In uno scenario in cui le minacce informatiche diventano sempre più sofisticate e mutevoli nel tempo, le
esigenze dei team di security cambiano costantemente richiedendo personale sempre più specializzato in grado di fronteggiare un contesto in continuo cambiamento.
Purtroppo, tale compito già impegnativo delle imprese di proteggersi contro le minacce cyber è aggravato dallo skill shortage, ovvero la mancanza di competenze nel settore della cyber security. Il fenomeno dello Skill Shortage, ovvero carenza di competenze, sta diventando una vulnerabilità delle organizzazioni.
Nel 2017 lo shortage a livello globale era stimato pari a 1,8 entro il 2022 ma già a fine 2018, secondo una stima di ISC2 era pari a 2,93 milioni di posti di lavoro1. È stimato, inoltre, che tale carenza diventi di 3,5 milioni entro il 2021.
Per analizzare questo fenomeno e fornire delle indicazioni per la sua mitigazione, la fondazione Global Cyber Security Center ha finanziato e supportato un progetto di ricerca condotto dai ricercatori dell’Università di Oxford2.
L’obiettivo dello studio è stato analizzare le caratteristiche e le cause dello shortage e le azioni intraprese dai 12 Paesi con più alto indice di sviluppo ICT e cyber security3 per mitigarlo.
Dallo studio emerge un fenomeno molto complesso con cause da imputare a vari fattori. Difficoltà nel bilanciare la domanda e l’offerta di lavoro nel settore della Cyber Security sono state ampiamente riscontrate in paesi come l’Australia, il Giappone, il Regno Unito e gli Stati Uniti.
Solo nel mercato americano da settembre 2017 ad agosto 2018 su 715,715 posizioni aperte ben 313,735, quasi il 50%, sono rimaste vacanti.
La carenza di 80.000 unità nel 2013 era divenuta di 132.060 nel 2016 ed è stimato che superi le 193.010 unità nel 2020. L’Australian Cyber Security Sector Competitiveness Plan afferma chiaramente che nel settore della Cyber Security la nazione avrà bisogno di un ulteriore numero di esperti compreso tra le 7,500 e 11,000 risorse entro il 2026 (Australian Cyber Security Growth Network, 2017).
Le figure mancanti sono principalmente quelle tecnico – operative come risulta evidente ad esempio dai mercati australiani e americani in cui i profili più ricercati sono quelli afferenti alle categorie “Operate & Maintain”, “Securely Provision” e “Protect & Defend” del framework NICE del NIST.
I dati americani sono stati reperiti tramite CyberSeek, un tool che fornisce uno spaccato dell’offerta e della domanda in Cybersecurity. La carriera professionale è, inoltre, mappata secondo un percorso di carriera professionale da entry-level ad advanced-level. Per ciascun ruolo è indicato il salario medio, i job title associati, la formazione, competenze, skill e certificazioni richieste.
Emerge, ad esempio, che Cybersecurity Engineer, Analyst e Manager/ Administrator sono i profili più richiesti, mentre Cybersecurity Architect, Cybersecurity Manager e Cybersecurity Engineer quelli più remunerati.
Lo Studio ha evidenziato anche una disomogeneità nella definizione e attuazione delle politiche nazionali volte a mitigare il fenomeno dello Skill Shortage definite dai 12 paesi più influenti nel settore ICT e cyber security.
Le politiche sono state analizzate nelle dimensioni: Scuola Primaria e Secondaria, Apprendistato e Istituti professionali, Università e Ricerca, mondo del Lavoro.
I Paesi hanno investito principalmente nel mondo della università e ricerca e nella forza lavoro, mentre iniziative più generali hanno interessato la scuola primaria e secondaria, nonché i programmi di formazione professionale e di apprendistato.
Lo stato di implementazione e il livello di maturità delle politiche varia di paese in paese ma è possibile affermare che i governi che hanno maturato nel tempo una maggiore esperienza e consapevolezza nell’affrontare lo Skill Shortage e raggiunto un più elevato livello di maturità risultano essere Regno Unito, Giappone e Australia.
Il Regno Unito ha operato importanti investimenti. Sono state istituite infatti importanti iniziative governative destinate agli studenti come Cyber First, Cyber Challenge, Cyber Security Discovery e il Cyber Security Skills Immediate Impact Fund. Cyber First mette a disposizione degli studenti diversi percorsi di formazione in cyber security. Il programma prevede borse di studio di 4500 euro nonché attività di apprendistato retribuito e formazione extracurriculare per il periodo estivo. In Cyber First assumono un importante rilievo anche le donne. Al fine di incrementare l’occupazione femminile è stato istituito uno specifico programma Cyber First Girl che comprende anch’esso una gara e che nel 2018 ha contato la partecipazione di 3.400 ragazze circa, provenienti da 841 scuole. Sempre in tema di Cyber competizioni un’importante iniziativa creata dal governo inglese è il Cyber Discovery. Il programma prevede una challenge per l’apprendimento della cyber security per giovani di età compresa tra i 14 e i 18 anni suddivisa in 4 fasi dove gli studenti vengono formati da esperti del settore con corsi dedicati per poi confrontarsi con vere e proprie sfide online che spaziano da Linux alla crittografia e programmazione. Il piano messo in atto dal Regno Unito è molto variegato. Al fine di combattere il fenomeno dello skill shortage nazionale infatti è stato istituito un ulteriore programma volto a formare e collocare individui che non hanno ancora una occupazione in ruoli di sicurezza informatica e destinato a organizzazioni e associazioni che presentano specifici programmi per aumentare e diversificare le risorse nel campo della Cyber Security.
