La scarsità di professionisti con capacità adeguate in ambito cybersecurity rende vulnerabili aziende, PA e intere nazioni ed esaspera le difficoltà di gestione degli incidenti.
Vari organismi specializzati prevedono una carenza di più di un milione e mezzo di unità di forza lavoro entro il 2020, evidenziando una domanda costantemente in crescita.
La formazione resta quindi un punto centrale per l’aggiornamento in termini di sicurezza dei sistemi e delle reti del nostro Paese.
Allo stato attuale, però, bisognerebbe pensare anche ad una certificazione delle professionalità in materia di cybersecurity oltre a definire un sistema europeo di certificazione.
L’impatto di un attacco informatico sulla società
Partiamo da un dato ormai assodato: in un mondo sempre più digitalizzato, gli attacchi informatici suscitano allarme nella popolazione, causano danni ingenti all’economia e mettono in pericolo la stessa incolumità dei cittadini quando colpiscono reti di distribuzione di servizi essenziali come la sanità, l’energia, i trasporti, vale a dire le infrastrutture critiche della società moderna.
Immaginate cosa potrebbe succedere se si spegnessero all’improvviso tutti i semafori di una metropoli, si bloccassero gli ascensori, e le ambulanze non potessero più ricevere l’indirizzo giusto per recuperare i feriti. Inoltre, un attacco informatico di successo potrebbe anche rappresentare un momento di non ritorno per la credibilità di un’azienda, lo sviluppo del suo business e la capacità di vendere prodotti in un regime di sana concorrenza.
Ugualmente, un attacco informatico riuscito potrebbe destabilizzare il mercato azionario facendo sprofondare interi paesi nel caos, oppure bloccare i rifornimenti di gas in inverno o il ciclo dei rifiuti urbani; il conseguente scenario politico sarebbe drammatico.
Il fattore umano, anello debole della cybersecurity
Molte volte i danni di attacchi informatici dipendono da un anello debole identificabile. L’anello debole della cybersecurity è il fattore umano. L’uomo ormai è parte integrante del cyberspace e quindi il fattore umano rappresenta la più importante e impredicibile vulnerabilità di questo macrosistema. Un click sbagliato può infatti distruggere qualsiasi linea di difesa tecnologica di un singolo apparato, di una organizzazione, di un paese. Sono le persone che si fanno “pescare” da una campagna di phishing, che usano come password il nome del gatto o del consorte, che usano lo stesso smartphone per farci giocare i figli e poi accedere alla rete aziendale. Queste persone sono le prime ad aprire le porte ai criminali verso i siti, le reti e i database della loro organizzazione, con effetti pericolosi e imprevedibili.
Una delle ragioni principali del successo degli attacchi informatici in vari ambiti, ormai quotidianamente riportati anche dalla stampa non specialistica, è la mancanza di forza lavoro adeguatamente qualificata nel settore della cybersecurity.
Negli ultimi anni, infatti, si è verificata una crescita esponenziale delle potenzialità offerte dallo sviluppo tecnologico. Parallelamente, però, si è rafforzata la consapevolezza che anche le nuove tecnologie – se utilizzate in maniera non pienamente consapevole – possono costituire un rischio per il settore pubblico, i cittadini e le imprese.
Formazione cybersecurity, come ridurre i rischi legati alla carenza di professionisti
Anche l’Italia sconta la carenza di professionisti nell’area della cybersecurity, esacerbata dalla fuga di giovani, formati nelle nostre università, ma attratti all’estero da stipendi più appetibili. In assenza delle professionalità appropriate, il programma Impresa 4.0 può diventare un boomerang per settori chiave della nostra economia: estendere al mondo manifatturiero il principio del “tutto connesso, sempre” porterà infatti a un significativo aumento del rischio che attacchi informatici riescano a sottrarre informazioni sensibili alle aziende e a comprometterne l’operatività.
Per ridurre tali rischi sono necessari significativi investimenti per formare esperti di sicurezza con solide competenze tecniche in grado di:
- definire politiche, strategie e programmi di protezione e controllo per garantire la sicurezza dei dati, delle reti e dei sistemi;
- gestire situazioni, eventi e persone in presenza di attacchi cyber;
- contribuire a creare una cultura della sicurezza informatica nelle aziende e nella società.
