La carenza di competenze e conoscenze in ambito cyber security e digitale [1] è oramai un problema ben documentato, con impatto tangibile sul mercato del lavoro, sulla sicurezza aziendale e su quella pubblica.
Già nel 2016, la mancanza di professionisti in ambito digital e cybersecurity, situazione endemica ed in continua crescita, è stata definita dagli esperti ad una “bomba ad orologeria” per lo sviluppo e la sicurezza della società. Il progresso tecnologico e la conseguente trasformazione digitale sono divenuti negli anni il volano dello sviluppo economico e sociale, e la capacità di proteggere dati e infrastrutture dagli attacchi informatici è oggi un fattore essenziale non solo per la pubblica sicurezza, ma anche e soprattutto per la stabilità di un Paese. Ecco come implementare le necessarie azioni di prevenzione e risposta. Serve un approccio gestionale basato sulla comprensione del rischio cyber cui l’azienda è esposta e la definizione delle relative azioni di mitigazione.
I rischi cyber
Gran parte degli attacchi informatici che va a segno (secondo l’Enisa, oltre l’80%) inizia attraverso azioni di social engineering. Nella maggior parte dei casi, garantire un presidio di base di sicurezza, per esempio, attraverso l’aggiornamento del software, l’utilizzo di password complesse, la crittografia dei dati sensibili, oppure la conservazione di copie in un cloud sicuro potrebbero essere misure sufficienti per ridurre sensibilmente il rischio di accesso non autorizzato al patrimonio informatico aziendale.
Il temuto Wanna Cry ha colpito tutto il mondo nel 2017. Definito un “tributo alla negligenza” [3] , ha avuto modo di propagarsi a causa dell’incapacità di implementare misure tecniche ed organizzate comuni, quali l’aggiornamento dei sistemi vulnerabili.
La crisi delle competenze
L’analisi dello scenario corrente evidenzia due elementi che sottendono problematiche strutturali, ugualmente rilevanti, su cui è prioritario intervenire. Innanzitutto, la mancanza di personale aziendale con adeguate competenze o con un’allocazione delle risorse adeguata al rischio informatico posto dal contesto tecnologico ed organizzativo. In secondo luogo, una sensibilizzazione non adeguatamente sviluppata – in estensione e profondità – sui rischi che comporta l’utilizzo dei dispositivi collegati alla rete.
La formazione del capitale umano è diventato oggi non solo un elemento di urgente attualità, ma un vero e proprio asset aziendale per la gestione del rischio cyber, fondamentale sia per prevenire che per rispondere agli attacchi informatici, e riguarda in maniera trasversale tutti.
Fin dall’Agenda Digitale europea del 2010, la Commissione Europea ha evidenziato la sfida relativa alla “mancanza di alfabetizzazione e competenze digitali”. Ed è in questo contesto che si inserisce la decisione della stessa Commissione Europea di dichiarare il 2023 l’anno europeo delle competenze. L’obiettivo è quello di incentivare gli investimenti sulla formazione in ambito digital ed ICT, considerato tassello fondamentale per un’Unione Europea digitale, innovativa e all’avanguardia.
Lo stato dell’arte della mancanza di competenze
Alcune statistiche pubblicate in ambito cyber security confermano lo scenario attuale.
Secondo l’International Information System Security Certification Consortium (ISC), nel 2022 lo skill-gap in ambito cyber security era, a livello mondiale, di oltre 3,4 milioni di posizioni.
Nell’ultimo report pubblicato a febbraio 2023, Cybersecurity Ventures stima che il numero di posti di lavoro vacanti nel settore della sicurezza informatica sia cresciuto del 350% dal 2013 . Il deficit di professionisti in ambito cybersecurity sarà inoltre pari a 3,5 milioni entro il 2025 solo negli Stati Uniti.
Per il Global Cybersecurity Outlook 2023 del World Economic Forum, solo il 46% dei
responsabili cyber in azienda ritiene che la propria organizzazione disponga delle capacità e delle persone necessarie per far fronte a un attacco cyber.
Le iniziative che negli ultimi anni hanno cercato di far fronte a tale situazione si sono sviluppate tanto a livello regionale che nazionale. O, in alcuni casi, attraverso la collaborazione degli stati membri dell’UE. Pur numerose, le iniziative hanno sempre dato l’impressione di comporre, comunque, un quadro frammentato. Un quadro dove una guida sovranazionale potrebbe creare quel salto di livello che il mercato sembra richiedere da tempo.
