A indústria global de cibersegurança enfrenta um momento crítico e sem precedentes. Com 4,8 milhões de posições não preenchidas em 2025, vivemos a maior crise de talentos que o setor já testemunhou. Pela primeira vez na história, o principal obstáculo para preencher estas vagas não é a falta de candidatos qualificados, mas sim a ausência de orçamento nas organizações. Esta mudança de paradigma revela uma realidade alarmante: enquanto as ameaças cibernéticas se multiplicam e se sofisticam, as empresas estão a cortar nos recursos humanos que deveriam protegê-las.
Os números revelam um cenário preocupante que afeta desde pequenas empresas até grandes corporações multinacionais. A Dolutech mergulhou nos dados mais recentes para compreender a dimensão desta crise e as suas implicações práticas para organizações em todo o mundo, incluindo Portugal e o contexto europeu sob as diretivas NIS2 e DORA.
A Dimensão Real da Crise Global de Talentos
O défice global de profissionais de cibersegurança atingiu proporções alarmantes. Segundo o estudo mais recente do (ISC)², existem atualmente 4,8 milhões de vagas não preenchidas mundialmente, representando um aumento de 19% face ao ano anterior. Esta escalada exponencial demonstra que, apesar de todos os esforços de formação e recrutamento, a lacuna entre oferta e procura continua a alargar-se perigosamente.
A distribuição geográfica desta crise revela disparidades significativas. A região Ásia-Pacífico apresenta o maior défice, com 3,4 milhões de vagas em aberto. A China lidera individualmente com mais de 2 milhões de posições por preencher, seguida pela Índia com mais de 1 milhão. Nos Estados Unidos, o mercado reporta mais de 750 mil vagas não ocupadas, enquanto a Europa enfrenta desafios particulares relacionados com a implementação das novas diretivas de segurança.
Portugal, inserido no contexto europeu, enfrenta igualmente este desafio. Embora não existam estatísticas precisas para o mercado português, os dados da região europeia indicam que o país precisará de aumentar significativamente o seu contingente de profissionais de cibersegurança para cumprir os requisitos da NIS2 e DORA, que entram em pleno vigor nos próximos meses.
Orçamento: O Novo Vilão da Escassez
Pela primeira vez na história da indústria de cibersegurança, a falta de orçamento ultrapassou a escassez de talento qualificado como principal causa das vagas não preenchidas. Os estudos mais recentes revelam que 33% a 39% das organizações apontam restrições orçamentais como o principal obstáculo para contratar profissionais de segurança.
Esta mudança representa uma inversão dramática das prioridades empresariais. Durante anos, as organizações queixaram-se de não conseguir encontrar candidatos com as competências adequadas. Agora, mesmo quando esses profissionais existem e estão disponíveis, as empresas não possuem os recursos financeiros para os contratar. Esta realidade revela uma contradição perigosa: enquanto os custos das violações de dados continuam a escalar astronomicamente, as organizações optam por economizar precisamente na área que poderia prevenir esses prejuízos.
Nesse artigo do blog Dolutech, é essencial compreender que esta decisão empresarial tem consequências diretas e mensuráveis. As estatísticas demonstram que organizações com lacunas significativas de competências em cibersegurança têm quase o dobro de probabilidade de sofrer uma violação de dados. Mais grave ainda, estas violações custam em média €1,63 milhões a mais do que em empresas adequadamente equipadas com pessoal qualificado.
A situação agrava-se quando observamos os dados sobre despedimentos. Surpreendentemente, 25% das organizações reportaram ter realizado despedimentos em departamentos de cibersegurança durante 2024. Este número chocante revela que, mesmo numa área crítica para a sobrevivência empresarial, os cortes orçamentais não pouparam as equipas de segurança.
