Un vuoto di 100mila figure specializzate, nel Paese che è il terzo al mondo come bersaglio di attacchi ransomware. Sono numeri preoccupanti – per non dire drammatici – quelli rilevati da 2022 Cybersecurity Skills Gap, report appena reso noto da Fortinet (azienda statunitense che copre un terzo del mercato mondiale dei firewall, e che figura tra i partner di HWG). L’analisi è stata condotta su 1.223 manager di altrettante società in 29 Stati, e ha permesso di disegnare un panorama tutt’altro che positivo. Come è noto, l’emergenza sanitaria ha favorito una crescita esponenziale degli episodi: per esempio, nel 2021 a livello globale si sono verificati oltre 2mila attacchi informatici gravi (+10% rispetto all’anno precedente), e il 64% delle imprese interpellate da Fortinet ne è stata vittima. Il 38% ha poi ammesso che le violazioni subite hanno procurato danni economici superiori al milione di dollari.
Lo Skill Gap
La questione è di autentica emergenza. Facendo un paragone con la situazione sanitaria del 2020, è come se durante quel periodo fossero clamorosamente mancati medici e infermieri. In questo caso, chi manca sono i professionisti della cybersecurity, che le aziende cominciano a cercare con estrema insistenza. Questi, secondo il report, sono i cinque profili più ricercati, con relativa quota:
- Specialisti in sicurezza Cloud - 50%
- Analisti SOC - 42%
- Amministratori sicurezza informatica - 42%
- Addetti alla sicurezza network - 40%
- Formatori - 37%
Questi sono invece i più difficili da rintracciare:
- Esperti sicurezza Cloud - 57%
- Esperti SOC - 50%
- Esperti sicurezza rete - 49%
- Sviluppatori software sicurezza - 42%
- Esperti Risk management - 38%
La situazione italiana
Ovviamente non è buona. Se da un lato è vero che il nostro Paese ha scalato cinque posizioni nell’indice Ue Desi (Digital Economy and Society Index, che riporta il grado di avanzamento sul terreno digitale), passando dal 25esimo al 20esimo posto, da un altro lato è altrettanto vero che sullo specifico del capitale umano siamo al 25esimo posto su 27 Paesi. Piena zona retrocessione. Le competenze di base sono note al 42% contro una media del 52%, e quelle avanzate lo sono al 22% contro una media del 31%. La formazione tecnica è attuata dal 15% delle imprese (media: 20%).
La necessità di fare chiarezza e di sensibilizzare aziende e personale
Lavorare nella cybersecurity significa misurarsi con un mondo complesso in cui l’evoluzione tecnologica corre e chiede un elevato livello di capacità umana per stare al passo con essa. Un analista – l’abbiamo detto – è come un medico: deve aggiornarsi, perché nel suo lavoro la formazione continua è più importante che altrove. A questa fondamentale chiarezza nel comunicare i contorni del lavoro di chi fa sicurezza informatica va aggiunto l’eterno tema dell’awareness. Anche ora che la cybersecurity guadagna le prime pagine dei giornali – gli attacchi informatici sono sempre più utilizzati come avanguardia delle manovre militari – si fatica a farne capire l’importanza. Il risultato è duplice: team IT frustrati davanti alle decisioni di quei CEO che la vedono ancora come un costo, invece che come un investimento; difese aziendali deboli e rischio altissimo di essere colpiti.
Come risolvere il problema
La ricetta contempla tre ingredienti. Il primo è prestare maggiore attenzione ai percorsi di studio universitari e post-universitari. Molte aziende, tra cui anche HWG, ha infatti avviato collaborazioni con il mondo accademico proprio per portare la propria expertise nel settore agli studenti che decidono di seguire un percorso nella sicurezza informatica.
Il secondo è la comunicazione. Il tema è strategico, i dipendenti e i manager vanno formati e resi consapevoli che un attacco informatico non è un vulnus all’azienda, ma a chi ci lavora. Chi ci rimette sono le persone (link).
Infine, riconoscere le professionalità anche sul piano salariale. Gli analisti lavorano molto, su turni e con la reperibilità. La loro importanza è strategica, e il trattamento economico deve essere adeguato.
