Cybersecurity, c’è un divario di competenze da colmare… adesso!

Fino a qualche anno fa la sicurezza informatica era vista come un “peso ingombrante”, un costo da sostenere senza aver forse ben chiari i vantaggi. Oggi, complici i continui report che testimoniano i costi della “non sicurezza”, nonché una cultura che eleva la cybersecurity a tema di business, la sicurezza informatica è spesso vista come differenziale competitivo, soprattutto in quelle aziende che riconoscono l’importanza della privacy, della protezione dei dati personali o della proprietà intellettuale.

Secondo il report di Kaspersky, dal titolo “IT security economics in 2019: how businesses are losing money and saving costs amid cyberattacks” [condotto su quasi 5mila professionisti, responsabili delle decisioni aziendali in ambito IT, in oltre 23 paesi del mondo – nda], nel 2019 le violazioni dei dati, da un punto di vista economico, producono impatti sulle aziende per un valore medio di circa 1,41 milioni di dollari (valore in aumento rispetto alla quota di 1,23 milioni di dollari registrata per l’anno precedente).

Il valore scende però a 675mila dollari in presenza di un SOC interno, ossia di un Security Operation Center; anche in presenza di un DPO, Data Protection Officer, l’impatto economico viene mitigato: secondo quanto emerge dal report oltre un terzo delle aziende (il 34%) dotate di questa figura professionale, che ha subito una violazione dei dati, non ha avuto alcuna perdita economica.

È quindi evidente che la presenza di team e professionisti con competenze specializzate diventa un importante tassello nella mitigazione dei rischi, nella gestione delle minacce, nella prevenzione intesa anche nella sua accezione di controllo dei costi e delle eventuali perdite.

Organizzazioni a rischio se mancano le competenze

Se da un lato, a mitigare i rischi nelle violazioni dei dati ci sono team e professionisti che aiutano a ridurre gli impatti (anche economici) di eventuali attacchi o data breach, dall’altro, la carenza di questi professionisti sul mercato del lavoro rappresenta una minaccia ed un rischio per le organizzazioni aziendali.

Secondo l’ultimo report “Cybersecurity Workforce Study” di (ISC)², associazione internazionale senza scopo di lucro per leader e professionisti della sicurezza informatica, in Europa la carenza di lavoratori qualificati nell’ambito della cybersecuirty è aumentata di oltre il 100% in un solo anno ed oggi sono quasi 300mila le figure mancanti. A livello globale si stima addirittura una carenza, rispetto alla potenziale domanda, di oltre 4 milioni di professionisti.

Se il dato rappresenta una buona notizia per chi cerca lavoro o sta pensando su quali specializzazioni in ambito IT focalizzarsi per il futuro, di contro lo scenario attuale non è certo da interpretare come roseo, soprattutto se lo si analizza dalla prospettiva dei rischi (sia per le aziende sia per le singole persone).

Non sorprende infatti che oltre la metà dei professionisti di sicurezza informatica interpellati dall’associazione (ISC)² [oltre 3200 a livello globale quelli intervistati – nda] abbia affermato che la propria organizzazione è a rischio moderato o addirittura estremo a causa della carenza di personale.

Mentre un decennio fa la cybersecurity nella maggior parte delle aziende consisteva in un software di protezione (spesso anche un semplice antivirus), oggi è una funzione mission-critical che richiede sia competenze tecniche sia manageriali e di business.

Stando alla fotografia analizzata da (ISC)² il divario non è certo da attribuire ad un tema di disoccupazione risolvibile con politiche specifiche per il mercato del lavoro (c’è una domanda fortissima di competenze, semmai a mancare è l’offerta, ossia la disponibilità di questi professionisti).

Come colmare la carenza di competenze

Una delle ragioni da cui deriva il gap di competenze in ambito cybersecurity, come accennato, è imputabile al fatto che il mercato non è in grado di tenere il passo con la domanda: il numero di attacchi informatici è alle stelle e continuerà ad aumentare fino a quando il crimine informatico rimarrà redditizio, ci sarà quindi sempre più bisogno di professionisti in questo ambito.

Lato offerta, non esistono ad oggi percorsi di carriera coerenti e ben definiti e questo genera confusione non solo rispetto alle mansioni lavorative ma anche rispetto alle “potenzialità” di una figura professionale legata alla cybersecurity per il business di un’azienda.

Secondo quanto emerso da una indagine indipendente condotta da 451 Research nel terzo trimestre del 2019 [ricerca che ha coinvolto305 intervistati a livello globale che ricoprono ruoli di responsabilità per quanto riguarda la sicurezza informatica nelle aziende – nda], il top management consulta i responsabili della sicurezza informatica, indipendentemente dalla struttura gerarchica dell’azienda: il 60% dei CISO intervistati dichiara che i business leader richiedono il loro intervento soprattutto nei casi in cui si verifica un incidente di sicurezza informatica interno all’azienda.

Eppure, i CISO incontrano ancora qualche difficoltà quando si tratta di giustificare le spese necessarie per la sicurezza informatica poiché la maggior parte delle aziende considera gli investimenti di sicurezza ancora parte del budget IT (e la cybersecurity deve quindi “competere” con altre priorità di investimento).

Colmare il divario richiede quindi approcci diversificati ed azioni concrete che non possono guardare solo alla formazione pre-lavoro (quindi all’educazione scolastica) ma che implicano per le aziende – e l’ecosistema tecnologico che le circonda (partner, vendor e fornitori di servizi) – un ripensamento organizzativo ed uno sforzo interno nello sviluppo di competenze specifiche da “chiamare ai tavoli di decisione” non solo quando si verificano incidenti.

Non solo, la cybersecurity deve essere vista come un lavoro di squadra che coinvolge tutta l’azienda: per prevenire incidenti e ridurre al minimo gli impatti di eventuali attacchi è fondamentale che tutti i dipendenti ed i collaboratori dell’impresa siano consapevoli dei rischi e sappiano come comportarsi (evitando quindi di essere loro stessi fonte di vulnerabilità).

Uno sforzo, quest’ultimo, che le aziende non possono affrontare da sole. L’importanza di sviluppare delle competenze specifiche non vale solo per le figure professionali all’interno dell’azienda ma anche per tutto l’ecosistema di partner e fornitori di servizi. Sfida che devono saper cogliere, in primis, le aziende vendor di sicurezza creando programmi ad hoc per consentire ai propri partner di acquisire nuove competenze da poter poi trasferire, anche come servizio, alle aziende utenti.

Solo così si riuscirà a colmare quel gap di competenze… in attesa che la formazione scolastica e specializzata riesca a far fronte ad una domanda sempre crescente di professionisti in cybersecurity.