Lo scenario italiano
In Italia una panoramica delle attività realizzate per rafforzare competenze in materia cyber include campagne di awareness per promuovere e sviluppare consapevolezza e responsabilità collettive in materia ed incentivare l’interesse da parte delle giovani generazioni.
In particolare, servono campagne di alfabetizzazione pubbliche. L’attività è necessaria per promuovere una “cultura cyber security”. Ovvero la conoscenza, le convinzioni,
le percezioni, gli atteggiamenti, i presupposti, le norme e i valori delle persone in merito alla sicurezza informatica e al modo in cui si manifestano nel comportamento delle persone con le tecnologie dell’informazione.
Esempio sono tutte le iniziative avviate nel contesto dello European Cybersecurity Month, campagna dell’agenzia europea ENISA che si tiene durante tutto il mese di ottobre. L’obiettivo è promuovere tra i cittadini la conoscenza delle minacce informatiche e dei metodi per contrastarle, per cambiare la loro percezione delle cyber minacce e fornire informazioni aggiornate in materia di protezione cibernetica e sicurezza informatica.
Servono anche campagne di alfabetizzazione nelle scuole. Iniziative che mirano non solo a migliorare le capacità informatiche nelle giovani generazioni, ma anche a
promuovere la sicurezza informatica e motivare gli studenti a studiare la sicurezza
informatica, cercando una carriera in questo settore. In molti casi, le capacità e le
competenze in materia di cybersicurezza fanno parte di più ampi programmi di alfabetizzazione digitale.
Altro tassello fondamentale è il rafforzamento e l’avvio di percorsi di studio in ambito cyber security. A caratterizzarli deve essere una forte interazione con il mondo del lavoro. Bisogna orientarli allo sviluppo di competenze su un orizzonte temporale più rapido dei corsi universitari.
Altri fattori per superare la crisi delle competenze
Altro elemento importante è il rafforzamento del ruolo degli Istituti Tecnici Superiori in ambito cyber security. A livello nazionale, grazie all’accordo tra l’Agenzia per la Cybersicurezza Nazionale, il Ministero dell’Istruzione, ed altri enti di formazione a livello regionale, è nata la Rete di Coordinamento Nazionale per favorire la creazione di ITS in ambito cyber security e cloud computing.
Le iniziative di Cyber security challenges rappresentano inoltre l’approccio forse più
efficace per creare un collegamento tra il mondo della formazione accademica e la
realtà industriale. Contribuiscono a far fronte alle richieste del mondo de lavoro,
permettendo agli studenti di valutare in prima persona quali opportunità professionali gli prospetterà il futuro prossimo. Programmi di questo tipo aiutano anche l’apprendimento di soft skills, come il pensiero laterale e l’approccio al lavoro in gruppo. Esempi di successo in tale ambito si rilevano in Europa (European Cybersecurity Challenge) ed in Italia (esempio CyberChallenge.IT, CyberXMind4Future).
Servono anche le Accademie professionalizzanti. Nel Lazio, a titolo di esempio, è nata nel 2022 l’Accademia Cybersicurezza Lazio che ha l’obiettivo di promuovere competenze in ambito ICT, formazione professionale e qualificazione di risorse umane nel campo della cyber sicurezza.
L’Accademia è il risultato dello sforzo congiunto del settore pubblico, privato ed accademico. Grazie al Protocollo d’Intesa tra Regione Lazio, MUR (Ufficio Scolastico Regionale per il Lazio) e Cyber 4.0, Centro di Competenza Nazionale per la Cybersecurity, è stato definito il programma di formazione, i contenuti e le linee strategiche evolutive. L’Accademia di Cybersicurezza Lazio ha l’obiettivo di formare, gratuitamente, alcune dei profili professionali previsti dall’ECSF.
Iniziative europee per creare e rafforzare competenze e conoscenze
La Commissione Europea ha lanciato ad aprile 2023, la Cybersecurity skills Academy. L’Accademia dell’UE per le competenze in materia di cybersecurity riunirà iniziative pubbliche e private a livello europeo e nazionale per rispondere alle esigenze del mercato del lavoro ICT security e colmare il divario di talenti dei professionisti in ambito.
