Competenze cyber security: i percorsi formativi per diventare guru in ambito sicurezza - Cyber Security 360

NUOVE PROFESSIONI

Competenze cyber security: i percorsi formativi per diventare guru in ambito sicurezza

La situazione in Europa e in Italia evidenzia una carenza di competenze chiave in cyber security, soprattutto nella PA. Ecco quali sono i percorsi formativi per i talenti che vogliono acquisire competenze in ambito sicurezza e il database dei corsi e master per i futuri cyber esperti

08 Set 2020
D
Francesco De Luca

Cyber Security Analyst CISSP


Con il mercato della sicurezza digitale in continua espansione, aumenta anche la domanda di esperti e specialisti dotati delle necessarie competenze cyber security e di una valida formazione multidisciplinare.

Capita ogni tanto che amici, semplici conoscenti o illustri sconosciuti collegati solo da un profilo social mi chiedano informazioni sul mio lavoro e su come iniziare a lavorare nel campo della sicurezza IT, il lavoro più bello del mondo.

La risposta standard è che servono esperienza, competenze, “gavetta”, hard skill e soft skill, ma spesso non è sufficiente a risolvere tutti i dubbi.

È veramente solo una questione di esperienza e competenze?

Provo ad approfondire il punto attraverso un confronto diretto tra due “esperti” della materia: io e Graham.

Io ho superato la cinquantina, da un pezzo, e lavoro da più di trent’anni nell’IT. Graham ha diciassette anni. C’è una certa distanza anagrafica e di conseguenza io ho sicuramente più esperienza.

Io ho studiato, preso le mie certificazioni, lavorando ho affiancato persone competenti e ho imparato dall’esperienza. Graham non ha avuto il tempo di costruirsi competenze come le mie, di sicuro.

Eppure, Graham Ivan Clark di Tampa, in Florida, è accusato di essere la mente di un attacco a decine di profili Twitter anche di gente famosa (si parla di personaggi del calibro di Joe Biden, Jeff Bezos, Elon Musk e Bill Gates) rastrellando in un solo giorno più di centomila dollari in cripto valute, costruendo una truffa basata su finte donazioni per beneficenza.

Quali scuole, quali corsi ha frequentato Graham per perfezionare le skill che gli hanno consentito a diciassette anni di raggiungere questo discutibile risultato in campo cyber? Si può affermare che abbia competenza di sicurezza IT, che abbia esperienza nel campo?

Nel suo caso non possiamo parlare di formazione, almeno nell’accezione generale, forse si può pensare alle esperienze che ha fatto, almeno da quanto emerge dal suo profilo: di sicuro c’è del talento, sprecato “passando gran parte della sua vita online diventando abile nel convincere le persone a dargli soldi, foto e informazioni”.

Competenze cyber security: Italia a caccia di talenti

L’organizzazione delle cyber difese nazionali è una attività relativamente recente iniziata meno di dieci anni fa con l’intento di sopperire a carenze organizzative e strutturali nel settore.

In tempi recenti il GDPR ha risvegliato le coscienze intorpidite di PA e imprese che, anche grazie alla minaccia di pesanti sanzioni, sono state in qualche modo costrette ad affrontare il problema della protezione del patrimonio informativo proprio e dei cittadini. Nello stesso tempo, la Direttiva NIS ha acceso i riflettori sul capitolo della difesa delle Infrastrutture Critiche nazionali in un contesto europeo.

Non è una novità che la pressione di gruppi ben finanziati, strutturati ed equipaggiati sia sempre più pesante e difficile da sostenere, non potendo schierare sul terreno una quantità di risorse adeguate e preparate.

Il Governo lo scorso autunno parlava di “straordinaria necessità ed urgenza di disporre anche dei più idonei strumenti d’immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza in ambito cibernetico”.

WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

E la recente ricerca di figure professionali con specifiche competenze in ambito di sicurezza cibernetica, è la testimonianza di quanto il tema sia di stretta attualità e di come la Pubblica Amministrazione, con la quantità di dati sensibili da proteggere, abbia assennatamente deciso di rafforzare e integrare un sistema completo di difesa nazionale.

Competenze cyber security: i numeri del problema

Il senso di “necessità e urgenza” viene rafforzato, se ce ne fosse bisogno, dalle cifre espresse nel recente 2020 Cyberthreat Defense Report pubblicato a marzo di quest’anno.