Le sei direttrici della formazione cybersecurity, i corsi da fare
Data la pervasività della cybersecurity in ambito professionale, educativo, accademico fino al contesto più ampio, cioè quello sociale, gli aspetti legati alla formazione sul tema, come evidenziato nel libro bianco 2018 del Laboratorio Nazionale di Cybersecurity, devono pertanto essere affrontati lungo sei direttrici complementari:
- Alta formazione — Finalizzata a fornire gli strumenti tecnici e metodologici fondamentali della cybersecurity mediante corsi di laurea, master universitari e programmi di dottorato offerti dai vari atenei;
- Educazione di base — Finalizzata a fornire i fondamentali della cybersecurity a partire almeno dalle scuole medie di secondo grado, indipendentemente dall’indirizzo specifico del percorso scolastico, con l’obiettivo di porre le basi per una migliore comprensione della tematica e per stimolare lo sviluppo formativo verso corsi universitari di specializzazione;
- Formazione professionale — Finalizzata alla formazione continua per tutte le professioni che sempre più dovranno confrontarsi con problematiche di cybersecurity;
- Ricerca di talenti — Finalizzata alla ricerca di giovani talenti da indirizzare verso una carriera in cybersecurity, catalizzandone l’interesse mediante sfide informatiche, simulazioni in ambienti virtuali protetti e, in generale, attraverso iniziative che consentano di sperimentare un possibile contesto operativo e valutare le opportunità di crescita professionale;
- Addestramento — Finalizzato a consolidare, migliorare e valutare le capacità operative degli operatori e delle procedure preposte al contrasto e alla gestione degli incidenti informatici all’interno delle organizzazioni;
- Formazione e sensibilizzazione dei cittadini — Finalizzata a fornire ai cittadini le nozioni elementari di cybersecurity e i concetti base di quella che viene ormai comunemente chiamata igiene-cyber (cyber-hygiene).
Un rischio sistemico difficile da gestire
Bisogna capire che in uno scenario così ricco di strumenti, di opportunità, e così aperto, la rete diventa spesso fonte di pericoli se non se ne conoscono in misura adeguata limiti e minacce e non si tengono in debito conto gli aspetti di sicurezza.
I cittadini sono potenziali oggetti di attacco sia in quanto consumatori di prodotti e servizi digitali sia come membri di organizzazioni. Siamo pertanto di fronte a un rischio sistemico difficile da gestire, soprattutto in assenza dei meccanismi di controllo tipici delle organizzazioni. Inoltre, le limitazioni indotte dall’adozione di meccanismi di sicurezza possono scontrarsi con esigenze contrastanti come l’obiettivo di migliorare l’esperienza d’uso di prodotti e servizi.
Obiettivi delle iniziative di formazione in ambito cybersecurity
In ambito nazionale è quindi necessario dare vita a un’azione di sistema per una formazione sull’utilizzo sicuro della rete, come iniziativa di accrescimento delle conoscenze tecnologiche e di sicurezza sociale per il Paese, perseguendo i seguenti obiettivi:
• Framework Nazionale per la sensibilizzazione e l’aggiornamento permanente — Sviluppare un percorso strutturato a livello nazionale per la definizione di un Framework come modello di riferimento per un aggiornamento permanente sui temi della sicurezza in rete e dell’utilizzo consapevole degli strumenti digitali, all’interno del quale collocare l’azione educativa. Il Framework deve definire un insieme di “contesti” omogenei e, per ciascuno di questi, identificare, grazie al contributo di team di specialisti necessariamente multidisciplinari: (1) obiettivi da raggiungere, definendo, dove applicabili, anche i relativi Body of Knowledge e i Syllabus; (2) sequenze di azioni da mettere in atto per raggiungerli; (3) piani operativi dettagliati, in termini sia di tempistiche sia di risorse.
