Formazione in ambito cyber security: modi e soluzioni per farla evolvere - Cyber Security 360

L'APPROFONDIMENTO

Formazione in ambito cyber security: modi e soluzioni per farla evolvere

Nell’attuale contesto della cyber security, la formazione deve entrare a pieno diritto fra gli strumenti a disposizione delle imprese per la riduzione della propria esposizione al rischio cyber e va riformata secondo criteri di adeguatezza rispetto al rischio che intende mitigare, sostenibilità e affidabilità del processo formativo, distinguendo i percorsi fra awareness, training e learning

16 Lug 2021
F
Enrico Frumento

Cybersecurity Senior Domain Expert, Cefriel - Politecnico di Milano

La pandemia ha provocato in tutto il mondo un salto in avanti nel processo di trasformazione digitale e sociale, stimato intorno ai 4/5 anni. Anche il cybercrime ha “beneficiato” di questo effetto e nella sua evoluzione ha introdotto tecniche di attacco mai viste prima. Il risultato è che tecnologie e processi della IT security, considerati all’avanguardia e in accordo con gli standard, non sembrano più essere efficaci. Il Covid-19 ha rappresentato per tutti noi un punto di svolta. C’è stato un mondo del lavoro prima del Covid-19 e ci sarà un mondo del lavoro dopo il Covid-19. Ecco, quindi, che d’un tratto diventa importante trovare modi e soluzioni per fare evolvere la formazione nell’ambito della cyber security.

La “sostenibilità” della cyber security

Per il cyber crime la Covid-19 ha rappresentato una opportunità unica e irripetibile.

Nei fatti il cyber crime ha raggiunto livelli di complessità e rischio del tutto nuovi. Basti considerare che gli attacchi ransomware si sono ulteriormente acutizzati proprio durante la pandemia tanto da stimare un danno globale complessivo di 20 miliardi di dollari per il 2021 (erano stati 325 milioni di dollari nel 2015, una crescita di 57 volte).

Ogni azienda che voglia attenuare il rischio associato a queste crescenti minacce ha bisogno di attivarsi.

Allo stesso tempo, però, occorre far sì che la cyber security sia “sostenibile”, non in termini energivori e non soltanto in termini economici, ma anche di tecnologie, processi, persone e, soprattutto, in termini di conoscenze.

Nel contesto della cyber security la formazione è particolarmente delicata, per via delle sue caratteristiche uniche: è nella security, infatti, che la formazione da “semplice” strumento di up-skilling e re-skilling si trasforma in uno strumento di riduzione del rischio cyber.

Tramite la formazione, una azienda aumenta la propria resilienza alle minacce cyber e, come ogni strumento di difesa, anche la formazione in questo contesto deve essere misurata in termini di efficacia, sostenibilità e processo.

In quest’ottica, i cambiamenti portati dalla Covid-19 hanno pesantemente influenzato l’ambito della formazione. Non solo per gli evidenti cambiamenti nel modo di lavorare, ma proprio perché la pandemia ha portato le persone a comprendere meglio e più rapidamente come la formazione sia un vero e proprio strumento di difesa: persone preparate ad affrontare le minacce in generale comportano una maggiore resilienza del fattore umano e quindi un minore rischio cyber.

È tempo, quindi, di ripensare le proprie strategie formative in una prospettiva più allargata.

L’impatto della Covid-19 sulle persone e sulla formazione

L’ambiente lavorativo sembra aver subito una rivoluzione irreversibile. C’è stato un mondo del lavoro prima del Covid-19 e ce ne sarà un altro dopo il Covid-19.

Sebbene il lavoro da casa non sia una nuova condizione, in pochissime settimane il lockdown ha proiettato fenomeni emergenti in una situazione prevista per il 2025, o forse oltre[1].

Tra questi vi è il bisogno di formarsi da remoto, in particolare per i professionisti che contemporaneamente debbono dedicarsi alle attività della propria carriera. Prima del 2020, il mercato globale per l’online learning aveva previsto un incremento di quasi $250 miliardi entro il 2024 e una crescita annua del 18%[2].

