SANS: por que a falta de habilidade assusta mais do que a falta de profissionais em segurança
A escassez de talentos em cibersegurança continua sendo um problema global, mas o foco dos executivos de segurança está mudando. De acordo com o relatório SANS/GIAC 2026 Cybersecurity Workforce Research Report, publicado em 31 de maio, o que mais preocupa hoje não é simplesmente ter pouca gente na equipe, e sim ter pessoas sem as competências certas para enfrentar os novos riscos digitais.
O estudo ouviu 947 líderes de segurança em diferentes regiões do mundo. Entre eles, 60% dos CISOs apontaram “não ter os funcionários certos” como o maior desafio atual. Apenas 40% disseram que o principal problema é “número insuficiente de funcionários”. Em outras palavras: o buraco é mais embaixo do que uma simples falta de mão de obra – trata-se de um desalinhamento entre o que as empresas precisam e o que a força de trabalho consegue entregar.
IA expõe a fragilidade das equipes de segurança
Segundo o SANS Institute, a adoção acelerada de Inteligência Artificial pelas empresas escancarou lacunas importantes no preparo das equipes de segurança. A IA deixou de ser um piloto isolado em áreas de inovação e passou a ser incorporada em praticamente todas as funções de negócio: atendimento ao cliente, operações, marketing, supply chain, desenvolvimento de produtos e até na própria segurança.
Rob T. Lee, diretor de pesquisa do SANS Institute, explica que essa expansão criou uma nova camada tecnológica que muitos times de segurança não foram contratados – nem treinados – para defender. As equipes foram montadas em um contexto anterior, com arquiteturas e ameaças diferentes das de hoje. O resultado é um descompasso: tecnologias avançam em velocidade máxima, enquanto as habilidades das pessoas evoluem de forma muito mais lenta.
Na visão de Lee, o problema não está apenas no organograma ou na quantidade de cargos disponíveis, mas na real capacidade dos profissionais que ocupam essas posições. Não basta ter alguém com o título de analista, engenheiro ou arquiteto de segurança; é necessário que essas pessoas entendam profundamente os novos riscos trazidos por modelos de IA, automação e dados em larga escala.
Por que contratar mais, sozinho, não é suficiente
O relatório é categórico: tentar fechar essa lacuna apenas com novas contratações não vai funcionar. Profissionais altamente especializados em segurança de IA são raros, disputados e caros. A oferta atual está muito abaixo da demanda, e o ciclo de formação desses especialistas é longo.
Marling Engle, CEO da Cyberstar, destaca outro efeito colateral dessa escassez: muitas empresas publicam vagas de nível iniciante exigindo competências avançadas, simplesmente porque não sabem como equilibrar o que precisam com o que o mercado pode oferecer. Isso gera frustração dos dois lados – de quem contrata e de quem está em busca de uma oportunidade – e contribui para a sensação de que “não existem talentos”, quando, na prática, existe um desajuste de expectativas.
Esse cenário também leva a contratações equivocadas: organizações apostam em perfis superespecializados para funções que precisam de visão mais ampla, ou, ao contrário, contratam generalistas para desafios que exigem profundidade técnica. Em ambos os casos, a empresa continua descoberta frente aos riscos emergentes, apesar de teoricamente ter “preenchido” a vaga.
Duas trilhas de carreira para reduzir o descompasso
Uma das propostas destacadas no estudo vem de John Felker, ex-assistente diretor da CISA. Ele sugere a construção explícita de dois caminhos bem definidos de carreira em segurança:
1. Trilha de especialização técnica profunda – voltada para quem deseja dominar tecnologias específicas, como segurança em IA, proteção de dados, cloud security, engenharia de ameaças ou resposta a incidentes. São profissionais que se tornam referência em nichos críticos e acompanham de perto a evolução técnica desses domínios.
2. Trilha de amplitude operacional e de negócios – direcionada a perfis que transitam entre segurança, processos corporativos e estratégia. Essas pessoas conectam as necessidades do negócio com as capacidades de segurança, ajudam a priorizar investimentos, melhorar governança, comunicar riscos e orientar a alta liderança.
Segundo o relatório, tornar esses caminhos visíveis e estruturados ajuda a atrair, desenvolver e reter talentos. Profissionais entendem melhor como podem crescer, e as empresas conseguem alinhar perfis às necessidades reais, em vez de buscar “super-heróis” capazes de fazer tudo.
Três ações imediatas recomendadas aos CISOs
O estudo indica três medidas práticas que líderes de segurança podem adotar já no próximo trimestre:
1. Auditar cada vaga aberta com base em um framework padronizado
Antes de publicar uma descrição de cargo, a recomendação é confrontar essa vaga com frameworks reconhecidos, como o NICE, que classificam funções, competências e níveis de proficiência em cibersegurança. Isso ajuda a:
– esclarecer quais habilidades são realmente essenciais;
– evitar listas intermináveis de requisitos irreais;
– diferenciar o que é “desejável” do que é “imprescindível”.
2. Criar um programa de treinamento em segurança de IA como pré-requisito para implantação
Em vez de reagir a incidentes envolvendo IA com treinamentos emergenciais, o relatório defende que a capacitação seja condição obrigatória antes da adoção dessas tecnologias. Ou seja, nenhum grande projeto de IA deveria ir a produção sem que:
– a equipe de segurança tenha recebido formação específica;
– existam padrões mínimos de proteção de dados e modelos;
– haja clareza sobre riscos, monitoramento e resposta a incidentes ligados a IA.
