La forte carenza di talenti nel campo della cyber security e la conseguente difficoltà di Stati e aziende nel trovare e assumere risorse davvero competenti in materia è un problema sistemico legato alla continua evoluzione della gamma dei rischi insiti ai progressi tecnologici e ai quali siamo esposti in qualità di società iperconessa.
Il gap di professionisti della cyber security è, quindi, una questione della massima serietà e come tale va affrontato perché è una forte minaccia – e McAfee lo diceva già un paio d’anni fa – per il presente e il futuro. Le aziende, in particolare, devono imparare ad affidarsi a persone con le giuste competenze, per evitare di trovarsi a gestire la cyber security nei momenti di crisi, con le immaginabili conseguenze del caso.
Viviamo, infatti, in un’epoca fortemente caratterizzata dalla pervasività di internet nelle sue più svariate declinazioni, molte delle quali solo immaginabili fino a relativamente poco tempo fa. Il tema della cyber security, dunque, è sempre più attuale non perché sia semplicemente diventato di moda come qualcuno erroneamente crede, ma proprio a causa di questa onnipresenza di internet nei nostri processi aziendali e nelle nostre vite e dei relativi rischi correlati.
La dinamicità del rischio cyber
Se da un lato progresso tecnologico e capacità di interconnessione ci hanno permesso di istruire processi e metodologie più efficienti, dall’altro ci hanno esposti a una gamma molto ampia di rischi, la cui principale connotazione è la dinamicità: ciò che valeva ieri in termini di ottimizzazione della nostra postura di security non varrà oggi.
Lo abbiamo sempre sentito e letto dovunque: la cyber security è un processo continuo e chi si ferma è perduto e ciò diventa più vero ogni giorno che passa perché la velocità di questo processo è in continua accelerazione.
Di conseguenza, da alcuni anni è emerso un problema sistemico: la forte carenza di talenti nel campo della cyber security e la conseguente difficoltà di stati e aziende nel trovare e assumere risorse davvero competenti in materia.
Nel suo studio “Hacking the Skills Shortage”, McAfee già un paio di anni fa evidenziava il problema a livello internazionale (lo studio era stato condotto su Australia, Francia, Germania, Israele, Giappone, Messico, UK e USA), sottolineando come ciò rappresentasse una forte minaccia per il presente e per il futuro.
L’82% degli interpellati segnalava infatti una pesante mancanza di competenze in sicurezza informatica nella propria organizzazione e il 71% concordava sul fatto che la scarsità di talenti rendesse le organizzazioni più vulnerabili agli attacchi.
Il gap di professionisti di cyber security
In questa interessante infografica di (ISC)2 è ben spiegato come il gap previsto di 1,8 milioni di professionisti della cyber security entro il 2022 sia un problema molto serio e di come sarà possibile affrontarlo solo coinvolgendo con politiche lungimiranti i Millennial.
L’effetto dirompente di tale carenza di talenti è un generale abbassamento della cultura e della consapevolezza di security, come ben rappresentato in questa recente infografica di ISACA, e la conseguente difficoltà di elaborare strategie cyber sensate e di lavorare correttamente sulla postura di security aziendale.
La realtà è che, data la crescente complessità, la gestione della cyber security è diventata molto difficile anche per i professionisti di grande talento e esperienza: figuriamoci quando i posti chiave sono in mano a persone non particolarmente competenti in materia.
L’importanza della competenza in tema di cyber security
In quest’ultimo caso, il problema diventa gigantesco: chi non ha cultura e capacità specifiche tende infatti ad occuparsi del tema in modo profondamente sbagliato, pericoloso, superficiale e molto dispendioso sia da un punto di vista economico che di impegno di tempo, finendo per abbassare la postura di security invece che alzarla.
E siccome la velocità della mandria è quella del bufalo più lento e la nostra è una società totalmente interconnessa, se qualcuno è scarsamente sicuro ciò rende un po’ meno sicuro anche ognuno di noi.
Non vi sarà sfuggita a questo proposito la recente notizia dell’affidamento della responsabilità della sicurezza delle Olimpiadi di Tokyo nel 2020 a un manager che non ha mai utilizzato un computer in vita sua.
Non so che idea vi siate fatti, ma io che avevo pianificato di fare un viaggio in Giappone con la mia famiglia in occasione dei giochi olimpici ho radicalmente modificato i miei piani di conseguenza.
Non ho alcuna intenzione di affidare la sicurezza fisica e digitale dei miei figli a chi non ha nemmeno idea di cosa possa essere una chiavetta USB e non ha in maniera evidente alcuna possibilità di mettere in campo difese adeguate perché non sa cosa ciò significhi.
Ma spingiamoci un passo oltre.
Riconoscere e valorizzare i talenti
Io credo che recruiter e C-level stiano dimostrando grandi difficoltà nel riconoscere i talenti e non riescano a valorizzarli nei ruoli chiave della cyber security. Ciò, ancora una volta, accade per una questione di mancanza di competenze specifiche e di visione e comprensione della “big picture”.
Vedo spesso nelle aziende ruoli di leadership nella cyber security affidati con dinamiche di tipo puramente politico, o a persone che si sono sempre occupate di operation o, ancora, a manager di indubbie capacità in altri settori dell’IT ma totalmente inadeguati nel dominio Cyber.
Questo tra l’altro è un ottimo modo di perdere i talenti eventualmente presenti in azienda ma non riconosciuti e valorizzati, che a fronte di questo tipo di eventi vanno via, in cerca di un posto di lavoro migliore.