La pandemia ha acuito questa tendenza. Chi lavora da casa vive una situazione estremamente vincolante: le ore di lavoro possono continuamente intercambiarsi con il tempo libero, anche con scarso preavviso. Inoltre, l’impatto economico della nuova crisi ha temporaneamente ridotto la domanda di alcuni settori creando casi di sottooccupazione: un danno non da poco convertibile in un’opportunità per aggiornamento o riposizionamento delle persone.

In un simile contesto anche i mezzi di istruzione hanno il dovere di rinnovarsi. Una modalità di erogazione online che raccolga questi nuovi bisogni è la frammentazione modulare in micro-contenuti (micro-learning): videolezioni brevi, segmentazione dei programmi, slide di singoli argomenti, formule interattive leggere e veloci.

Per di più, queste modalità rimarrebbero adeguate anche a contesti di formazione a distanza più regolari, con maggior tempo a disposizione e senza le restrizioni anti-contagio.

Carenze e lacune in cyber security

Non tutte le professioni sono equiparabili alla sicurezza informatica per rapidità di evoluzione.

L’attacco su larga scala alla supply chain di SolarWinds ne ha ricordato la rilevanza strategica: “Supply chain attacks are not common and the SolarWinds Supply-Chain Attack is one of the most potentially damaging attacks we’ve seen in recent memory[3].

Secondo l’ultima Davos Agenda del WEF, la carenza di competenze è, infatti, fra le maggiori sfide per la cybersecurity mondiale per il 2021 e un sondaggio di S&P Global ha ribadito che l’IT security rimane la maggiore priorità per le imprese[4].

Nessuno può permettersi di rimanere indietro nella gestione della propria cybersecurity che passa, innanzitutto, dalle persone.

Basti considerare che gli attacchi ransomware hanno subito un’impennata durante la pandemia stimabile in un danno globale di $20 miliardi per il 2021 (erano stati $325 milioni nel 2015)[5]. Ogni azienda che voglia attenuare il rischio cyber ha bisogno di attivarsi per acculturare il proprio personale, sia quello generico che quello impegnato nelle difese.

Una recente ricerca condotta da Ipsos per il British Department for Digital, Culture, Media & Sport distingue fra lacune e carenze nella sicurezza informatica.

Le lacune (gaps) si verificano quando gli individui non soddisfano le competenze richieste.

Le carenze (shortages), invece, sussistono quando il numero di persone impiegate è insufficiente.

Nel primo caso, sono emerse le seguenti problematiche per i lavoratori: il 18% delle aziende ha assunto persone senza le abilità tecniche necessarie, mentre un altro 23% le ha scelte competenti tecnicamente, ma senza le dovute abilità manageriali e comunicazionali.

A ciò si sommano le carenze numeriche.

Dal gennaio 2019 il 37% delle posizioni aperte risulta difficile da occupare e le principali ragioni sono la mancanza di conoscenze personali (48%), la mancanza di esperienza (35%), la mancanza della giusta attitudine (30%) e la mancanza di soft skills (28%)[6].

La cyber security ha, infatti, un problema di attrazione e non solo nel Regno Unito.

Rendere la cyber security più attraente

Nello stato carenziale descritto, il 4% degli addetti cyber decide di abbondonare la propria posizione.

L’attrazione è un problema di non facile risoluzione poiché non riguarda soltanto gli impiegati, ma anche chi si trova sul punto di iniziare un percorso di studi orientato ad una professione.

Ci sono molte ragioni per cui il settore della cyber security fatichi sia a richiamare talenti sia a mantenerli. Certamente alla sicurezza IT è associata un’immagine distorta che spesso è accompagnata da una narrativa densa di tecnicismi tanto da farla percepire come una materia oscura, adatta soltanto a giovani nerd.