Il documento, in poco meno di sessanta pagine, elabora una fotografia aggiornata sullo stato della sicurezza IT misurato su 1.200 professionisti in 17 paesi con una serie di cifre piuttosto significative:

  • più di un terzo delle aziende dichiara di aver subito almeno sei attacchi informatici e otto organizzazioni su dieci hanno ammesso di averne subito almeno uno. Ai due responsabili IT delle compagnie che a quanto pare non sarebbero mai state attaccate ricordo che “esistono solo due tipi di aziende: quelle che sono state hackerate e quelle che non sanno di essere state hackerate”;
  • più del 70% dei manager teme che questo sia l’anno nel quale per la loro organizzazione sarà estremamente difficile rispondere efficacemente alle minacce informatiche e si aspettano un sensibile incremento di attacchi andati a buon fine. Solo un paio di anni fa la pensava in questo modo il 60% degli addetti ai lavori;
  • continuano a crescere gli attacchi che fanno leva sul fattore umano (malware, phishing, ransomware) ed è preoccupante il sorpasso delle aziende che hanno pagato un riscatto per riavere i propri dati rispetto a chi non ha ceduto. Purtroppo, però, solo il 67% di chi ha voluto assecondare i ricattatori è riuscito ad ottenere la chiave per decifrare i dati. Chi invece ha deciso di non pagare è riuscito a recuperarli nell’85% dei casi;
  • il budget investito per la sicurezza cibernetica cresce molto lentamente in Italia, mentre aumentano di parecchio le aziende e le PA attaccate.

Continuando la lettura del rapporto, emerge l’opinione comune che i principali ostacoli alla definizione di efficaci strategie di difesa siano la mancanza di consapevolezza e attenzione tra i dipendenti, a pari merito con la scarsità di competenze tra il personale impiegato in compiti di cyber security.

Il problema delle competenze chiave, sia organizzative che gestionali nell’area della sicurezza, viene ribadito anche da un’analisi dell’Enisa, l’Agenzia Europea per la Sicurezza.

Il documento, pubblicato anche questo alla fine di marzo di quest’anno, mette in luce da differenti prospettive il problema del cyber security skills shortage (CSSS) a livello planetario con un focus sull’Unione Europea.

Infatti, mentre la domanda di figure professionali di alto livello in ambito cyber è quasi raddoppiata negli ultimi sette anni, il lavoro dei selezionatori per concludere una ricerca di personale nel campo della sicurezza richiede il 20% di tempo in più che in altri ruoli legati all’IT.

La difficoltà nel reclutare skill adeguate impatta pesantemente su tre quarti delle organizzazioni, aggravando ulteriormente il carico lavoro del comparto IT che, come se non bastassero i mal di pancia quotidiani, si ritrova ad occuparsi anche della sicurezza, sottraendo tempo alla formazione e allo studio delle nuove tecnologie e dedicandosi alla cybersecurity senza comprenderne pienamente ruolo e missione.

Inoltre, secondo il parere di più della metà degli IT manager, la carenza di figure preparate nella gestione della Sicurezza porterà ad un preoccupante aumento della probabilità di esporre l’ente ad un data breach.

L’Unione Europea aveva a suo tempo individuato nella “consapevolezza della sicurezza informatica e nel deficit di competenze” uno dei principali ostacoli alla costruzione di un cyberspazio sicuro. Nonostante la disponibilità di quasi 500 corsi universitari e di formazione in tutta Europa, “colmare il divario di competenze in materia di sicurezza informatica in tutti i settori rimane una sfida”.

Il mercato del lavoro

Il Global Information Security Workforce Study di (ISC)2, ha stimato che nel 2022 all’interno della Comunità Europea il deficit di competenze cyber raggiungerà 350.000 unità e un tale divario tra domanda e offerta sarà verosimilmente ancora più difficile da sostenere all’interno delle Pubbliche Amministrazioni.

D’altra parte, la sicurezza IT rappresenta un settore professionale relativamente immaturo e fortemente dinamico, condizionato dal tipo di attività e dalle dimensioni delle singole aziende: in una organizzazione piccola, che non si occupa principalmente di cybersecurity, il reclutamento di figure specifiche è raro poiché le piccole e medie imprese tendono a preferire personale informatico generalista al quale vengono delegati anche compiti cyber, mentre le grandi imprese o comunque quelle che lavorano nel campo della sicurezza, hanno bisogno di personale specializzato che possa spaziare anche nelle discipline secondarie della cyber security.

