Il numero e la complessità degli attacchi informatici, delle vulnerabilità e delle nuove minacce, sta via via aumentando e le organizzazioni devono essere al passo con i tempi e saper rispondere con altrettanta velocità in uno scenario in continua evoluzione.
Il compito già impegnativo delle imprese di proteggersi contro le minacce cyber è aggravato dal fenomeno globale della skill shortage, ovvero mancanza di competenze nel settore della cyber security.
Il fenomeno, infatti, non è locale ma globale come emerge anche da uno studio condotto da Mcafee1. Tale studio ha coinvolto otto paesi (Australia, Francia, Germania, Israele, Giappone, Messico, Inghilterra e Stati Uniti) che seppur caratterizzati da diverse dimensioni, sistemi educativi, livelli di reddito e strutture politiche, ha evidenziato come la domanda di professionisti di sicurezza informatica sia di gran lunga superiore all’offerta di personale qualificato.
La mancanza di forza lavoro nel settore della cyber security viene definita proprio in questo studio come “una vulnerabilità critica di aziende e Paesi”. L’82% dei rispondenti riportano una carenza di competenze di cyber security nelle proprie organizzazioni, il 71% dichiara che tale mancanza
produce un danno diretto e misurabile per l’azienda. Le tre competenze maggiormente richieste sono la capacità di identificare intrusioni, sviluppo sicuro di software, e attack mitigation. Tale fenomeno è concreto e avvalorato da dati e stime impressionati. Da un’analisi effettuata da ISACA nel 2016 emerge che 2 milioni di posti di lavoro nel settore della sicurezza informatica resteranno vacanti nel 2019 a causa di mancanza di skill e competenze adeguate. Già nel 2015, solo negli Stati Uniti circa 209.000 posti di lavoro di sicurezza informatica sono rimasti vuoti.
Cosa è possibile fare in questo scenario? Le organizzazioni, così come i governi, possono iniziare a intraprendere una serie di iniziative per ridurre al minimo questo gap esistente di competenze che con il tempo tenderà ad aumentare con il sempre maggiore sviluppo di nuove tecnologie e nuove minacce cyber.
AUTOMATIZZARE il più possibile le attività e i processi più semplici ed elementari della cyber security anche tramite l’applicazione di tecniche di machine learning che attraverso processi di autoapprendimento possano pian piano riuscire a svolgere attività sempre più complesse. Ciò consentirebbe ai team di cyber security, quasi sempre sotto staffati, di dedicarsi alle attività di analisi che realmente richiedono skill e competenze elevate, dopo uno screening effettuato direttamente dalle macchine;
INSTAURARE COLLABORAZIONI con le Università nell’organizzazione di corsi post laurea o master universitari, per far svolgere tirocini formativi o progetti di dottorato industriale presso le proprie organizzazioni. Tali collaborazioni consentirebbero alle organizzazioni di identificare nuovi talenti e di poter creare startup e sviluppare prodotti e servizi tecnologici innovativi grazie ai rapporti instaurati con i ricercatori, dottoranti e in generale gli startupper;
INVESTIRE NEL PERSONALE, creando dei programmi di crescita economica e professionale realmente meritocratici, stimolanti e trasparenti per i dipendenti che gli incoraggino all’impegno e allo sviluppo continuo di skill e competenze;
DEFINIRE PROGRAMMI FORMATIVI aziendali mirati rispetto alle reali necessità e ai gap di competenze presenti in azienda. Soprattutto nel settore della cyber security caratterizzato da uno sviluppo velocissimo delle nuove tecnologie, tecniche di attacco e di difesa, risulta necessario mantenere il proprio personale sempre aggiornato. A volte però i team della security sono oggetto di formazione “generalista” e non tecnica mirata in grado di rafforzare realmente le competenze e acquisirne di nuove. Il catalogo corsi aziendali di cyber security soprattutto per gli aspetti più tecnici dovrebbe essere aggiornato periodicamente e risponde alle necessità formative aziendali;