Non essendoci consapevolezza sulla varietà di ruoli di questo settore, viene percepita come un ramo dell’IT ristretto, quasi di nicchia, a cui si somma l’incapacità dell’istruzione accademica di coprirne efficacemente i suoi sotto ambiti.

Secondo ENISA (2019), una delle principali cause di questa carenza globale è da ricondursi alle difficoltà di accesso a percorsi universitari o post-universitari in cybersecurity[7].

La realtà professionale, infatti, è ben diversa dalla narrativa nerd. Ci sono innumerevoli ruoli che non sono puramente tecnici e richiedono abilità relazionali, di business e perfino politiche.

Nelle grandi aziende sono in corso processi trasformativi trasversali che esigono competenze in cyber security a livello manageriale[8].

Sarebbe opportuno rompere il cliché radicatosi e creare una nuova narrativa, orientata al business con percorsi di formazione che siano capaci di attrarre profili anche da altri settori. Tant’è vero che il team di cybersecurity ideale è multidisciplinare.

Obiettivo strategico europeo e formazione per le PMI

La rivoluzione digitale sta riguardando tutte le realtà imprenditoriali. Le micro, piccole e medie imprese sono la spina dorsale dell’Europa rappresentando il 99% di tutte le imprese, contribuendo al 50% del PIL e occupando due terzi del totale della forza lavoro[9].

Il panorama è molto vario. Esistono start-up innovative che offrono e sfruttano soluzioni digitali vincenti, ma esistono altresì realtà che cercano di evolversi digitalmente ma non riescono ad ottenere quel vantaggio competitivo desiderato.

Dai rilevamenti della Digital SME Alliance emerge una carenza significativa per le micro, le piccole e le medie imprese per i settori tecnologici IoT, big data e cyber security[10].

Si sta progressivamente allargando un pericoloso divario di competenze tra il personale nell’orbita dei big e il personale nell’orbita dalle PMI. Tema, questo, ribadito anche nella giornata di lancio del Digital Europe Program[11].

Le PMI, infatti, non sono in grado di competere nell’attrazione di talenti altamente specializzati, per di più, in una situazione di scarsità globale[12]. Bitkom ha stimato che il danno di fatturato per le imprese tedesche causato dalla carenza di personale IT specializzato è pari a €10 miliardi.

In Italia, già nel 2018, la Presidenza del Consiglio dei Ministri aveva sollevato il problema di formazione in cybersecurity per il nostro Paese. Oltre il 50% delle aziende impiega in media almeno 61 giorni per ingaggiare un candidato[13].

Per mantenere l’Europa e l’Italia competitive sul panorama internazionale e per creare un tessuto di piccole e medie imprese che siano pronte alle nuove sfide, urge l’individuazione e la valorizzazione di leadership culturali, competence center per la diffusione di competenze digitali strategiche sul territorio, in particolare in cyber security.

Strategia, questa, anche al centro del piano Europeo per la formazione di una rete di Digital Innovation Hub[14].

HWG - white paper - Cyber rischio: prevenire e rispondere agli incidenti

Il concetto di highly contextualised training experience

In generale, risulta quindi evidente che la formazione debba diventare più efficiente e sostenibile. Questo vuole dire massimizzare la retention[15] e il trasferimento di competenze, ridurre il rischio cyber aziendale e minimizzare i costi. In quest’ottica, la strategia adottata da Cefriel è costruita su tre pilastri:

  1. Learning, training e awareness. Personalizzare la formazione sul singolo gruppo di discenti, sia per coloro che intendono approfondire verticalmente un dominio di cybersecurity (tech intensive) sia per coloro che puntano alla valorizzazione del business aziendale (C-levels), distinguendo la formazione in tre distinti modi: learning, training ed awareness.
  2. Formazione contestualizzata e riduzione del rischio cyber. Collegare la formazione con le stime di rischio cyber dell’elemento umano, sfruttando i vantaggi offerti da sistemi di People Analytics[16] per personalizzare la formazione (personalizzazione che include oltre la selezione degli argomenti formativi anche i paradigmi formativi adeguati al discente), collegandole alle stime di rischio cyber aziendale.
  3. Adesione all’European e-Competence Framework 3.0. Adeguarsi a un riferimento europeo per le competenze professionali nel mondo dell’Information and Communication Technology (ICT) negli ambiti di re-skilling e up-skilling.

