Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'inchiesta

Esperto in cyber security: quanto può guadagnare in Italia?

Dall’esperienza personale dell’autore e da interviste tra gli esperti del settore, una mini indagine sulle retribuzioni per i professionisti della cyber security. Realtà private e pubbliche hanno approcci diversi alla selezione del personale e ai compensi: in generale però emergono forti differenze rispetto al resto d’Europa e USA

20 Mag 2019
R
Daniele Rigitano

Cyber Security Specialist @ Computer Emergency Response Team


Fare i conti in tasca a un esperto di cyber security, per delineare il possibile quadro retributivo per questa figura professionale oggi più che mai di spicco. Secondo il professor Luigi Vincenzo Mancini, Vice Direttore del Cyber Intelligence e Information Security Research Center, il mercato offre posizioni di alto livello, con retribuzioni che superano i 200.000 euro lordi annui. Scopriremo però che nel contesto italiano, la realtà è drammaticamente diversa.

Le stime di Mancini

L’idea di questo articolo è nata durante l’Italian Cyber Security Report 2016, tenutosi il 2 marzo 2017 presso l’Aula Magna dell’Università La Sapienza di Roma. Il tema della discussione introduttiva si incentrava sulla presentazione della nuova laurea magistrale in Cyber Security, presso l’università di Roma La Sapienza.

Nell’elencare la moltitudine degli sbocchi professionali e delle possibilità di carriera, il professore ha anche portato l’esempio di una stima delle retribuzioni alle quali i futuri laureati avrebbero potuto ambire, basata sul panorama Americano. Nella presentazione erano indicati una moltitudine di importi: partendo da un minimo 100.000 dollari fino a superare i 250.000 dollari lordi annui, in base alla professionalità maturata dalle varie figure descritte.

Tra sguardi attoniti e speranzosi degli studenti presenti in sala, si è tuttavia elevata una fragorosa risata da parte di alcuni volti noti del panorama informatico presenti tra il pubblico. Questo perché la realtà italiana è ben diversa da quella europea ed infinitamente lontana da quella americana. Da qui nasce l’idea di documentare, tramite esperienze personali ed interviste a professionisti del settore, i tipi di offerte lavorative proposte da P.A., enti parastatali ed imprese. Il modello di candidato preso in considerazione consiste in un esperto di Cyber Security, con esperienza documentata di 5 anni.

Professionisti nella Pubblica Amministrazione

Iniziamo la carrellata parlando della PA. Purtroppo partiamo decisamente male, poiché in questo ambito non esistono figure specifiche riguardanti la cyber security; in verità non vi è nemmeno distinzione tra dipendente ordinario ed informatico. Esiste unicamente la figura del funzionario. In caso di superamento di un concorso, la massima qualifica interna alla quale si può ambire è quella di “analista”.

Inoltre, per profili professionali orientati alla sicurezza, l’entrare a far parte di un CSIRT/CERT ministeriale è demandato puramente alla fortuna. Ne consegue che il corrispettivo trattamento economico non si discosta da quello di un qualsiasi funzionario che svolge funzioni ordinarie: 25.000-35.000 euro annui lordi.

La situazione in IPZS

Passiamo al campo parastatale. Il 25 settembre 2017, l’Istituto Poligrafico e Zecca dello Stato pubblica un bando[1] di concorso volto a “ricercare 5 figure professionali da impiegare principalmente nell’analisi dei requisiti, della progettazione e dell’integrazione di procedure, strumenti e tecnologie finalizzati a garantire la Cyber Security delle reti e dei sistemi aziendali dell’istituto”. In breve: un Incident Response Team.

La selezione si è svolta tramite un primo colloquio di gruppo seguito, in caso di idoneità, da un colloquio individuale molto tecnico e presenziato da personale veramente all’altezza. Da bando, “[…] la tipologia del contratto e la retribuzione saranno commisurate sulla base dell’effettiva esperienza e professionalità maturata”. Purtroppo, la retribuzione proposta non supera i 30.000 euro lordi annui, nonostante sia chiara richiesta una figura con elevate capacità e pregressa esperienza nel settore.

Compensi in Banca d’Italia

Il 4 luglio 2017, B.I. pubblica un bando[2] per 45 assunzioni nel profilo tecnico, suddivise in 25 esperti (lettera A) e 20 assistenti (lettera B) nel campo ICT. La lettera A era ad esclusivo appannaggio dei detentori di una laurea specialistica in discipline informatiche o similari, con votazione non inferiore a 105/110; la lettera B consentiva la candidatura a chi avesse conseguito il diploma di istruzione secondaria con un punteggio non inferiore ad 80/100 o 48/60.