O Drama Humano: Stress e Burnout na Linha da Frente
A pressão sobre os profissionais de cibersegurança que permanecem nas organizações atingiu níveis insustentáveis. A investigação da Gartner prevê que quase metade dos líderes de cibersegurança mudará de emprego até 2025, sendo que 25% abandonará completamente a área para assumir funções em sectores totalmente diferentes. Esta migração massiva de talento experiente representa uma hemorragia de conhecimento e competências que a indústria não pode suportar.
As causas desta fuga são múltiplas e interligadas. O estudo da Proofpoint revela que 63% dos CISOs experienciaram ou testemunharam burnout no último ano, enquanto a investigação da Sophos coloca este número ainda mais alto, em 76%. Estas percentagens alarmantes demonstram que o stress profissional na área de cibersegurança ultrapassou os limites do sustentável.
Nós observamos que o burnout não afeta apenas o bem-estar individual dos profissionais. Segundo os dados da Sophos, 39% dos profissionais reportaram que o esgotamento reduziu a sua produtividade, e 33% afirmaram que diminuiu o seu envolvimento no trabalho. Estes são indicadores precoces de risco organizacional que frequentemente precedem violações de segurança e incidentes graves.
A Chartered Institute of Information Security (CIISEC) documenta que 77% dos profissionais de cibersegurança trabalham até 50 horas por semana, enquanto 12% trabalham entre 51 e 70 horas. Um terço dos profissionais revela que o stress profissional os mantém acordados durante a noite. Esta carga de trabalho é simplesmente insustentável a longo prazo e explica as elevadas taxas de rotatividade no sector.
O Impacto Direto nas Organizações
A escassez de talentos não é uma questão abstracta ou futura – está a causar danos reais e mensuráveis às organizações neste momento. O relatório da IBM sobre o custo das violações de dados revela que o custo médio de uma violação atingiu €4,45 milhões, representando um aumento de 15% nos últimos três anos. Este valor escalona dramaticamente quando consideramos que 83% das organizações sofreram mais de uma violação no último ano.
A Dolutech destaca que 67% das organizações reportam atualmente falta de pessoal em cibersegurança, um número que permanece praticamente estável desde 2022, demonstrando a natureza persistente e estrutural deste problema. Esta falta de recursos humanos traduz-se directamente em lacunas de protecção que os atacantes exploram com eficácia crescente.
As organizações com défices significativos de competências enfrentam não apenas custos mais elevados quando ocorrem violações, mas também maior probabilidade de que essas violações aconteçam. A matemática é brutal: menos profissionais qualificados significa menor capacidade de monitorização, resposta mais lenta a incidentes, e maior exposição a ameaças emergentes. Esta equação resulta inevitavelmente em mais violações, maiores prejuízos, e danos reputacionais duradouros.
O estudo da Gartner prevê que, até 2025, a falta de talento ou falha humana será responsável por mais de metade dos incidentes de cibersegurança significativos. Esta previsão não é especulativa – baseia-se em tendências observáveis que já estão em curso. A combinação de equipas sobrecarregadas, ferramentas mal integradas, e expectativas organizacionais irrealistas cria o ambiente perfeito para que erros críticos aconteçam.
Desafios Específicos do Mercado de Trabalho
O mercado de trabalho em cibersegurança apresenta características únicas que agravam a crise de talentos. Aproximadamente 90% dos gestores de contratação consideram apenas candidatos com experiência prévia em TI, criando uma barreira significativa à entrada de novos profissionais. Esta exigência, embora compreensível do ponto de vista de minimização de risco, perpetua o ciclo de escassez ao limitar drasticamente o pool de candidatos elegíveis.
O tempo necessário para preencher vagas tornou-se outro factor crítico. Cerca de metade de todas as organizações demora mais de seis meses para preencher uma posição em cibersegurança. Para cargos de nível sénior, este prazo estende-se ainda mais, com 36% das organizações a necessitar de um ano ou mais para encontrar o candidato adequado. Durante este período, a organização opera com capacidades reduzidas e exposição aumentada a ameaças.
