In uno scenario in cui le minacce informatiche diventano sempre più sofistiche e mutevoli nel tempo, le esigenze dei team di security cambiano costantemente richiedendo personale sempre più specializzato in grado di fronteggiare un contesto in continuo cambiamento. Purtroppo, tale compito già impegnativo delle imprese di proteggersi contro le minacce cyber è aggravato dallo skill shortage, ovvero la mancanza di competenze nel settore della cyber security.
Secondo una stima di ISC2 nel 2018 sono rimasti inoccupati a livello globale 2,93 milioni di posti di lavoro[1].
Per analizzare questo fenomeno e fornire delle indicazioni per la sua mitigazione, la Fondazione Global Cyber Security Center ha finanziato e supportato un progetto di ricerca condotto dai ricercatori dell’Università di Oxford[2].
L’obiettivo dello studio è stato analizzare le caratteristiche e le cause dello shortage e le azioni intraprese dai 12 Paesi con più alto indice di sviluppo ICT e cyber security[3] per mitigarlo.
Un focus particolare è stato dedicato allo scenario italiano. Lo studio, infatti, fornisce un’analisi completa delle carenze di competenze nel settore della cyber security in Italia, presentando anche i risultati di un sondaggio rivolto ai CISO di tutto il paese.
Dallo studio emerge un fenomeno molto complesso con cause da imputare a vari fattori. I profili e le competenze più difficili da reperire nel mercato del lavoro sia internazionale che italiano risultano essere quelle tecnico-operative.
È chiara, inoltre, una disomogeneità nella definizione e attuazione delle policy nazionali volte a mitigare il fenomeno. In linea di massima i governi hanno investito principalmente in programmi dedicati alle università e al mondo del lavoro, meno nella formazione primaria e secondaria e nei percorsi educativi professionalizzanti.
Il fenomeno risulta molto evidente anche in Italia che ha indicato nelle proprie politiche nazionali l’obiettivo di aumentare le competenze nel settore della cyber security. Tuttavia non è stata ancora definita una policy nazionale unica per ridurre lo skill shortage seppure alcune iniziative siano nate spontaneamente nell’ambito di singoli enti e organizzazioni.
I CISO italiani hanno riconosciuto una difficoltà nel trovare risorse per il settore della Cyber Security. Dalla survey emerge che nel 75% dei casi le aziende hanno serie difficoltà ad assumere nel settore della cyber security e che nel 50% dei casi fanno fatica a trovare addirittura anche un solo candidato per la posizione richiesta. Alle posizioni aperte rispondo spesso candidati con poca esperienza operativa. Dalla survey si evince che in Italia il sistema accademico garantisce, soprattutto con lauree in Ingegneria e Informatica, conoscenze in cyber security ma solo teoriche. Mancano quelle pratiche e operative che consentono l’inserimento immediato nel mondo del lavoro.
Le competenze maggiormente richieste in Italia risultano essere cyber security management, incident response, threat analysis, risk mangament, cyber investigation, cyber operations a cui si affianca, principalmente per il settore privato, la digital forensics.
Dal sondaggio emerge che, nonostante «1 – 3 anni» sia l’esperienza professionale minima richiesta dalle aziende, al fine di coprire le posizioni vacanti le organizzazioni sono disposte ad assumere anche neo diplomanti da formare.
I CISO italiani imputano tra le principali cause del fenomeno in Italia la mancanza di competenze pratiche delle risorse e gli stipendi e i benefit non adeguati rispetto al mercato internazionale di riferimento. Infatti, i pochi candidati che in Italia hanno acquisito le competenze richieste dalle aziende si rivolgono al mercato internazionale che può garantire stipendi nettamente superiori e maggiore stabilità.
Il fenomeno è molto sentito a livello internazionale e Paesi come il Regno Unito, l’Australia o il Giappone stanno investendo molto per contrastarlo.
Paragonando l’Italia con il Regno Unito, uno dei paesi con un approccio sofisticato al cyber security skill shortage, emerge il minore commitment dell’Italia in termini di cyber security e istruzione.
Il Regno Unito ha avuto un approccio nazionale al fenomeno soprattutto in termini di politiche e formazione delle giovani generazioni. Tra il 2011 e il 2016, ha investito ben 38,2 milioni di Euro in programmi di formazione ed educazione ed è attualmente in fase di definizione una ulteriore strategia per la creazione di skill in cyber security, che dovrebbe essere pubblicata entro la fine del 2019.[i] Ha dedicato alla cyber security circa un miliardo di euro di budget pubblico già nel periodo 2011-2016 che è salito a 2.2 miliardi per il periodo 2016-2021.[4]
Non è ancora chiaro quanto l’Italia spenda complessivamente per la sicurezza informatica ma il piano strategico 2017 ha ribadito come la politica di sicurezza informatica non debba comportare costi aggiuntivi per l’amministrazione e che il Governo ha creato un nuovo fondo per la difesa informatica, presumibilmente destinato al ministero della Difesa, per un totale di 3 milioni per il periodo 2019-2021. Cifre del tutto non paragonabili a quelle del Regno Unito.
Certamente l’Italia potrebbe trarre ispirazione del modello adottato dal Regno Unito, pur tenendo conto delle differenze tra i due Paesi, e mettere in campo alcune iniziative per ridurre il fenomeno dello skill shortage in cyber security.
Potrebbe definire una soluzione nazionale al fenomeno del cyber security skill shortage coinvolgendo Governo, Industria e Sistema educativo, designare un singolo ente nazionale responsabile delle relative politiche e stanziare del budget adeguato senza il quale le amministrazioni italiane difficilmente potranno attuare le politiche in materia di istruzione e competenze.
L’Italia dovrebbe considerare con priorità le politiche relative al passaggio scuola-lavoro, alta formazione e scuole superiori e sviluppare campagne per incentivare le donne a intraprendere percorsi di formazione nella cyber security al fine di favorire l’occupazione femminile nel settore.
I report dello studio internazionale e del caso Italia sono disponibili sul sito della fondazione www.gcsec.org.
A cura di:
Elena Mena Agresti
Senior Researcher Fondazione GCSEC
———————————————————
Il tema del Cybersecurity Skill Shortage sarà al centro dei lavori del “CYBERSECURITY SUMMIT 2019” di The Innovation Group, il prossimo 19 marzo a Roma.
Il Summit si pone l’obiettivo di fare il punto sull’odierno stato di maturità della sicurezza, nell’ambito degli Operatori che erogano servizi essenziali (OSE), delle imprese, delle pubbliche amministrazioni. La partecipazione delle Istituzioni che si occupano della Cyber Defense nazionale e dei migliori Esperti italiani e internazionali, crea un’occasione unica di scambio di esperienze e di networking, per approfondire le esigenze emergenti di sicurezza, il nuovo panorama delle minacce, e per comprendere come abilitare un utilizzo più sicuro di Cloud e di tecnologie emergenti quali AI, machine learning, blockchain.
Accedi al sito del CYBERSECURITY SUMMIT 2019, ultimi posti disponibili!
———————————————————