Si tratta di un problema gigantesco, la cui conseguenza logica è un’alta probabilità di fallimento: la cyber security è un dominio a sé stante, tanto da essere considerato il quinto dominio anche nel mondo militare (in aggiunta a terra, mare, aria e spazio).
Il rischio di occuparsi degli effetti e non delle cause
È un campo che non risponde alla classica logica “problema statico” –> “soluzione desiderata” –> “risoluzione del problema” – che è invece caratteristico di moltissimi altri campi dell’IT – ma piuttosto a dinamiche di continua evoluzione della minaccia e della tipologia di attacco al fine di aggirare le soluzioni e i continui “tuning” messi in campo da chi si deve difendere, in una battaglia continua e senza fine di gestione del rischio.
Nel caso di persone che hanno sempre avuto ruoli operativi in precedenza, il rischio più grande è che esse non abbiano visione e capacità strategiche, finendo per occuparsi degli effetti invece che delle cause, in una continua e ritardataria rincorsa quotidiana degli eventi dettata dall’errata convinzione che la Cyber Security sia questione di tecnologie, cosa che non è: la Cyber Security non è un problema tecnologico e non può essere risolto con le sole tecnologie.
Una guerra si vince con la strategia, non con le armi.
Come si vince la guerra della cyber security
La “guerra” della cyber security si vince ponendosi il problema fondamentale della gestione del rischio e adottando metriche che vadano a misurare le aree di miglioramento, i processi, i ruoli chiave e così via… per poi avvalersi di tecnologie che supportino la strategia, non che la determinino.
Se non si è capaci di visione strategica, non si elaborano piani strategici: ci si affida piuttosto all’adozione più o meno emotiva di soluzioni tecnologiche per risolvere tutti i possibili problemi (i vendor sono piuttosto bravi a convincere il mercato che ciò sia possibile, ma la cosa non corrisponde al vero) e si finisce per occuparsi solo dei piccoli problemi quotidiani convincendosi (o sperando vivamente) che non capiterà nulla di rilevante a livello di incidenti di security.
Frequentando da tanti anni aziende medie e grandi, ho notato due grandi macro-tipologie di persone che vengono investite della grande responsabilità della cyber security: chi è consapevole delle proprie aree di inesperienza e chi non lo è.
L’importanza di riconoscere i propri limiti
Come succede sempre, paradossalmente sono le persone più competenti che riconoscono di avere aree di miglioramento e queste cercano di colmare i propri gap circondandosi di esperti, anche di professionisti e verticalisti esterni all’azienda.
Sono persone che si dimostrano capaci di instaurare processi virtuosi, che a partire dalle necessità del business riescono con successo a predire, prevenire, riconoscere e rispondere alle minacce.
Non si occupano solo del day-by-day, che comunque va sempre curato nel dettaglio, ma studiano e implementano strategie di lungo termine in grado di innalzare e ottimizzare la postura di sicurezza aziendale a sostegno della crescita del business.
Sanno che è inevitabile essere colpiti e cercano di raggiungere il minimo livello di rischio possibile, tenendo conto dei cambiamenti tecnologici, di processo, di modalità di attacco, di legislazione e così via.
Quando però trovi persone che non hanno questa consapevolezza, non c’è nulla da fare.
È come parlare a un muro, a una persona che non conosce la tua lingua e non può capire ciò che tenti di comunicargli.
Nel caso di manager di successo in altri settori IT, la natura umana porta invece questi professionisti alla errata convinzione di poter applicare nel loro nuovo ruolo i medesimi know-how, dinamiche e metodologie che ne hanno decretato il successo in altri domini IT, il che è comprensibile.
Però, tragicamente, questo non è possibile.
Saper comunicare il rischio di business (per non perdere il posto)
Nella cyber security è tutto profondamente differente rispetto ad altri settori IT, a partire dalla cifra stilistica della comunicazione interna: un CSO/CISO deve essere capace di parlare al Top Management non in termini di security ma affrontando il tema del rischio di business.
In altre parole, egli deve parlare la lingua del board e non sempre questo accade.
È illuminante in tal senso la storia di quello che probabilmente è stato il primo CISO della storia, Steve Katz, che mise perfettamente a fuoco come il nocciolo non fosse la security in quanto tale ma la gestione del rischio di business. Katz capì bene come il suo ruolo fosse fondamentale per risolvere i problemi del business e lo comunicò sempre ottimamente al Top Management.
Trasferire correttamente la percezione del rischio di business è infatti la chiave per ottenere attenzione, budget e risorse. Se questo non accade, il board non riesce a comprendere appieno né la necessità di inserire la cyber security nella propria agenda né quale sia il ritorno effettivo degli investimenti fatti in tal senso, e finisce per ridurre gli sforzi a supporto della strategia.
Nei casi peggiori, dato che questa strada finisce inevitabilmente per abbassare la postura di security dell’azienda, prima o poi accade un incidente di security importante e il CISO deve trovarsi un altro lavoro. È uno schema visto mille volte, anche in aziende importanti e di grandi dimensioni.
In definitiva, è fondamentale investire tempo e risorse nella scelta delle persone giuste da posizionare nei ruoli chiave, anche appoggiandosi a consulenti e verticalisti esterni di provata competenza in materia, e comprendere una volta per tutte che la leadership di cyber security è tanto importante quanto la figura del CEO; perché chi sceglie di non gestire la cyber security con la leadership è condannato a gestirla nei momenti di crisi, con le immaginabili conseguenze del caso.