As competências mais procuradas em 2025 reflectem a evolução do panorama de ameaças. As organizações procuram desesperadamente profissionais especializados em segurança de cloud, testes de penetração de APIs, detecção de vulnerabilidades, arquitectura zero trust, e resposta a incidentes. Estas são áreas altamente especializadas que exigem anos de formação e experiência prática, tornando ainda mais difícil encontrar candidatos qualificados.
Nós identificamos que 85% dos empregadores preferem investir na formação de pessoal existente em vez de contratar novos talentos. Esta abordagem faz sentido estratégico, mas enfrenta limitações práticas. Apenas uma fracção dos orçamentos de cibersegurança – frequentemente menos de 3% – é alocada ao desenvolvimento de equipas. Esta subinvestimento em formação cria silos de conhecimento e estagnação de competências dentro das equipas principais.
Contexto Português e Implicações da NIS2 e DORA
Portugal enfrenta desafios particulares no contexto europeu de cibersegurança. A implementação das diretivas NIS2 (Network and Information Security Directive 2) e DORA (Digital Operational Resilience Act) exige que organizações em sectores críticos – incluindo energia, transportes, saúde, infraestruturas digitais, e serviços financeiros – implementem medidas robustas de cibersegurança.
Estas regulamentações aumentam significativamente a procura por profissionais qualificados precisamente num momento em que o mercado já enfrenta escassez crítica. As organizações portuguesas sujeitas à NIS2 devem agora implementar gestão de riscos de cibersegurança, reportar incidentes às autoridades competentes, e garantir resiliência operacional. Cada uma destas exigências requer profissionais especializados que já são escassos no mercado.
A Dolutech observa que o Centro Nacional de Cibersegurança (CNCS) tem intensificado os seus esforços para promover a formação e certificação de profissionais em Portugal. No entanto, o ritmo de formação de novos profissionais ainda está significativamente abaixo da procura crescente gerada pelas novas obrigações regulamentares.
Estratégias de Mitigação e Caminhos Possíveis
Face a esta crise multifacetada, as organizações não podem simplesmente aguardar que o mercado se equilibre naturalmente. É necessária acção imediata em múltiplas frentes para mitigar o impacto da escassez de talentos.
Automação e Inteligência Artificial
A implementação de automação e IA em operações de segurança oferece uma via promissora para aumentar a eficácia das equipas existentes. Ferramentas de Security Orchestration, Automation and Response (SOAR) podem automatizar tarefas repetitivas como triagem de alertas, correlação de eventos, e resposta inicial a incidentes. Esta automação liberta os profissionais para se concentrarem em análises mais complexas e tomadas de decisão estratégica.
No entanto, é crucial compreender que a automação não substitui a necessidade de profissionais qualificados – amplifica as suas capacidades. A implementação eficaz de ferramentas automatizadas requer ainda conhecimento especializado para configuração, ajuste fino, e interpretação de resultados.
Serviços Geridos de Segurança (MSSP)
Os Managed Security Service Providers (MSSP) e especificamente os serviços de Managed Detection and Response (MDR) representam uma alternativa viável para organizações que enfrentam dificuldades em recrutar e reter talento interno. Estes serviços fornecem monitorização contínua 24/7, resposta a incidentes, e experiência especializada a uma fracção do custo de construir capacidades equivalentes internamente.
A contratação de serviços geridos permite às organizações mais pequenas aceder a níveis de protecção que seriam impossíveis com recursos internos limitados. Para empresas maiores, os MSSP podem complementar equipas internas, fornecendo cobertura adicional e competências especializadas em áreas específicas.
Investimento em Formação Interna
As organizações que conseguem reter e desenvolver talento interno obtêm vantagem competitiva significativa. Programas estruturados de desenvolvimento profissional, incluindo certificações reconhecidas (CISSP, CompTIA Security+, CEH), formação prática em laboratórios de simulação, e participação em competições de captura de bandeira (CTF) demonstram aos profissionais que a organização valoriza o seu crescimento.