Quest’ultima prevedeva la possibilità dell’applicazione di una preselezione per titoli: in una apposita tabella erano riportati i punteggi attribuiti ad ogni candidato in base alla votazione inerente al diploma e/o al possedimento di lauree nelle discipline concernenti il campo ICT, ad esclusione dei master di qualsiasi livello. Quello che stride un po’ in questa selezione è la nota informativa[3] del 27 giugno 2017 che, in relazione alla eccezionale quantità di domande di partecipazione pervenute, applicava una “tagliola” al numero degli ammessi al concorso, come da art.3 del bando.

Testualmente: “[…] ad esito di tale preselezione vengono ammessi alla prova scritta 1.399 candidati, quelli in possesso di un punteggio pari o superiore a 7,00”. Andando ad analizzare le tabelle succitate si nota come un laureato magistrale con votazione al diploma inferiore a 93/100 venga brutalmente escluso dal concorso a favore di un qualsivoglia diplomato con 100/100 ad un istituto anche non inerente all’ambito ICT[4]. Inoltre, sempre da nota, il numero totale di iscritti consisteva in 4.606 candidati: un numero non così smisurato, che rende estremamente “cacofonica” la necessità di tale preselezione nella sua totalità.

La vicenda tragicomica, che conclude l’eccentricità di procedimento selettivo, è che alcuni vincitori della lettera B sono stati successivamente selezionati come membri del nuovo CERT-BI; piuttosto ci si aspettava che tale carica sarebbe stata prerogativa dei vincitori della lettera A. Unico appunto lievemente positivo riguarda l’ambito retributivo: i compensi riguardanti gli esperti e gli assistenti IT si aggirano rispettivamente intorno ai 50.000 euro ed i 40.000 euro annui lordi.

Esperti in SoGei

Il 26 marzo 2018, società informatica partecipata fiore all’occhiello del MEF, pubblica un bando[5] di selezione per la ricerca di “Personale Esperto IT e Cyber Security Specialist”, salvo poi inviare la mail di avvenuta iscrizione con la seguente dicitura di riepilogo: IT e Cyber security specialist – Tipologia: Junior

Webinar, 8 aprile
Come garantire una business continuity, oggi più che mai strategica?
Datacenter
IoT

Sorvolando sul fatto di come si possa essere esperti “junior”, la selezione prevedeva titoli e conoscenze di tutto rispetto per l’inserimento del candidato in un team di analisi della sicurezza dei software SoGei o all’interno del CERT-SoGei.

La selezione, presenziata da personale indiscutibilmente all’altezza, è stata di tipo tecnico conoscitivo. Nota dolente risulta essere l’inquadramento proposto, evidenziato anche nel bando: 6° livello CCNL metalmeccanico, corrispondente ad una retribuzione di 32.000-37.000 euro lordi annui.

Telespazio (Leonardo)

Nel febbraio 2019 il Centro Spaziale del Fucino per il Gruppo Telespazio[6] ricerca “specialisti in Cyber Security da assumere a tempo indeterminato, ai quali affidare le attività di sicurezza informatica relative al progetto internazionale Galileo[7], gestito dalla sua nascita interamente da Telespazio tramite il suo Centro Spaziale”. L’opportunità apparentemente ottima, sia relativamente alla posizione che all’attività, oltre alla strategicità della posizione e la solidità dell’azienda, si rivela dolente riguardo l’ambito retributivo. L’offerta proposta riguarda un contratto di quinto-sesto livello impiegatizio CCNL metalmeccanico, ed una serie di benefit concordati per tutti i dipendenti diretti di Telespazio.

Questo si traduce, in base al background studiorum e professionale del candidato, ad una retribuzione che va da un minimo di 25.000 euro ad un massimo di 35.000 euro, escludendo categoricamente qualsiasi tipo di livello di tipo “quadro”.

Retribuzione in BNL

Lasciamo il campo del parastatale e passiamo al mondo privato. Nel primo semestre 2018, BNL era alla ricerca di professionisti nel campo IT da inserire nei team che si occupano di:

  • analisi della sicurezza applicativa;
  • OWASP;
  • protocolli di autenticazione;
  • direttive sicurezza bancaria europea.

La candidatura era effettuabile tramite presentazione spontanea[8] sul portale dedicato, della quale però non si comprende il metodo di chiamata a colloquio, nonostante le molteplici candidature simili pervenute…

La selezione, ha previsto due colloqui: il primo tecnico, incentrato principalmente sulla sicurezza delle applicazioni e sull’OWASP; il secondo conoscitivo, direttamente con il personale dirigente.

Anche in questo caso le competenze professionali richieste erano di gran lunga superiori al tipo di inquadramento proposto. Di fatto, l’offerta corrisponde all’ultimo livello bancario di tipo impiegatizio, per la figura in analisi, con una remunerazione massima non superiore ai 40.000€ lordi annui.