• Controlli minimali per cittadini e cyber-hygiene—(1) Definire un insieme di controlli minimali per cittadini e un insieme di regole base di cyberhygiene che devono essere sistematicamente seguite. (2) Identificare e attivare i meccanismi più adatti per la massima diffusione di questi controlli minimali e delle regole base di cyber-hygiene attraverso campagne pubblicitarie e di informazione di massa, sia sui media tradizionali (giornali, radio, tv) sia sui social media.
• Cooperazione pubblico-privato-terzo settore—Promuovere e incentivare un modello virtuoso di cooperazione tra pubblico, privato e terzo settore per la valorizzazione e la messa a sistema delle iniziative oggi già atto, nelle forme più disparate, sul territorio nazionale, tra quanti (aziende, organizzazioni, professionisti, associazioni di volontariato, etc.) stanno erogando iniziative formative all’interno della propria mission aziendale o sociale. Questo richiede, a titolo di esempio, la condivisione sia di best practice sia del molto materiale già oggi disponibile, a seguito di una validazione rispetto alle direttive del Framework di cui sopra.
Tutto ciò va sicuramente bene per creare una solida base di cultura della cybersecurity, ma dal punto di vista professionale è necessario indubbiamente formare specialisti della materia che siano in grado di affrontare e risolvere qualsiasi problema o emergenza che dovesse sorgere nel campo della sicurezza informatica.
Sicurezza ICT, l’importanza della certificazione delle competenze
In tal senso assume particolare rilievo la certificazione della sicurezza ICT che è oggetto di particolare attenzione negli ultimi tempi, come dimostrano le recenti iniziative della Presidenza del Consiglio dei ministri e della Commissione Europea.
In particolare, di recente è stato pubblicato il cosiddetto “Cybersecurity act” il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 riguardante ENISA, l’Agenzia di Cybersicurezza UE, e la creazione di un quadro europeo di certificazione per i prodotti di sicurezza ICT.
Il tema della certificazione delle professionalità in materia di cybersecurity è diventato oggetto di studio e, successivamente, di tentativi di “standardizzazione” e poi di “normazione” da alcuni anni. In effetti, il mercato ha visto un proliferare di certificazioni rilasciate da organismi vari, molto spesso di natura privata, che si sono sforzati di soddisfare al meglio le esigenze delle aziende e delle organizzazioni.
La certificazione delle competenze richiede:
- Una definizione del dominio di conoscenza (knowledge),
- Una modalità di declinazione della conoscenza in capacità operative,
- Una verifica del grado di maturità (proficiency) di questa declinazione, dalla quale consegue il grado di autonomia e responsabilità.
La norma generale europea sulle competenze
È un quadro complesso, all’interno del quale vi sono ampi ambiti di discrezionalità.
Esistono però dei sistemi ormai consolidati a livello internazionale, europeo e nazionale, che forniscono delle linee guida, in certi casi operativi e con valore cogente (“norme”). ISO ha prodotto lo schema ISO/IEC NP 27021 (Information technology – security techniques – competence requirements for security management systems professionals), che definisce un quadro di professionalità e uno schema dedicati a figure più operative (ISO/IEC NP 19896-1/2/3 “tester” ed “evaluator.
L’ente normatore europeo (CEN/TC 428) ha emanato recentemente una norma quadro sulle professionalità ICT ad ampio spettro, la EN 16234-1, che è il risultato di vari anni di attività di un “Consortium Workshop Agreement”, il CWA 16458, al quale l’Italia ha partecipato spesso in funzione di leadership. Il contesto europeo ha prodotto una “norma”, che, come tale, ha vigore e si applica in tutti i paesi dell’Unione, sostituendo eventuali norme degli enti normatori nazionali (per l’Italia UNI).
La norma generale europea definisce le competenze ICT utilizzando lo schema eCF 3.047, che prevede 42 competenze e declina un insieme di 6 famiglie di “profili professionali” articolate in 22 “profili di secondo livello”, che includono l’ICT Security Manager e l’ICT Security Specialist. La definizione delle competenze dello schema eCF si appoggia su un insieme di “conoscenze”, cioè una specifica del dominio, volutamente molto scarna e poco articolata. Ne consegue che anche i profili professionali sono definiti, da questo punto di vista, in maniera poco dettagliata.