Il fenomeno risulta molto evidente anche in Italia che ha indicato nelle proprie politiche nazionali (es. Piano Nazionale per la protezione cibernetica e la sicurezza informatica) l’obiettivo di aumentare le competenze nel settore della cyber security. Tuttavia non è stata ancora definita una policy nazionale unica per ridurre lo skill shortage seppure alcune iniziative siano nate spontaneamente nell’ambito di singoli enti e organizzazioni.
Una politica che potrebbe essere potenzialmente rilevante per la sicurezza informatica è il Piano Nazionale Scuola Digitale, che prevede obiettivi e azioni specifiche per sviluppare le competenze digitali di studenti e docenti e per favorire l’imprenditorialità e il lavoro al fine di colmare il divario digitale sia in termini di competenze che di occupazione.
In Italia, il problema del CSSS è stato riconosciuto in numerosi rapporti ufficiali e non ufficiali. Il Dipartimento delle Informazioni per la Sicurezza (DIS), ha riconosciuto già nel 2017 che l’Italia ha un “vasto problema” in relazione all’educazione della Cyber Security e il CINI (Consorzio Interuniversitario Nazionale per l’informatica,) ha sottolineato nel suo Libro Bianco del 2018, come le politiche educative in tema di Cyber Security siano insufficienti. Gli studi di Kaspersky lab nel 2016, dell’Osservatorio sulle Competenze Digitali del 2017 e il Barometro di Cyber Security nel 2018 confermano la difficoltà italiana nel reclutare professionisti in cyber security.
Al fine di recepire le effettive necessità delle organizzazioni italiane in tutte le sue accezioni è stato proposto sia un sondaggio on- line anonimo e rivolto ai CISO delle principali organizzazioni italiane (+ del 50% delle organizzazioni ha oltre 500 dipendenti), sia sono state condotte delle interviste a rappresentanti della pubblica amministrazione e del mondo accademico.
Dal punto di vista delle organizzazioni i CISO italiani hanno riconosciuto una conclamata difficoltà nel trovare risorse per il settore della Cyber Security.
Dal sondaggio condotto infatti emerge che nel 75% dei casi le aziende hanno serie difficoltà ad assumere nel settore della cyber security e che nel 50% dei casi fanno fatica a trovare addirittura anche un solo candidato per la posizione richiesta. Alle posizioni aperte rispondo spesso candidati con poca esperienza operativa.
Le competenze maggiormente richieste in Italia risultano essere cyber security management, incident response, threat analysis, risk mangament, cyber investigation, cyber operations a cui si affianca, principalmente per il settore privato, la digital forensics.
Emerge altresì che, nonostante «1 – 3 anni» sia l’esperienza professionale minima richiesta dalle aziende, al fine di coprire le posizioni vacanti le organizzazioni sono disposte ad assumere anche neo diplomanti da formare.
a mancanza di esperienza professionale non è però l’unico ostacolo nell’attuale mercato del lavoro della Cyber Security. Sebbene l’esperienza lavorativa sia una delle principali cause, le stesse hanno ammesso di “non offrire sempre stipendi e benefit ai livelli del mercato attuale”.
I CISO italiani, infatti, imputano tra le principali cause del fenomeno in Italia la mancanza di competenze pratiche delle risorse e gli stipendi e i benefit non adeguati rispetto al mercato internazionale di riferimento. Infatti, i pochi candidati che in Italia hanno acquisito le competenze richieste dalle aziende si rivolgono al mercato internazionale che può garantire stipendi nettamente superiori e maggiore stabilità.
La capacità del sistema educativo italiano di produrre un numero sufficiente di candidati con le giuste conoscenze e competenze costituisce un altro fattore critico. Dal sondaggio si evince, infatti, che in Italia il sistema accademico garantisce, soprattutto con lauree in Ingegneria e Informatica, conoscenze in cyber security ma solo teoriche. Mancano quelle pratiche e operative che consentono l’inserimento immediato nel mondo del lavoro.