Il dilemma fra learning, training e awareness

Tra le caratteristiche del target della formazione, l’età è un fattore determinante. L’andragogia, a differenza della pedagogia, teorizza l’istruzione per gli adulti. Supporta persone già formate a sostenere ulteriori bisogni di apprendimento.

Questo modello ha lo scopo di facilitare e arricchire il processo di maturità tramite una figura di riferimento che faciliti il processo di acquisizione.

La persona adulta che decide formarsi è spesso motivata ad apprendere perché ne sente l’esigenza, ha già una certa esperienza pregressa perlomeno correlata con la materia e vuole mettere in pratica quanto acquisito nel breve termine[17].

Idealmente gli istruttori si propongono come facilitatori dell’apprendimento attraverso l’attività di learning. Spesso i termini learning e training sono usati in sovrapposizione e a questi se ne aggiunge anche un terzo, l’awareness, ma hanno tre significati diversi:

  1. L’awareness è l’attività più semplice e si riferisce alla conoscenza sommaria di un fenomeno. Vuole far prendere coscienza dell’esistenza di un fatto e delle sue modalità di manifestazione. Ad esempio, una campagna di formazione aziendale sul phishing offre gli elementi per riconoscere un attacco ed evitare di esserne vittima.
  2. Il training è il livello intermedio: mira ad insegnare un procedimento sequenziato, meccanico per la risoluzione di un problema. Veicola un comportamento fisso, simile all’esecuzione di un algoritmo, di fronte ad uno scenario predeterminato. Può avere la sua efficacia, ma offre solo apparentemente un valido metodo, per altro a breve scadenza. Agire in cybersecurity secondo dei meccanismi di condizionalità ifelse if (se ti trovi in questa condizione, esegui A; altrimenti se ti trovi in quest’altra condizione, esegui B) prepara ad affrontare sfide già viste. Nella pratica si obbligano le persone ad usare tool e una sequenza di comandi o a seguire comportamenti in rete, senza reale cognizione del perché si stia agendo in quel modo e di quali altre vie alternative potrebbero essere intraprese. Può quindi risultare ineccepibile per azioni semplificate di mitigazione, ma non è certamente adeguato a rispondere all’imprevedibilità del cybercrimine contemporaneo.
  3. Il learning è l’attività più “nobile” in quanto è il processo di assorbimento più profondo per un essere umano. Stimola un comportamento critico e autonomo dinnanzi a un problema. Il discente in un contesto indeterminato è portato ad individuare gli elementi necessari per capire cosa stia accadendo, decidere consapevolmente quale processo intraprendere per la risoluzione e agire di conseguenza. Nel learning le simulazioni sono momenti topici in cui quanto acquisito si fissa nel comportamento di risposta. Per l’essere umano la capacità di adattamento è direttamente proporzionale all’intensità dall’esperienza. Biologicamente l’esposizione allo stress di una situazione di pericolo, dunque, accompagnata da un aumentato rilascio di noradrenalina, sensibilizza l’individuo, generando una sorta di reattività amplificata verso gli stimoli successivi[18]. Un esempio di questo modo di intendere il learning sono i Full Spectrum Vulnerability Assessment, pensati a tal scopo, per il personale che si occupa degli incidenti di sicurezza[19].

La formazione e la riduzione del rischio cyber

Carenza e lacune del personale, lavoro da casa, sottooccupazione hanno creato le condizioni per investire in riqualificazione (re-skilling) e in aggiornamento delle competenze (up-skilling) da parte delle aziende. Il re-skilling si propone di riposizionare la persona in un nuovo ruolo che richiede competenze non possedute.

È uno spostamento orizzontale che può condurre ad una carriera professionale alternativa o all’estensione dei compiti e delle responsabilità.

