitas vezes que estão mais seguras do que realmente são, com as ameaças cibernéticas a serem subestimadas tanto a nível dos funcionários como da gestão. Em 2023, a ENISA lançou uma nova ferramenta para ajudar as pequenas e médias empresas (PME) a diagnosticar, comparar e melhorar o seu nível de maturidade em cibersegurança e, desta forma, definir e combater os riscos cibernéticos que enfrentam.
Colmatar as disparidades entre homens e mulheres no ciberespaço
Uma série de iniciativas relacionadas com o ciberespaço visam colmatar o fosso entre homens e mulheres também no domínio do ciberespaço. Women4Cyber é uma plataforma da UE que oferece oportunidades de networking, programas de mentoria e uma variedade de recursos que visam apoiar as mulheres a lançar (ou acompanhar) uma carreira na área da cibersegurança. A campanha anual Dia Internacional das Raparigas nas TIC sensibiliza as mulheres e as raparigas para as carreiras no setor das TIC, incluindo no domínio da cibersegurança, desde o seu arranque em 2013. Combater a disparidade digital de género é também um dos principais objetivos do ManagiDITH, o Master of Managing Digital Transformation in the Health Sector (ManagiDiTH). Lançado em janeiro de 2023, o ManagiDITH quer chegar a pelo menos 50% de alunas certificadas no final dos dois ciclos do mestrado. O projeto CyberWISER Light (Cyber Mentoring and Training for Women in Cybersecurity) centra-se no aumento da participação feminina no campo da cibersegurança através de atividades de formação, mentoria e capacitação.
Entre as medidas que podem ser tomadas para combater as disparidades de género presentes no panorama da cibersegurança da UE, as estratégias bem-sucedidas incluem destacar as mulheres em posições-chave e importantes no domínio da cibersegurança e entrevistar mulheres licenciadas em cibersegurança e TIC para obter testemunhos e citações inspiradoras. Oferecer oportunidades de bolsas de estudo e mentoria a mulheres e raparigas é outra abordagem vencedora, com impacto comprovado no aumento da inscrição feminina na educação em cibersegurança e no mundo do trabalho. Várias iniciativas na Europa tentam fazer exatamente isso. A MolenGeek, uma incubadora tecnológica inovadora e agente de melhoria de competências, baseia as suas atividades numa zona de Bruxelas marcada por uma elevada taxa de desemprego e povoada por pessoas oriundas de meios socioeconómicos desfavorecidos. O projeto tem de quebrar uma espécie de duplo estigma: preconceitos relacionados com as mulheres que trabalham nas TIC e, depois, preconceitos contra os refugiados e a sua integração. Em parceria com a Microsoft, a MolenGeek oferece programas de treinamento em segurança cibernética, juntamente com certificações reconhecidas do setor, impulsionando o emprego para grupos marginalizados e aqueles deixados para trás pela transformação digital. Da mesma forma, o Instituto Kosciuszko , na Polônia, oferece um programa de treinamento em segurança cibernética para mulheres polonesas e refugiadas ucranianas. A Escola de Integração Digital ReDI dota mulheres refugiadas e desfavorecidas de competências em cibersegurança e TIC.
Perspetivar um futuro à prova de cibersegurança
Com mais sinergias entre diferentes iniciativas a vários níveis, as competências em cibersegurança estão a ser interpostas todos os dias. Ao mesmo tempo, a escassez iminente aponta para uma necessidade urgente de mais profissionais de cibersegurança com as competências necessárias para apoiar a transformação digital da economia e da sociedade europeias. Os esforços acrescidos para incentivar mais pessoas a enveredar pelo ciberdomínio e pelas TIC em geral revelaram-se bem-sucedidos, mas são ainda necessárias mais medidas a nível local, regional, nacional e da UE. Na Europa, faltam cerca de 1 milhão de peritos em cibersegurança e a escassez mundial parece igualmente alarmante. A disparidade de género no domínio das TIC, em geral, e no domínio da cibersegurança, em particular, é ainda uma questão que tem de ser resolvida para que a Europa possa atingir os objetivos da Década Digital Europeia – atingir 20 milhões de peritos em TIC, com a conversão de género em todos os domínios tecnológicos. As empresas, e em especial as PME, necessitam de apoio e recursos adicionais para formar o seu pessoal, uma vez que têm menos probabilidades de enveredar por programas de formação – e uma série de iniciativas a nível da UE visam prestar esse apoio às PME, seja sob a forma de REA (Recursos Educativos Abertos), tornando o software de fonte aberta ou ajudando através de tutoria e orientação.