Enisa mantiene il Cyber Higher Education Database (CyberHEAD), un web database che elenca i programmi accademici in Europa in materia. È possibile consultare il database in maniera interattiva al fine di comprendere i possibili percorsi di carriera e, di conseguenza, a colmare il divario tra l’ambiente professionale e gli ambienti di apprendimento.
L’European Cybersecurity Skills Framework pubblicato a settembre 2022 è esempio della standardizzazione delle figure professionali in ambito cyber security ed analisi dei fabbisogni del mercato del lavoro.
L’ECSF è il risultato dello sforzo congiunto dell’Enisa e del gruppo di lavoro ad hoc. Individua 12 profili professionali in ambito cyber security, identificando per ciascuno di essi obiettivi, compiti, competenze e certificazioni. Il framework ha definito, a livello europeo, una terminologia comune e una comprensione condivisa delle professioni della cyber sicurezza. Promuove inoltre l’armonizzazione dei programmi di apprendimento, formazione e sviluppo della forza lavoro in materia di cybersicurezza. Identifica le competenze critiche più richieste per ciascuno dei profili professionali e in azienda può servire sia per il recruiting che per l’organizzazione aziendale, oltre all’analisi dei fabbisogni formativi del personale.
Formazione, re-skilling e up-skilling in ambito cyber security
Le imprese potranno beneficiare dei fondi del PNRR per programmi di formazione in ambito cyber security e digital, grazie all’azione dei soggetti attuatori in materia. Tra loro rientrano i centri di competenza nazionali. Cyber 4.0 in quanto tale offre servizi di
formazione cybersecurity a catalogo e customizzata per le piccole, medie e grandi imprese.
Conclusioni
L’acquisizione e la diffusione di competenze e conoscenze in ambito digitale e cyber security diviene strategico anche per i futuri scenari occupazionali ed economici. Secondo il World Economic Forum , l’adozione della tecnologia da parte delle aziende trasformerà compiti e le professioni, e di conseguenza le relative competenze.
Entro il 2025, il tempo dedicato alle attività attuali al lavoro da parte di uomini e macchine sarà uguale. La prospettiva conferma la necessità di continuare ad investire nella formazione e nello sviluppo di competenze in ambito cyber and digital skills gap, non solo per far fronte alla numerosità delle richieste, ma anche alla varietà e multidisciplinarietà in termine di competenze e conoscenze richieste per far
fronte alle nuove esigenze del mondo di lavoro.
Emerge un quadro complesso, con obiettivi da raggiungere a breve termine, e dove la condivisione di esperienze tra stati UE, la sinergia tra accademie ed industria risultano fattori abilitanti.
Un ruolo essenziale sarà dunque svolto dal settore privato, e specialmente dalle grandi aziende che possono sviluppare iniziative facendo leva sui centri di trasferimento tecnologico, per esempio Cyber 4.0, e su altre iniziative di partenariato pubblico-privato, nonché sfruttare la disponibilità dei fondi PNRR. Nel contesto nazionale, un ruolo essenziale sarà quello dell’Agenzia di Cybersicurezza Nazionale, sia nel guidare gli investimenti che saranno realizzati dalla Pubblica Amministrazione in materia di cyber security, sia nello sviluppo e certificazione di piani formativi che vadano a colmare il gap formativo in modo coerente con gli obiettivi e le priorità della Strategia Nazionale di Cybersecurity e diminuire la frammentazione di un contesto che sta diventando la vera e propria chiave di sviluppo del digitale in Italia.
Bibliografia
[1] La mancanza di professionisti in ambito cybersecurity viene spesso discussa nei seguenti termini: “cybersecurity skills gap” e “cybersecurity skills shortage”, che tuttavia si rifanno a situazioni differenti, ma interconnesse: “cybersecurity skills gap” riporta alla mancanza di competenze adeguate all’interno di un gruppo di professionisti per svolgere compiti e raggiungere obiettivi di sicurezza informatica all’interno di uno specifico contesto. Mentre “cybersecurity skills shortage” è riferito alla mancanza di professionisti in ambito IT e cybersecurity idonei a rispondere alla domanda del mercato del lavoro in termini di quantità e varietà dei posti di lavoro.
[2] James Lewis (2017), Darwin and Ransomware, CSIS.