Questo processo potrebbe essere il punto di ingresso per figure meno tecniche nella cybersecurity oppure un’opportunità di cambiamento da un dominio IT generalista ad un dominio più specifico di sicurezza: uno sviluppatore web che decide di occuparsi della sicurezza delle web application.

L’up-skilling indica, invece, lo sviluppo di competenze in accrescimento così che una persona si specializzi rispetto alla sua mansione attuale. È uno sviluppo verticale. I percorsi di up-skilling sono percorsi di approfondimento: un cyber security analyst che si specializza in cyber threat hunting, per esempio.

Un altro aspetto fondamentale, sottolineato anche in sede Europea dal recente whitepaper Skill for SME è l’up-skilling e il re-skiling dei formatori, a loro volta sottoposti ad “obsolescenza”[20].

In questo una buona pratica è quella di acquisire i formatori dal mondo dei progetti per la ricerca e l’innovazione, di modo da poter trasferire il vantaggio esperienziale e di competenze acquisiti.

Up-skilling e re-skilling si innestano nell’European e-Competence Framework 3.0, un modello accettato in tutta Europa che definisce i profili del settore ICT[21].

La formazione in cyber security secondo le direttive dell’European Competence Framework dovrebbe seguire il profilo “E8 – Information Security Management (ISM)”, alla definizione del quale ha contribuito Cefriel nel contesto del progetto Europeo eCF Alliance, finanziato dal programma Erasmus+[22].

Infine, per mettere in relazione la formazione con il suo effettivo impatto sulla riduzione del rischio cyber occorre citare il progetto HERMENEUT[23].

In un’azienda esistono due tipi di asset, tangibili (es. beni materiali) ed intangibili (es. brand, reputazione etc.). La formazione in questo senso è il processo tramite il quale si costruisce il capitale umano, uno degli asset intangibili di un’azienda. Il livello di esposizione al rischio cyber di un asset intangibile e soprattutto l’impatto economico derivante dalla sua perdita o danneggiamento, è sempre stato di difficile valutazione.

Il progetto HERMENEUT ha studiato una metodologia per dimostrare che sia possibile calcolare la probabilità che gli asset tangibili ed intangibili (es. il capitale umano) di un’organizzazione siano attaccate con strategie di attacco specifiche e collegare questo valore a una stima economica delle perdite, per calcolare mappe di rischio cyber ad hoc per un’organizzazione.

Dai duelli aerei alla cybersecurity: il ciclo OODA

Il ciclo OODA è una strategia per la presa di decisione sotto pressione. È stato ideato dal colonnello John Boyd per l’aeronautica degli Stati Uniti negli anni Cinquanta e concepito per i piloti dei caccia durante i duelli aerei.

Il suo scopo è stabilire un processo efficace che consenta una reazione veloce così da non essere mai presi alla sprovvista (off guard). In origine si proponeva come strategia per aumentare le chance di vittoria.

  • Observe: raccogli rapidamente le informazioni sul contesto.
  • Orient: dai un senso alle informazioni raccolte, individua gli errori e orientati per trarre vantaggio.
  • Decide: decidi quale tra le opzioni formulate debba essere scelta.
  • Act: traduci in azione la tua decisione o testa la tua ipotesi.

La strategia assume che anche l’avversario abbia il proprio ciclo OODA. L’esito della sfida dipenderà soprattutto dal tempo di reazione[24].

Il ciclo OODA diventa decisivo nei processi di risposta agli attacchi negli scenari attuali del cybercrimine dove il tempo è una componente fondamentale per la circoscrizione dell’impatto.

L’obiettivo della formazione di un security incident response team, ad esempio, dovrebbe essere la riduzione del rischio cyber delle imprese, anche micro, piccole e medie, cercando di sbloccarne il valore in termini di sostenibilità delle contromisure e di ritorno sugli investimenti (return of security investment – ROSI).