Il cyber security skills shortage

Se esiste un problema di cyber security skills shortage è anche perché le aziende non dedicano sufficiente tempo e denaro per valorizzare la Sicurezza come reale opportunità di crescita professionale. La mancanza di cultura sul tema cyber che affligge buona parte delle organizzazioni, fa sì che i datori di lavoro non offrano un adeguato livello di formazione, ostacolando sia la creazione di una forza lavoro realmente preparata, sia lo sviluppo professionale dei propri dipendenti.

In mancanza di percorsi formativi reali e strutturati, i professionisti junior o di medio livello con un background più generale ma senza skill e conoscenze specialistiche, non sono in grado di accrescere le competenze intellettuali, manageriali e tecnologiche per svolgere le loro attività quotidiane e non sono in grado di tenere il passo con il ritmo di costante innovazione con cui si muovono gli avversari.

Il problema: la formazione

Il settore IT si evolve ad un ritmo esasperato e la maggior parte dei laureati in discipline STEM (Scienze, Tecnologia, Ingegneria e Matematica) non è pronta nell’immediato ad aiutare le aziende ad elevare il proprio livello di sicurezza.

L’inevitabile mancanza di esperienza pratica degli studenti si traduce in uno squilibrio di competenze tra ciò che le aziende vorrebbero vedere in un candidato e le abilità che effettivamente possiede. Le piattaforme obsolete o non realistiche utilizzate nella formazione, la poca interazione con l’industria e una comprensione poco profonda delle dinamiche del mondo del lavoro, sono tra le principali cause della scarsità di competenze solide e spendibili in un contesto reale.

Ridefinire quindi i programmi di studio e i percorsi educativi è una delle sfide principali per quanto riguarda la carenza di competenze in materia di sicurezza informatica.

La soluzione: la formazione

Provando a “googlare” qualcosa sulla rete, emergono tutta una serie di master e corsi universitari in cyber security, organizzati da aziende, Politecnici e Università, italiane e straniere.

Anche la UE, per rispondere alla domanda crescente di formazione cyber, ha deciso di adottare gli schemi di certificazione di Australia, Francia, Regno Unito e Stati Uniti per definire dei percorsi formativi con l’obiettivo di:

  • aiutare gli studenti a prendere decisioni più informate sulla scelta del percorso di laurea in ambito cyber security;
  • disporre di un maggior numero di laureati con competenze spendibili da subito nel mondo del lavoro;
  • aiutare i datori di lavoro a comprendere e valorizzare le competenze e le conoscenze che gli studenti hanno sviluppato nella loro carriera accademica.

Con questo spirito l’ENISA ha creato una banca dati europea che consente ai giovani talenti di orientarsi consapevolmente tra le offerte di istruzione superiore nel campo della sicurezza informatica, aiutando così le università ad attrarre studenti motivati a mantenere alto il livello di competenze di cybersecurity in Europa.

Il Cybersecurity Higher Education Database, unico nel suo genere, raccoglie ed elenca i corsi di laurea e i master in sicurezza IT europei, diventando così il principale punto di riferimento per tutti i cittadini dell’Unione che puntino a costruire o ampliare il proprio curriculum formativo nel campo della sicurezza informatica.

Per poter essere certificati ed entrare a far parte del CHED, le università e i centri di formazione devono garantire una serie di requisiti minimi:

  • per un corso di laurea, almeno il 25% dei moduli insegnati devono riguardare argomenti di sicurezza informatica;
  • per un master, almeno il 40% dei moduli insegnati devono essere collegati a materie relative alla sicurezza informatica;
  • per un programma di specializzazione post-laurea, almeno il 40% dei moduli insegnati devono riguardare la cybersecurity e il programma dovrà fornire un minimo di 60 ECTS;
  • per un dottorato di ricerca, la tesi deve essere necessariamente un argomento di sicurezza informatica.

Con l’adozione di un sistema di certificazione della formazione e la creazione del database unico dei corsi in cyber security, l’Europa sottolinea quanto la componente educativa condizioni direttamente il livello di resilienza della comunità in funzione della qualità delle competenze acquisite.

L’Italia fa la sua parte offrendo ai neodiplomati e ai neolaureati una discreta scelta tra corsi di formazione universitaria e post-laurea di ottimo livello.

Si tratta di uno strumento relativamente recente che andrà diffuso, pubblicizzato e certamente migliorato, ma che allo stato attuale rappresenta un passo importante verso la costruzione di una cultura della sicurezza condivisa a livello internazionale.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5