sicurezza informatica

Ecco il “cybersecurity educator”: cosa fa e perché è importante in azienda

Il cybersecurity educator è, tra le figure indicate nel Quadro europeo delle competenze in materia di cybersicurezza, quella incaricata di “migliorare le conoscenze, le abilità e le competenze di cybersecurity” all’interno di un’organizzazione. Ecco perché è importante

Pubblicato il 23 Feb 2023

Achille Pierre Paliotta

Ricercatore INAPP

shutterstock_2080599925.jpg

L’ENISA ha riassunto tutti i ruoli legati alla sicurezza informatica in 12 profili, tutti molto importanti nel contesto della sicurezza informatica. Tra questi, vogliamo soffermarci sul Cybersecurity educator, cioè la figura che all’interno delle organizzazioni è chiamato a promuove e consolidare l‘importanza della cybersecurity in termini di awareness.

Un profilo di grande importanza alla luce del fatto che una governance efficace dell’ecosistema della cybersecurity deve necessariamente basarsi su un triplice e adeguato investimento: tecnologia, processi e policy di natura organizzativa nonché personale altamente qualificato. Tutti e tre questi elementi sono essenziali alla tenuta complessiva dell’ecosistema e al suo continuo sviluppo dinamico. L’aspetto tecnologico, indubbiamente, è quello di cui si parla più spesso nella stampa di opinione e tra gli addetti ai lavori.

Enisa: “Nasce il quadro europeo delle competenze di cybersecurity, ecco perché è importante”

Cybersecurity, l’importanza della formazione del personale

Gli aspetti relativi alle policy e processi organizzativi sono sostanzialmente misconosciuti seppur cruciali anch’essi nel regolare l’esistenza stessa della cybersecurity. Tuttavia, questi due aspetti da soli non possono fornire una protezione significativa dagli attacchi informatici se il personale del settore non è in grado di garantire una corrispondente sicurezza informatica. Ciò è tanto più vero non solo riguardo alla forza lavoro specialistica ma anche a quella generalista, poiché le minacce informatiche interessano l’ecosistema digitale in cui siamo tutti immersi; in questo senso, si dovrebbe immaginare e implementare a livello operativo una formazione diffusa per l’intero corpo sociale, a partire dall’istruzione primaria, come si è messo in luce in un precedente articolo.

La pervasività dei problemi informatici evitabili, come i sistemi mal configurati, la lentezza nell’implementazione delle patches e l’insufficiente attenzione alla gestione del rischio, difatti, può spesso essere collegata alla carenza di personale informatico o alla loro non adeguata formazione. Per non parlare, poi, di tutta la questione che ha a che fare con l’ingegneria sociale (phishing, spear phishing, vishing, ecc.) Questi problemi non sono solo costosi da rimediare, dopo che si sono verificati gli incidenti messi in opera da attori malevoli, ma sono anche una minaccia per la sicurezza nazionale, in particolare quando si verificano nei sistemi di infrastrutture critiche o nelle catene di approvvigionamento da cui dipendono tali infrastrutture.

La carenza di profili professionali per soddisfare la domanda di cybersecurity

Assicurare che i posti di lavoro siano occupati da personale altamente qualificato non garantirà di per sé il successo nella protezione della cybersicurezza nazionale dagli attori malevoli, anche nation-state, ma il fatto di non riuscire a riempire tutte le posizioni aperte del settore (job vacancies) rappresenta comunque una sorta di “fallimento” in quanto le organizzazioni non potranno contare sulle necessarie contromisure atte a contrastare gli attacchi malevoli. E qui si apre un primo punto dolente in quanto vi è una forte richiesta di profili professionali che in questo determinato momento non si è in grado di soddisfare pienamente. Tale carenza di profili è stata quantificata in circa 100.000 unità, da parte del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), Roberto Baldoni. Non si è in grado di verificare la veridicità di tale assunto in quanto non esistono, a tutt’oggi, rilevazioni ad hoc che possano fornire una quantificazione esatta del labor shortage nel settore.

Un’altra tematica chiave è costituita dagli studi sulle competenze e sulle qualificazioni, le quali hanno l’obiettivo di promuovere:

  • il riconoscimento dei profili professionali e delle competenze;
  • la progettazione e l’armonizzazione dei programmi di istruzione, formazione iniziale e continua nonché delle attività di sviluppo professionale.

È indubbio che quest’ultima tematica si leghi anche al primo punto, vale a dire quello di identificare le professioni e le competenze critiche che sono richieste dal sistema produttivo in questo determinato periodo storico.

Un ultimo punto è quello legato alla comunicazione e alla diffusione di una conoscenza condivisa tra datori di lavoro e potenziali candidati al fine di attrarre nuovo personale qualificato nel campo della cybersicurezza, fornirgli un orientamento adeguato o assistergli nella pianificazione dei loro percorsi di carriera. In definitiva, si tratta di creare un lessico comune tra tutti gli addetti ai lavori e stakeholders che operano in questo campo riguardo ai ruoli, alle competenze, alle abilità e alle conoscenze (knowledge, skills and abilities, KSA).