Secondo Accenture, la sola ottimizzazione dei processi di protezione porterebbe a una crescita globale del 2.8% equivalente a $580 milioni per le G2000[25].

Un esempio di metodologia di formazione basata sul ciclo OODA è il Full Spectrum Vulnerability Assessment (FSVA). Un FSVA rappresenta un tipo elaborato di vulnerability assessment che simula un vero attacco informatico all’insaputa dei membri del team di IT security[26].

In generale il metodo è pensato per essere sicuro, poiché non viola alcun asset aziendale, ma fino al momento della sua rivelazione, che avviene ad un istante concordato in fase di progettazione, risulta del tutto indistinguibile da uno reale per i soggetti “vittima” che ve ne prendono parte.

Un’esperienza realistica per tradurre in atto l’esecuzione del ciclo OODA che segna, e quindi forma, il fattore umano aziendale. Dai risultati di un FSVA si deriva una vera valutazione del rischio aziendale, in particolare per l’incident response team, e in base ad essa si pianifica una mitigazione del rischio.

Quando questo rischio è associato alle persone, una strategia per la formazione diventa necessaria. In tal senso un FSVA è una prima attività di learn-by-doing poiché poggia la sua efficacia proprio sull’impatto esperienziale dei partecipanti, a cui possono seguire altre attività formative[27].

Conclusioni

La formazione nel contesto della cyber security va riformata secondo criteri di adeguatezza, adeguatezza rispetto al rischio cyber che intende mitigare, sostenibilità e affidabilità del processo formativo (anche intesa in termini di ROSI – return of security investment) distinguendo i percorsi fra awareness, training e learning.

Questi tre termini risultano difficilmente traducibili in italiano senza perderne le differenze. In sintesi, si può parlare di formazione quindi come di un processo che deve necessariamente essere altamente targettizzato, costruito cioè intorno ai bisogni formativi delle singole persone.

Tali bisogni vanno definiti sicuramente in base a strategie di up-skilling o re-skilling, ma soprattutto misurando il rischio cyber aziendale associato alle persone e la sua riduzione a seguito del processo formativo.

La formazione entra quindi a pieno diritto fra gli strumenti a disposizione delle imprese per la riduzione della propria esposizione al rischio cyber.

La sommatoria di questi bisogni esige un modo nuovo di fare formazione che è necessariamente complesso, come riportato nella figura sottostante.

Come creare una esperienza di learning adattiva, ed altamente personalizzata, guidata dal rischio cyber.

Il tutto deve essere sostenuto da una adeguata piattaforma adattiva, basata sui principi della People Analytics, coadiuvata da un sistema di AI per la distribuzione dei contenuti e collegata a sistemi di stima del rischio cyber. Questa è esattamente la direzione della ricerca intrapresa dal Cefriel a partire dal progetto HERMENEUT.

 

NOTE

  1. McKinsey & Company, “How COVID-19 has pushed companies over the technology tipping point—and transformed business forever,” 5 October 2020. [Online].

  2. J. Maida, “Global Online Education Market Worth USD 247.46 billion by 2024 – APAC Anticipated to Provide the Highest Revenue Generating Opportunities | Technavio,” 03 November 2020. [Online]. [Accessed 04 February 2021].

  3. J. Williams, “What You Need to Know About the SolarWinds Supply-Chain Attack,” SANS, 15 December 2020. [Online]. [Accessed 4 February 2021].

  4. A. Pipikaite, M. Barrachin and S. Crawford, “These are the top cybersecurity challenges of 2021,” 21 January 2021. [Online]. [Accessed 4 February 2021].

  5. S. Morgan, “2021 Report: Cyberwarfare In The C-suite,” Cybersecurity Ventures, 21 January 2021. [Online]. [Accessed 4 February 2021].

  6. Ipsos MORI for the Department for Digital, Culture, Media and Sport (DCMS), “Cyber Security Skills Gaps and Shortages in the UK Cyber Sector in 2021,” United Kingdom, 2021.

