Security skill gap: problemi, sfide e soluzioni per colmare il divario di competenze cyber - Cyber Security 360

SICUREZZA INFORMATICA

Security skill gap: problemi, sfide e soluzioni per colmare il divario di competenze cyber

La sensibilizzazione alla sicurezza informatica è sicuramente la soluzione più valida al problema del security skill gap, un tema che pone numerose sfide affrontabili mediante un approccio olistico in grado di garantire una efficace riqualificazione delle risorse in maniera mirata e personalizzata

11 Gen 2021
P
Giuseppe Prò

Information security manager

In un mondo in continua evoluzione come quello della sicurezza informatica diventa complicato colmare il security skill gap, quel divario tra domanda e offerta ben conosciuto e approfondito ormai non solo dagli addetti ai lavori.

Seppur molti progressi siano stati fatti, sono ancora numerose le sfide che questo lungo percorso presenta e pone, necessitando di un approccio olistico che consenta una efficace riqualificazione delle risorse in maniera mirata e personalizzata, puntando alla collaborazione fra tutti gli attori coinvolti.

Security skill gap: problemi e sfide aperte

Seppur si parla di sicurezza “informatica”, i rischi appartengono alla sfera del mondo concreto e reale. Ogni giorno, aziende e privati, devono confrontarsi con vecchie e nuove minacce, che se non opportunamente gestite, possono portare a tracolli economici, reputazionali e, nei casi peggiori, mettere a rischio vite umane.

Questo porta alla necessità di affidarsi a risorse e professionisti capaci e motivati e per questi ultimi di lavorare in organizzazioni pronte a investire su di loro. Questo matrimonio non è però sempre facile, e presenta diverse sfide problematiche che entrambe le categorie devono essere in grado di affrontare. Qui di seguito, alcune delle principali.

Le sfide che aziende e professionisti devono affrontare

  1. Annunci di lavoro mal formulati o troppo esigenti. Non è difficile, infatti, girando per uno dei tanti portali specializzati per la ricerca del lavoro, trovare annunci che chiedono ai candidati decenni di esperienza, una enorme quantità di skill e un alto grado di investimento personale e professionale per un inquadramento non sempre all’altezza delle richieste.
  2. Potenziali candidati in possesso di un adeguato skill-set, ma filtrati da programmi di screening poiché privi di specifici titoli lavorativi, certificazioni o studi universitari. La mancanza di uno o più di questi elementi, priva i candidati della possibilità di presentarsi e presentare il proprio bagaglio di conoscenze, che spesso, soprattutto nel mondo della sicurezza informatica, è frutto di un percorso condotto da autodidatta, attraverso i canali e le risorse che la rete e libri settoriali offrono. La rete, infatti, permette di acquisire e scambiare conoscenza, e seppur non sostituisce i percorsi di istruzione formali, concede a chi ne fa buon uso, di porre delle basi su cui poter costruire in maniera più strutturata in futuro.
  3. Carenza di personale esperto e competente in materia. La mancanza di tali professionisti sta colpendo la maggior parte delle organizzazioni in vari modi, con un carico di lavoro non sempre uniforme e con l’incapacità di sfruttare le tecnologie a disposizione al loro pieno potenziale.
  4. Organizzazioni che investono tanto su tecnologie, ma troppo poco su professionisti. Le tecnologie, infatti, devono esser viste per quello che sono: strumenti a supporto dell’uomo, e non un qualcosa a sostituzione integrale di questo. Anche qui un adeguato trade-off risulta mandatorio. Avere in casa un arsenale all’avanguardia, ma poche risorse in grado di sfruttarlo e padroneggiarlo, riduce notevolmente i vantaggi che la stessa tecnologia offre, con il rischio di farla diventare, se non opportunamente gestita, una minaccia.
  5. Difficoltà per le organizzazioni a reclutare, formare e “trattenere” personale qualificato in materia. Molti dei ruoli che non vengono ricoperti sono infatti quelli dei profili senior. Profili lavorativamente maturi con alle spalle esperienze di qualità che fanno la differenza all’interno dell’organizzazione e sono forza trainante per i più giovani.

Security skill gap: soluzioni e considerazioni

Sono molte le soluzioni discusse e analizzate negli ultimi anni da professionisti e organizzazioni di ogni grado e livello.

Molte di queste, all’apparenza, di facilissima realizzazione, ma che poi nel concreto, si vanno a scontrare con la resistenza al cambiamento che è ancora insita in numerose realtà.