Il sistema educativo italiano, ha reagito in generale lentamente alle nuove tendenze, compresa la formazione informatica. A una non adeguata offerta formativa, si aggiunge inoltre la mancanza di docenti universitari. Le nuove lauree stanno iniziando a nascere, ma sono ancora insufficienti ed eccessivamente focalizzate sulla teoria anziché che sugli aspetti più operativi della Cyber Security.
Dalle interviste condotte è emersa, inoltre, la mancanza di una cultura della sicurezza percepita ancora come un costo e un onere e non necessaria e abilitante il business. Le interviste hanno ribadito in più occasioni come in contesti complessi, dove a volte non si riesce a pensare in modo strategico alla sicurezza informatica, gli esperti in cyber security sono particolarmente rari e costosi e i profili maggiormente ricercati non hanno una formazione adeguata per lavorare in contesti immediatamente operativi. Ulteriore fattore critico sottolineato riguardano gli stipendi che essendo troppo bassi e non in linea con il mercato internazionale contribuiscono alla “fuga dei cervelli” dal territorio nazionale.
Lo scenario italiano emerso dallo studio non è isolato ma in linea con quello internazionale come emerso dagli studi condotti a livello globale da ISACA4 che validano i risultati circa la dimensione del fenomeno e i tempi necessari per trovare un candidato qualificato per le posizioni vacanti nelle strutture aziendali, periodo che va dai 30 giorni fino addirittura a sfiorare i 6 mesi (o più). Meno del 50% dei candidati, secondo lo studio di ISACA, non sono propriamente qualificati per rivestire la posizione richiesta dalle stesse organizzazioni, dato che corrobora ancor di più l’importante fattore dell’insufficiente formazione tecnico-operativa e di comprensione del business nel settore della cyber security.
Il fenomeno del CSSS, come già ampiamente dimostrato nel report internazionale “Mind the Gap”, è fortemente sentito a livello internazionale e Paesi come il Regno Unito, l’Australia o il Giappone nazioni che ad oggi stanno investendo molto sia in termini economici che di strutturazione di policy mature per contrastare lo shortage.
Paragonando l’Italia con il Regno Unito, uno dei paesi con un approccio sofisticato al cyber security skill shortage, emerge un minore commitment economico dell’Italia in termini di cyber security e istruzione.
Il Regno Unito infatti, ha avuto un approccio nazionale al fenomeno soprattutto in termini di politiche e formazione delle giovani generazioni. Tra il 2011 e il 2016, ha investito 38,2 milioni di Euro in programmi di formazione ed educazione ed è attualmente in fase di definizione una ulteriore strategia per la creazione di skill in cyber security, che dovrebbe essere pubblicata entro la fine del 2019.5 Ha dedicato alla cyber security circa un miliardo di euro di budget pubblico già nel periodo 2011-2016, stanziamento incrementato a 2.2 miliardi per il periodo 2016-2021.6
Non è ancora chiaro quanto l’Italia spenda complessivamente per la sicurezza informatica ma il piano strategico 2017 ha ribadito come la politica di sicurezza informatica non debba comportare costi aggiuntivi per l’amministrazione e che il Governo ha creato un nuovo fondo per la difesa informatica, presumibilmente destinato al Ministero della Difesa, per un totale di 3 milioni per il periodo 2019-2021.
Certamente l’Italia potrebbe trarre ispirazione del modello adottato dal Regno Unito, pur tenendo conto delle differenze tra i due Paesi, e mettere in campo alcune iniziative per ridurre il fenomeno dello skill shortage in cyber security.
Potrebbe definire una soluzione nazionale al fenomeno del cyber security skill shortage coinvolgendo Governo, Industria e Sistema educativo, designare un singolo ente nazionale responsabile delle relative politiche e stanziare del budget adeguato senza il quale le amministrazioni italiane difficilmente potranno attuare le politiche in materia di istruzione e competenze.
L’Italia dovrebbe considerare come priorità le politiche relative al passaggio scuola-lavoro, all’alta formazione e alle scuole superiori e sviluppare campagne per incentivare le donne a intraprendere percorsi di formazione nella cyber security al fine di favorire l’occupazione femminile nel settore.
I report dello studio internazionale e del caso Italia sono disponibili sul sito della fondazione www.gcsec.org
1 https://www.isc2.org/Research/Workforce-Study
2 Centre for Doctoral Training in Cyber Security, University of Oxford
3 Secondo le stime dell’ITU del 2017
4 ISACA STATE OF CYBERSECURITY 2019 – LEARN ABOUT SEVERAL CLEAR CHALLENGES ENTERPRISES ARE FACING – https://cybersecurity.isaca.org/state-of-cybersecurity
5 È statapubblicatail 21 dicembre 2018 la dichiarazione di intenti – Initial National Cyber Security Skills Strategy: increasing the UK’s cyber security capability – a call for views,
6 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/ attachment_data/file/567242/national_cyber_security_strategy_2016.pdf