É fundamental que as organizações aumentem significativamente o investimento em formação, movendo-o dos actuais 3% para valores mais próximos de 10-15% dos orçamentos de cibersegurança. Este investimento não apenas melhora as capacidades técnicas, mas também demonstra compromisso com o desenvolvimento profissional, aumentando a retenção de talento.
Flexibilização de Critérios de Contratação
Nós recomendamos que as organizações reconsiderem os seus critérios de contratação rígidos. Em vez de exigir diplomas universitários específicos ou anos exactos de experiência, devem focar-se em competências demonstráveis, certificações relevantes, e capacidade de aprendizagem. Bootcamps intensivos de cibersegurança, cursos online, e experiência prática em projectos pessoais podem produzir candidatos altamente qualificados sem o percurso académico tradicional.
A criação de programas de entrada para profissionais júniores, com mentoria estruturada e trajectórias claras de progressão, permite às organizações desenvolver talento internamente enquanto aumentam a diversidade e inclusão nas equipas de segurança.
Melhoria da Cultura Organizacional
A Dolutech enfatiza que a cultura organizacional é crucial para reter talento em cibersegurança. Organizações que tratam os profissionais de segurança como parceiros estratégicos do negócio, em vez de meramente respondedores a incidentes, conseguem reter talento por períodos mais longos.
Expectativas realistas, apoio executivo visível, reconhecimento adequado, e autonomia na tomada de decisões de segurança contribuem para ambientes de trabalho mais saudáveis. A implementação de políticas de trabalho flexível, aumento de dias de férias, programas de bem-estar, e apoio à saúde mental demonstram que a organização valoriza o equilíbrio entre vida profissional e pessoal.
O Papel Crítico da Liderança Executiva
A resolução da crise de talentos em cibersegurança exige comprometimento ao mais alto nível organizacional. Os conselhos de administração e as equipas executivas devem reconhecer a cibersegurança não como um custo operacional a minimizar, mas como um investimento estratégico essencial para a continuidade do negócio.
Este reconhecimento deve traduzir-se em acções concretas: orçamentos adequados para contratação e formação, participação dos CISOs em discussões estratégicas do conselho, alinhamento dos objectivos de segurança com os objectivos empresariais, e criação de comités dedicados à supervisão da cibersegurança ao nível do conselho.
Quando a liderança executiva demonstra claramente que a segurança é prioritária, isso cascateia através da organização, melhorando não apenas o recrutamento e retenção de talento, mas também a cultura geral de segurança e a adesão dos colaboradores às políticas de protecção.
Conclusão: Um Desafio Colectivo Urgente
A crise de escassez de talentos em cibersegurança atingiu proporções que ameaçam a segurança digital global. Com 4,8 milhões de vagas não preenchidas e restrições orçamentais a agravar o problema, enfrentamos uma tempestade perfeita onde a procura crescente colide com oferta estagnada e desinvestimento organizacional.
A solução exige acção coordenada entre múltiplos actores: governos devem investir em programas de formação e requalificação profissional; instituições educativas precisam de alinhar currículos com necessidades reais do mercado; empregadores devem aumentar investimentos em desenvolvimento de talento interno e melhorar condições de trabalho; e a indústria tecnológica deve continuar a desenvolver ferramentas que ampliem as capacidades humanas através de automação inteligente.
Nesse artigo do blog Dolutech, destacamos que o custo da inacção é exponencialmente superior ao investimento necessário para resolver o problema. Cada violação evitada, cada incidente mitigado rapidamente, cada sistema protegido adequadamente representa não apenas poupança financeira directa, mas também preservação de reputação, continuidade operacional, e confiança dos clientes.
O tempo para agir é agora. As organizações que reconhecerem a gravidade desta crise e investirem proactivamente em soluções abrangentes estarão melhor posicionadas para enfrentar o panorama de ameaças cada vez mais sofisticado que caracteriza 2025 e os anos vindouros. Aquelas que continuarem a ver a cibersegurança como um custo a minimizar em vez de um activo a desenvolver pagarão o preço, inevitavelmente, em violações custosas e danos irreparáveis.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