ORGANIZZARE CAMPAGNE DI SENSIBILIZZAZIONE per tutto il personale e non solo per gli addetti ai lavori. La cyber security così come il digitale non sono rappresentati solo dagli strumenti tecnologici ma anche dal modo in cui l’individuo si rapporta con le tecnologie come erogatore e fruitore di servizi. La trasformazione digitale così come la cyber security deve interessare e coinvolgere tutte le persone dell’azienda perché tutte partecipano, ognuna a proprio titolo, al percorso di cambiamento dell’azienda;
CREARE MOMENTI DI INCONTRO tra i vari team aziendali che collaborano tra loro nel settore della cyber security (es. CERT, SOC, R&D, legale, anti frode, …) e con team similari di altre organizzazioni (es. CERT e SOC di altre aziende) per uno scambio fattivo di conoscenze e competenze;
SELEZIONARE I PROFILI TECNICI non solo attraverso colloqui tradizionali, sicuramente indispensabili per un primo screening tecnico e per valutare i soft skill delle risorse, ma avvalendosi anche di piattaforme di cyber range in grado di testare le reali competenze tecniche operative acquisite dal candidato (es. capacità di identificazione e analisi delle minacce cyber, tecniche di difesa e protezione degli asset aziendali);
DEFINIRE PROGRAMMI DI“MOBILITY MANAGEMENT” che consentano al personale di poter ricoprire più ruoli all’interno dei team della cyber security al fine di creare una figura professionale completa. Soprattutto nel campo della cyber security, oltre alle competenze tecniche e tecnologiche, è richiesta la conoscenza dei processi, servizi e del business dell’azienda per poter proteggere al meglio il patrimonio informativo aziendale;
DEFINIRE UN PIANO EDUCATIVO NAZIONALE che includa nei programmi scolastici delle scuole di ogni ordine e grado, e in particolar modo nel mondo universitario, le competenze digitali e di cyber security richieste sia per la digitalizzazione che per lo sviluppo del Paese
La fondazione GCSEC ha instaurato numerose collaborazioni con le principali università italiane (es. Università degli studi di Roma La Sapienza, Campus Biomedico di Roma, Link Campus University, Università di Perugia, Università di Trento, Università della Calabria, Università Mediterranea di Reggio Calabria). Tali collaborazioni rientrano in una serie di iniziative volte a rafforzare la cultura della cyber security in Italia. Recentemente, insieme a Poste Italiane, ha instaurato una collaborazione con l’Università della Calabria per l’istituzione di due Master Universitari di II livello sulla Cyber Security dedicati rispettivamente alla Sicurezza delle Informazioni, focalizzato sugli aspetti di governance dell’information security, e di Ethical Hacking, operativo orientato ad acquisire competenze sulle principali tecniche di attacco cyber.
In particolare, il Master in Ethical Hacking è il primo nel suo genere in Italia e mira a formare esperti in grado di identificare, prevenire e contrastare le principali tipologie di attacco cyber che possono essere perpetrate a danno di organizzazioni pubbliche e private. Gli studenti impareranno a utilizzare in modo responsabile le tecniche di attacco e analizzare gli aspetti di sicurezza dal punto di vista dell’hacker al fine di elevare il livello di protezione e sicurezza delle organizzazioni. Potranno sperimentare, in ambienti virtuali appositamente predisposti, tecniche di attacco alle infrastrutture, ai sistemi di autenticazione, dispostivi mobile, all’hardware.
Sono previste, per ciascun Master, 1575 ore di cui 368 di formazione in aula/laboratorio, 500 ore di training on the job e 700 di studio individuale. Gli studenti saranno selezionati tramite bando pubblico nei mesi di settembre/ottobre 2017. In particolare il master in Ethical Hacking sarà selezionato tramite una competizione “caputure the flag”. Per maggiori informazioni sui master potete scriverci a info@gcsec.org .
1 https://www.mcafee.com/us/resources/reports/rp-hacking-skills-shortage.pdf