È da sottolineare, infine, che la Commissione europea, lo scorso 12 ottobre, ha designato il 2023 come “European Year of Skills”, al fine di “further promote a mindset of reskilling and upskilling. The aim is to ensure that nobody is left behind in the twin transitions and the economic recovery, and to notably address labour shortages for a better skilled workforce in the Union that is able to seize the opportunities of this process” (European Commission COM(2022) 526 final:3).

I dodici profili legati alla sicurezza informatica

A questo riguardo, può essere salutato con favore l’iniziativa intrapresa dall’Agenzia europea per la cybersicurezza (EU Agency for Cybersecurity, ENISA) la quale ha pubblicato, a settembre 2022, il Quadro europeo delle competenze in materia di cybersicurezza (European Cybersecurity Skills Framework, ECSF).

L’ENISA ha riassunto tutti i ruoli legati alla sicurezza informatica nei seguenti 12 profili:

  • Chief Information Security Officer (CISO);
  • Cyber Incident Responder;
  • Cyber Legal, Policy and Compliance Officer;
  • Cyber Threat Intelligence Specialist;
  • Cybersecurity Architect;
  • Cybersecurity Auditor;
  • Cybersecurity Educator;
  • Cybersecurity Implementer;
  • Cybersecurity Researcher;
  • Cybersecurity Risk Manager;
  • Digital Forensics Investigator;
  • Penetration Tester.

I dodici profili professionali individuati dal Framework europeo rappresentano, come detto, un primo passo obbligato in direzione di un obiettivo ambizioso che è quello di creare un linguaggio comune relativo ai compiti e competenze necessari in un contesto di sicurezza informatica. Mediante essi si può anche pervenire a una quantificazione del mismatch tra domanda e offerta di lavoro, al fine di mettere a punto delle policy efficaci, da parte degli Stati membri, e di colmare le carenze finora riscontrate nel settore.

Il “Cybersecurity Educator”

Non è qui possibile affrontare, per ragioni di spazio, la descrizione di tutti i profili e valutare anche criticamente se essi coprono l’intero perimetro del settore oppure se la loro descrizione sia più o meno efficace a fini classificatori. Ciò potrà avvenire solo mettendoli alla prova della realtà, vale a dire effettuando delle indagini ad hoc, ad esempio rilevandone l’effettiva richiesta da parte del sistema produttivo nazionale. Qui, ci si limiterà a presentare, pertanto, assai brevemente, solo il “Cybersecurity Educator” il cui obiettivo sintetico è quello di “migliorare le conoscenze, le abilità e le competenze di cybersecurity” e l’obiettivo dettagliato quello di “progettare, sviluppare e condurre programmi di sensibilizzazione, formazione ed educazione in materia di sicurezza informatica e di protezione dei dati”. Nel corso della sua attività, egli “utilizza metodi, tecniche e strumenti didattici e formativi appropriati per comunicare e migliorare la cultura, le capacità, le conoscenze e le competenze delle risorse umane in materia di cybersecurity”.

Le skill del cybersecurity educator

Le skills principali sono quelle di:

  1. Identificare le esigenze di sensibilizzazione, formazione e istruzione in materia di cybersecurity;
  2. Progettare, sviluppare e fornire programmi di apprendimento per soddisfare le esigenze di cybersecurity;
  3. Sviluppare esercitazioni di cybersecurity, comprese le simulazioni che utilizzano ambienti di cyber range;
  4. Fornire formazione per ottenere certificazioni professionali di cybersecurity e protezione dei dati;
  5. Utilizzare le risorse formative esistenti in materia di cybersicurezza;
  6. Sviluppare programmi di valutazione per le attività di sensibilizzazione, formazione ed educazione;
  7. Comunicare, presentare e riferire agli stakeholders;
  8. Identificare e selezionare approcci pedagogici appropriati per il pubblico a cui si rivolge;
  9. Motivare e incoraggiare le persone.

In conclusione, quello che ci si può qui augurare è che il “Cybersecurity Educator” possa trovare una buona diffusione all’interno delle diverse entità organizzative operanti nel campo dell’educazione e della formazione, sia quelle relative all’istruzione di base sia quelle della formazione iniziale e continua poiché il lavoro da svolgere è assai oneroso e abbisogna del contributo di personale qualificato a tutti i livelli.

* Le opinioni qui espresse dall’autore non coinvolgono quelle dell’Ente di appartenenza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • deontologia

    AI per avvocati? Sì, ma attenzione: ecco una guida pratica dalla California

    15 Dic 2023

    di Gianluca Rotino

    Condividi

  • Regolamentazioni

    Sostenibili perché conviene: l'impatto della direttiva Ue CSDD sulle imprese

    08 Mag 2024

    di Marco Cristiano Petrassi

    Condividi

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

AI per avvocati? Sì, ma attenzione: ecco una guida pratica dalla California

Articolo 1 di 4