Dell Technologies

Nel febbraio 2018, la sezione Cyber Defense di Dell Technologies era alla ricerca di un responsabile dello sviluppo del cliente e della fornitura di offerte di servizi professionali avanzati di cyber defense per PA ed imprese a livello globale[9].

Questo ruolo, all’interno di RSA Security, garantisce al candidato un inquadramento di consulenza manageriale, con una retribuzione di alto livello che prevede il conferimento degli ulteriori bonus nel tempo: in sostanza la remunerazione si aggira intorno ai 60.000 euro iniziali, fino ad arrivare ad oltre 100.000 euro lordi annui. Ciò comporta però un’elevata probabilità di lavoro all’estero, mantenendo comunque come sede principale l’Italia.

Softlab SpA

Ad aprile 2019 Softlab, azienda specializzata in progettazione, produzione e sviluppo in ambito ICT, cercava una figura in ambito cyber security su Roma. Il livello di esperienza richiesta nel settore era di tipo medio-alto, ovvero non inferiore a 5 anni. Le competenze richieste erano genericamente relative alla conoscenza delle infrastrutture di rete ed alle metodologie di implementazione della sicurezza nelle applicazioni e nelle infrastrutture applicative. Anche in questo caso la tipologia di contratto/retribuzione viene commisurata al livello di seniority e all’esperienza nel ruolo; quanto detto si allinea con i parametri delle analisi precedentemente descritte.

Non è possibile fornire un dato certo sulla retribuzione, poiché non si è proceduto con il colloquio di selezione per un motivo sostanziale: Softlab esce da una brutta crisi risalente ad un paio di anni fa. Dal 2017, con il rinnovo della struttura organizzativa, le sorti stanno volgendo al meglio e la società sta puntando ad aprire nuove sedi per ingrandirsi. Se ne deduce che l’offerta economica che può proporre un’impresa di questo tipo può essere di due tipi:

  • Medio bassa: rivolta a specializzandi nel settore, da avviare al mondo della Cyber Security;
  • Estremamente alta: rivolta a veterani del settore, che con il loro grado di experties possono portare sicuramente un valore aggiunto all’azienda.

Di fatto per un esperto di Cyber Security con un’anzianità media, intorno ai 5 anni, questo tipo di offerta potrebbe risultare poco appetibile proprio per la precaria stabilità dell’ambiente lavorativo/remunerativo deducibile dai recenti trascorsi dell’azienda stessa.

Conclusioni

Purtroppo le aspettative per un laureando in Cyber Security non sono rosee come inizialmente pubblicizzato. È da sottolineare la staticità e l’arretratezza delle modalità di selezione ed inquadramento relative a P.A. e B.I.; salvo comunque confermare che almeno dal punto di vista prettamente tecnologico, la logistica a disposizione dei CERT ministeriali è da considerarsi di buon livello.

Le controparti parastatali, nonostante abbiano più libertà riguardo alla stipula contrattuale, pensano di poter selezionare forza lavoro specialistica a buon mercato (vedasi gli esperti junior); ritrovandosi poi a dover selezionare il personale accontentandosi delle seconde o terze linee tra gli aspiranti candidati.

Per quanto riguarda lo scenario privato, la discriminante è ben visibile dal settore di appartenenza del proponente: “Nomina sunt consequentia rerum”. RSA Security di Dell Technologies, da leader mondiale nella sicurezza informatica è l’unica offerta di lavoro degna di nota, la cui pregressa esperienza nel settore permette di valutare, inquadrare e remunerare in maniera adeguata un eventuale candidato. Per le altre aziende, valgono le stesse considerazioni precedentemente esposte per gli enti parastatali.

Note

[1] http://www.ipzs.it/allegati/offerte/1506352607377_SpecialistaCyber-Security.pdf

[2] https://www.bancaditalia.it/chi-siamo/lavorare-bi/informazioni-concorsi/2017/bando-27062017/index.html

[3] https://www.bancaditalia.it/chi-siamo/lavorare-bi/informazioni-concorsi/2017/bando-27062017/nota-informativa.pdf

[4] Basti pensare agli istituti professionali, turistici, psicopedagogici, ai licei classici, senza tralasciare le scuole private di recupero anni scolastici.

[5] http://www.sogei.it/flex/cm/pages/ServeBLOB.php/L/IT/IDPagina/1061

[6] controllata di Leonardo e Thales

[7] il nuovo GPS Europeo

[8]https://bnpparibasgt.taleo.net/careersection/ita_it_candspon_bnl/jobsearch.ftl?lang=it&radiusType=K&keyword=candidatura+spontanea

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

[9] https://dell.wd1.myworkdayjobs.com/External/job/Rome-Italy/Consultant—Advance-Cyber-Defense_R86966-1

@RIPRODUZIONE RISERVATA

LinkedIn

Twitter

Whatsapp

Facebook

Link

Articolo 1 di 2