DPO e CIDO tra le professionalità di spicco
Alla luce di quanto sopra evidenziato ed anche degli ultimissimi orientamenti sia tecnici che normativi, tra le professionalità più di spicco troviamo sicuramente il DPO (Data Protection Officer) e il CISO (Chief Information Security Officer).
La prima figura professionale, sorta a seguito dell’avvento del GDPR, è sicuramente una figura di rango elevato che però non ha ancora trovato un riconoscimento ufficiale a livello europeo delle proprie competenze. Se ne discute tanto, esiste in Italia una norma tecnica Uni specifica la 11697 che prevede tra le varie figure professionali della protezione dei dati anche il DPO, ma a livello europeo ancora nulla.
Il CISO, invece, è una delle posizioni più elevate per chi lavora nell’ambito della sicurezza informatica. Si tratta di una posizione dirigenziale che seleziona e controlla le iniziative legate alla sicurezza di un’organizzazione e, per svolgere questo compito, deve possedere competenze tecnologiche, nonché doti relazionali e di leadership. Inoltre, deve conoscere il core business dell’organizzazione ed essere in grado di gestire un team complesso. Anche in questo caso, però, non abbiamo certificazioni specifiche.
Figure professionali da formare in cybersecurity
Ma ormai stanno assumendo rilevanza tante altre figure professionali che si evolvono nel tempo:
Cyber Risk Manager. Si occupa di individuare gli scenari di rischio, le minacce informatiche e gli eventuali impatti che tali eventi potrebbero avere sull’organizzazione.
Security Administrator. Si occupa di rendere operative le soluzioni tecnologiche di security, dalla messa in produzione alla manutenzione, fino all’assistenza degli utenti finali.
Security Engineer. Si occupa di monitorare i sistemi informatici ed elabora soluzioni per rispondere ad eventuali minacce o attacchi.
Security Architect. Ha una conoscenza approfondita dei sistemi dell’organizzazione e dei loro punti deboli, dato che si occupa di curare lo schema delle misure di sicurezza e delle policy adottate, costruendo strategie volte a migliorare la sicurezza e le politiche di accesso.
Security Analyst. Dopo aver valutato le vulnerabilità che potrebbero danneggiare reti, apparati, applicazioni e servizi, propone soluzioni e accorgimenti per il miglioramento della sicurezza. Identifica le soluzioni più adatte a seconda degli ambiti di impiego e in alcuni casi svolge attività di verifica e conformità di soluzioni e politiche a specifiche normative.
Security Developer. Il suo compito è sviluppare soluzioni di security ad hoc e integrare i servizi di terze parti. Nella maggior parte dei casi si tratta di consulenti esterni che collaborano con le aziende.
Ethical Hacker. Valuta il livello di pericolosità delle vulnerabilità di cui soffre l’azienda attraverso penetration test in cui tenta di penetrare un sistema informatico per individuarne il grado di sicurezza e l’efficacia. Dal test emerge un report per il Top Management e gli Executive Security con argomentazioni relative ai fattori di debolezza nella strategia di security dell’organizzazione.
Machine Learning Specialist. Ha competenze nell’ambito dell’analisi statistica, della matematica e delle tecniche di analytics. Si occupa di sviluppare e monitorare sistemi in grado di rispondere in tempo reale ad eventuali minacce in modo automatico e cognitivo.
Si tratta, come risulta evidente, di professionalità che sebbene fortemente collegate hanno distinti obiettivi e quindi specifiche competenze. E’ sicuramente in questo ambito che si avverte la necessità di crescere e definire con maggiore precisione le skills necessarie per ricoprire dei ruoli professionali specifici. Oggi abbiamo tanti forse troppi “Evangelist” che conoscono indubbiamente la materia, la sanno ben illustrare spiegandone i meccanismi fondamentali, ma non sono in grado di rivestire dei ruoli altamente specializzati in un contesto che ormai è riservato solo a figure professionali di rango davvero elevato.