  7. T. De Zan and F. Di Franco, “Cybersecurity Skills Development in the EU. The certification of cybersecurity degrees and ENISA’s Higher Education Database,” European Agency for Cybersecurity (ENISA), 2019.

  8. J.-C. Gaillard, “The Cyber Security Skills Gap: Real Problem or Self-inflicted Pain?,” Corix Partners, 2020.

  9. European Commission, “Unleashing the full potential of European SMEs,” 10 March 2020. [Online]. [Accessed 5 February 2021].

  10. Capgemini Invent, European DIGITAL SME Alliance, Technopolis Group, “Supporting specialised skills development. Big data, Internet of things and cybersecurity for SMEs : final report,” 9 March 2020. [Online]. [Accessed 5 February 2021].

  11. “Leading the Digital Decade launch event,” 2 06 2021. [Online].

  12. T. De Zan and F. Di Franco, “Cybersecurity Skills Development in the EU. The certification of cybersecurity degrees and ENISA’s Higher Education Database,” European Agency for Cybersecurity (ENISA), 2019.

  13. T. De Zan, “The Italian Cyber Security Skills Shortage in the International Context,” Centre for Technology and Global Affairs, University of Oxford, 2019.

  14. European Commission, “European Digital Innovation Hubs,” 2021. [Online]. Available.

  15. La letteratura scientifica sull’apprendimento definisce la retention come la capacità dei discenti di conservare o ricordare i concetti e le procedure insegnati quando testati in situazioni reali simili, dopo un periodo di tempo δ dal momento dell’acquisizione della conoscenza.

  16. La People Analytics è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone, nel pieno rispetto della vigente normativa GDPR e privacy. Attraverso l’analisi dei dati HR si creano dei profili di rischio individuale collegando il “valore” delle risorse gestite, le esperienze di formazione passate ed altre informazioni, con la erogazione di piani individuali di formazione e la conseguente riduzione del rischio cyber aziendale.

  17. CEFRIEL, “Faculty Day,” Cefriel Experience Center, Milano, 2019.

  18. Istituto A.T. Beck – Terapia Cognitivo Comportamentale, “Il ruolo dei Neurotrasmettitori nel Trauma,” [Online]. Available.

  19. E. Frumento, “Cybersecurity: testare la responsiveness del team di incident management con i Full Spectrum Vulnerability Assessment,” 12 2020. [Online]. Available.

  20. European Union, “Skill for SMEs. Cybersecurity, Internet of things and big data for small and medium-sized enterprises,” European Union, Bruxelles, 2019.

  21. Council of European Professional Informatics Societas (CEPIS), “European e-Competence Framework 3.0. A common European Framework for ICT Professionals in all industry sectors,” 2014. [Online]. Available. [Accessed 15 February 2021].

  22. eCF Alliance, “eCF ALLIANCE, qualifications and skills for the ICT industry,” 2015. [Online]. Available.

  23. E.Frumento and C.Dambra, “The role of intangible assets in the modern cyber threat landscape: the HERMENEUT Project,” European Cybersecurity Journal, vol. 5, no. 1, pp. 56-64, 2019.

  24. S. P. Papenfuhs, “The OODA loop, reaction time, and decision making,” 23 February 2012. [Online]. Available. [Accessed 15 February 2021].

  25. Accenture Security, “Ninth Annual Cost of Cybercrime Study,” 6 March 2019. [Online]. Available: https://www.accenture.com/us-en/insights/security/cost-cybercrime-study. [Accessed 12 February 2021].

  26. E. Frumento, “Cybersecurity: testare la responsiveness del team di incident management con i Full Spectrum Vulnerability Assessment,” 3 February 2021. [Online]. Available. [Accessed 12 February 2021].

  27. E. Frumento, “Cybersecurity: testare la responsiveness del team di incident management con i Full Spectrum Vulnerability Assessment,” 3 February 2021. [Online]. Available. [Accessed 12 February 2021].

@RIPRODUZIONE RISERVATA

Articolo 1 di 5