3. Formalizar e comunicar as duas trilhas de carreira
As organizações devem não apenas definir a trilha técnica profunda e a trilha de amplitude operacional, mas também torná-las públicas internamente e utilizá-las ativamente em processos de recrutamento, avaliação de desempenho e planos de desenvolvimento. Isso orienta candidatos e colaboradores sobre o que se espera de cada trajetória e quais competências precisam ser desenvolvidas em cada etapa.
Como a IA está transformando o perfil da força de trabalho em segurança
A Inteligência Artificial não apenas cria novos riscos; ela também redefine o que significa ser um profissional de cibersegurança. Algumas mudanças já são visíveis:
– Menos foco em tarefas repetitivas: atividades como correlação básica de eventos, triagem inicial de alertas e análise de grandes volumes de logs tendem a ser automatizadas por ferramentas de IA, liberando tempo para investigações mais complexas.
– Mais ênfase em pensamento crítico e contexto de negócio: os profissionais passam a ser cobrados por interpretar recomendações geradas por sistemas inteligentes, contextualizar essas informações e traduzi-las em decisões estratégicas.
– Novas responsabilidades regulatórias e éticas: segurança em IA envolve não só proteção técnica, mas também aspectos de privacidade, viés algorítmico, conformidade legal e governança de dados.
Isso significa que, além de conhecimento técnico tradicional (redes, sistemas, criptografia, resposta a incidentes), as equipes precisam desenvolver habilidades em governança de IA, avaliação de risco algorítmico e entendimento de modelos de machine learning o suficiente para questionar, auditar e proteger essas soluções.
Desenvolver habilidades internamente passa a ser estratégico
Diante da escassez de especialistas prontos em segurança de IA, muitas organizações começam a tratar o desenvolvimento de competências internas como um pilar de estratégia, não apenas como ação de RH. Algumas práticas recomendadas incluem:
– Programas estruturados de upskilling e reskilling para profissionais de segurança que já estão na casa, com foco em IA, nuvem, DevSecOps e automação.
– Rotação interna de funções, permitindo que talentos passem por áreas como desenvolvimento, operações e negócios, ganhando visão mais ampla dos processos que precisam ser protegidos.
– Mentoria e comunidades internas de prática, onde especialistas mais experientes apoiam quem está em transição para novos domínios, compartilhando casos reais, falhas e boas práticas.
Essa abordagem reduz a dependência de contratações externas difíceis e caras, aumenta o engajamento dos profissionais e acelera a adaptação da área de segurança às demandas tecnológicas da empresa.
Repensar descrições de cargo para atrair o talento certo
Outro ponto crítico levantado pelo relatório é a qualidade das descrições de vaga. Exigir uma combinação irreal de certificações, anos de experiência, linguagens, frameworks e especialidades afasta bons candidatos e perpetua a ilusão de que “ninguém serve”.
Algumas recomendações práticas:
– Focar nas competências essenciais para a função, em vez de listar todo o stack tecnológico da empresa.
– Diferenciar nitidamente o que é essencial, desejável e treinável.
– Evitar misturar múltiplas funções em um único cargo, como esperar que um analista júnior seja ao mesmo tempo engenheiro de IA, especialista em nuvem, gestor de projetos e porta-voz da empresa.
Ao alinhar as expectativas e usar frameworks como referência, os CISOs têm mais chances de encontrar profissionais que possam crescer na função, mesmo que não cheguem “prontos” em 100% dos requisitos.
Segurança como parceira do negócio na adoção de IA
A mudança de foco da quantidade para a qualidade dos talentos em segurança também reflete uma transformação no papel da área dentro das organizações. Em vez de atuar como um “freio” para projetos de IA, a segurança precisa se posicionar como parceira estratégica que:
– participa desde o início da concepção dos projetos;
– ajuda a definir limites de uso da IA compatíveis com o apetite de risco do negócio;
– orienta sobre arquitetura segura, governança de dados, monitoramento e resposta.
Para isso, uma das trilhas de carreira sugeridas – a de amplitude operacional – torna-se essencial. São esses profissionais que conseguem traduzir questões técnicas em implicações financeiras, regulatórias e de reputação, influenciando decisões no nível executivo.
O desafio para os próximos anos: alinhar velocidade de inovação e evolução das habilidades
As conclusões do relatório SANS/GIAC 2026 apontam para um desafio que vai além de preencher vagas: é necessário sincronizar a velocidade de evolução tecnológica com a evolução das competências das pessoas. Enquanto novas ferramentas de IA entram na rotina corporativa em questão de semanas ou meses, formar um profissional capaz de defendê-las pode levar anos.
CISOs que continuarem tratando a questão apenas como um problema de headcount tenderão a ficar sempre atrás das ameaças. Já aqueles que enxergarem desenvolvimento de habilidades, redesenho de carreiras e integração entre segurança e negócios como parte da estratégia central terão mais chances de construir equipes capazes de proteger esse novo cenário digital – mesmo sem dispor de um exército de especialistas raros no mercado.
Em resumo, o estudo reforça que o verdadeiro diferencial competitivo na segurança não é o tamanho do time, mas a capacidade das pessoas certas fazerem as coisas certas, na hora certa, em um ambiente de constante transformação impulsionado pela Inteligência Artificial.