Anche in questo caso, non esiste una sola e unica soluzione, ma una serie di accorgimenti che possono e devono essere condotti all’interno di un percorso capace di adattarsi all’innovazione tecnologica, di prevederla e di anticiparla.

Accorgimenti per adattarsi all’innovazione tecnologica

  1. Imparare a vendere sé stessi. Ognuno di noi, come professionista, deve porsi l’obiettivo e lavorare ogni giorno per riuscire a vendere uno dei prodotti più unici e importanti: noi stessi. Il proprio brand è ciò che ci distingue dagli altri, che rappresenta la consapevolezza di noi stessi e della nostra identità, poiché se vogliamo che qualcuno punti su di noi, dobbiamo essere noi a dargli un motivo per farlo.
  2. Ricorrere a professionisti per la ricerca e sostegno dei professionisti. Il dipartimento HR rappresenta per le organizzazioni di ogni ordine e grandezza, un tassello fondamentale per colmare lo skill gap. È importante che questi professionisti siano adeguatamente formati e supportati nel loro difficile lavoro di ricercare, trattenere le risorse e comprendere le loro specifiche esigenze, con la capacità di individuare i “diamanti grezzi” che seppur privi di un qualche requisito, dimostrano intraprendenza e lungimiranza per diventare grandi professionisti. Questo può essere fatto sin dalla stesura degli annunci di lavoro, assicurandosi che questi presentino richieste pertinenti e non troppo esigenti, con pacchetti retributivi in linea con il mercato e con un processo di screening che non vada ad eliminare dalla selezione i candidati sulla base di parametri che dicono poco a livello di capacità e competenza.
  3. Mentorship per il lungo termine. I professionisti hanno la necessità di pensare e ragionare sul lungo termine quando si parla di identificare e costruire le skill di cui hanno bisogno. Tale obiettivo può essere raggiunto attraverso risorse che ricoprano il ruolo di veri e proprio mentori, accompagnando i meno esperti, alla costruzione di solide e consolidate competenze. Come in tutti i campi, la collaborazione e condivisione di esperienze e conoscenza, permettono ai professionisti di imparare dagli errori altrui e di seguire un percorso di crescita strutturato che meglio si adatti alle necessità.
  4. Investire nella formazione delle risorse. Per mantenere una robusta security posture, le organizzazioni devono investire nel far raggiungere ai propri dipendenti, una piena e profonda comprensione di quegli elementi, tecnici e non, che possono fare la differenza per il proprio business. Raggiungere questo obiettivo è possibile attraverso diverse soluzioni come il training on the job, certificazioni di settore, percorsi e master universitari ed ogni altra esperienza che permetta di far fronte, grazie all’aiuto e all’affiancamento di validi e accreditati professionisti, di crescere e accrescere le proprie conoscenze.
  5. Vedere la sicurezza come responsabilità condivisa. Essa non rappresenta un concetto in esclusiva di chi di sicurezza si occupa ogni giorno in prima linea, ma deve essere riconosciuta e compresa come elemento imprescindibile da e per tutti. Che l’anello più debole della catena sia l’uomo, è cosa ormai nota, ma meno nota, è la pratica di documentarsi e adottare una sana cyber hygiene, ricordandosi che ogni individuo, a prescindere dalla posizione ricoperta, ha il potere di influenza in positivo o in negativo la security posture dell’organizzazione.
  6. Automazioni e orchestrazione. Queste due tecnologie consentono di ridurre in maniera significativa l’intervento umano per quello che riguarda qualsiasi processo prevedibile o ripetibile, rendendo il team di sicurezza molto più efficiente.
  7. Affidarsi all’outsourcing. Sono numerosissime le organizzazioni che si affidano a terzi per soddisfare specifiche esigenze in termini di sicurezza, con il vantaggio di colmare la carenza di competenze interne in materia, diminuendo il bisogno di ricercare e formare personale qualificato e riducendo in maniera significativa le spese di infrastruttura.

Conclusioni

Sicuramente, quello del security skill gap rimane e resterà un tema ampiamente discusso e dibattuto. E anche se di soluzioni ce ne sono e ce ne saranno tante, la più valida rimane la sensibilizzazione alla materia, ancora oggi dominio di pochi.

Conoscendo il territorio, è possibile infatti togliergli ogni etichetta, scoprendo che questo è potenzialmente un lavoro aperto per tutti, senza esclusive in termini di sesso, età o distinzioni alcune; basta solo essere degli eterni studenti e degli scaltri visionari.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5