Da anni si parla di “carenza di talenti” nel mondo della cybersecurity. Ma il nuovo rapporto di SANS Institute e GIAC per il 2025 (2025 Cybersecurity Workforce Research Report di SANS e GIAC) capovolge la prospettiva: non è tanto un problema di scarsità di professionisti, quanto di allineamento tra competenze richieste e profili disponibili. In altre parole, servono meno “teste in più” e più persone con le giuste capacità. E le aziende che stanno affrontando meglio la sfida sono quelle che hanno capito che, per costruire team cyber solidi, serve una visione strategica sul talento.
Dalla quantità alla qualità: cercare le giuste competenze
Secondo la ricerca, che è basata sulle risposte di 3.400 professional a livello globale (per il 75% dell’ambito cybersecurity e per il 25% dell’area HR), il 52% delle organizzazioni segnala come sfida principale “non avere il personale giusto”, contro il 48% che lamenta “non avere abbastanza personale”. Un cambio di paradigma: conta di più la qualità delle competenze che la quantità delle risorse.
Fonte: 2025 Cybersecurity Workforce Research Report di SANS e GIAC
Non è un caso che la capacità tecnica sia oggi il primo criterio di valutazione dei candidati, seguita da certificazioni professionali specifiche. Ma l’esperienza pregressa o il titolo di studio non bastano più: si cercano persone adattabili, curiose, capaci di comunicare e risolvere problemi. Le cosiddette power skills, considerate sempre più decisive nei processi di selezione.
Fonte: 2025 Cybersecurity Workforce Research Report di SANS e GIAC
HR e cybersecurity: una nuova alleanza
Un’altra novità importante è la crescente collaborazione tra le Risorse Umane e i team di sicurezza. In molte realtà, gli HR business partner sono integrati nei team cyber, partecipano ai processi di selezione e vengono formati sulle tecnologie e i framework di sicurezza per comprendere meglio i profili cercati. Strumenti come il framework NICE (americano) o l’ECSF (europeo) stanno favorendo la creazione di un linguaggio comune tra chi cerca e chi valuta il talento cyber, standardizzando ruoli e competenze.
Formazione continua e crescita interna: la chiave per attrarre e trattenere talenti
Oltre il 55% delle aziende ha attivato programmi strutturati di formazione per il personale di cybersecurity. Molte adottano l’approccio “grow your own”: formare risorse interne ad alto potenziale, anche senza esperienza specifica nel settore. In Europa, cresce l’apertura verso profili non convenzionali – insegnanti, psicologi, infermieri – che mostrano spirito d’adattamento e capacità comunicative.
Fonte: 2025 Cybersecurity Workforce Research Report di SANS e GIAC
Un elemento ricorrente nelle aziende più avanzate è la cultura del mentoring: chi ha un mentore ha 5 volte più probabilità di avanzare di carriera. E realtà come Airbus o United Airlines investono in veri e propri ecosistemi di crescita professionale, tra accademie interne, conferenze di settore, laboratori pratici e percorsi di certificazione.
Certificazioni: una garanzia per aziende e clienti
La validazione delle competenze attraverso certificazioni formali è diventata uno standard di settore. Il 65% delle organizzazioni le richiede per audit o consulenze, e il 58% le usa per decisioni di assunzione o promozione. Le certificazioni danno credibilità ai professionisti e rassicurano anche i clienti sulla solidità dei team.
Ambiente e cultura: il fattore umano al centro
Un altro pilastro per attrarre e trattenere talenti è la cultura del lavoro. Il valore più apprezzato dai professionisti cyber? “Lavorare bene in un team”. Le aziende che offrono flessibilità, fiducia e ambienti sfidanti – più che solo stipendi alti – hanno più successo nel trattenere le persone.
Il lavoro da remoto è ormai una norma per molti (42% lavora da casa almeno tre giorni a settimana) e modelli innovativi come la settimana corta o gli orari flessibili stanno guadagnando terreno.
Non solo retention: valorizzare anche chi se ne va
Alcune aziende, come Santander, adottano una visione matura anche sul turnover: se un professionista cresce internamente e poi ottiene un ruolo prestigioso altrove, è comunque un successo. Significa che l’organizzazione sa sviluppare talenti di valore. Altre, come Airbus, puntano a creare ambienti talmente stimolanti da far scegliere alle persone di rimanere.
In conclusione, saranno vincenti le strategie più innovative per un contesto in continua evoluzione
La gestione dei talenti nella cybersecurity è diventata una vera e propria disciplina strategica. Non basta più assumere: occorre capire quali competenze servono, formare chi ha potenziale, creare ambienti di lavoro motivanti e costruire un’identità culturale forte.
Anche le normative – come NIS2, DORA, SEC o CMMC – stanno spingendo verso modelli più strutturati nella definizione dei ruoli e nella convalida delle competenze. Chi saprà muoversi in questa direzione, potrà contare su team più resilienti, motivati e capaci di affrontare le sfide complesse del mondo digitale.
“Possiamo confermare che questa tendenza si sta affermando anche in Italia – spiega il Responsabile SANS Manlio Longinotti – dove c’è ancora molto da fare per quanto riguarda la cultura della formazione in sicurezza informatica. Le organizzazioni virtuose che ciclicamente propongono ai team i nostri training specialistici unitamente alle certificazioni GIAC, sono consapevoli che il valore di questi progetti va oltre l’aggiornamento professionale dei singoli ed una migliore postura di sicurezza e capacità di individuazione e risposta alle minacce. Investire sulle persone in questo modo infatti rende le aziende più attrattive e competitive in un settore dove il networking fra professionisti e la fame di competenze nuove sono fra i valori principali su cui basare una solida strategia di talent acquisition”.
—————————
Il tema di come MOTIVARE, MANTENERE, VALORIZZARE IL TEAM SECURITY sarà trattato e discusso, in un momento ristretto dedicato ai Responsabili della cybersecurity aziendale, organizzato da The Innovation Group il prossimo 18 settembre a Milano, il “CISO Panel 2025: NIS2, Cyber Resilienza e Sicurezza della Supply Chain“
(Posti limitati e riservati ai Responsabili Cybersecurity).
