Il gap di competenze e professionisti della sicurezza sta impattando la sicurezza delle imprese?

| Undefined

La mancanza di professionisti nella sicurezza informatica sta impattando le capacità delle nostre aziende di difendere i propri dati? 

È noto come la carenza di competenze in ambito di sicurezza informatica affligga da diversi anni le aziende di tutti i settori. Le organizzazioni infatti sempre più digitalizzate sono continuamente alle prese con attacchi cyber, data breach e violazioni della privacy. In questo scenario la loro salvaguardia dipenderà essenzialmente dalla capacità di sviluppare una forza lavoro in grado di contribuire in modo efficiente alla sicurezza informatica. Sicurezza informatica che rimane dunque una delle massime priorità delle organizzazioni, con un aumento della domanda di esperti del settore.

Rapporti di indagine

A darne ulteriore conferma, uno studio del 2022 dell’ISC2, l’associazione internazionale che riunisce i professionisti della sicurezza informatica, secondo cui mancherebbero a livello globale più di quattro milioni di specialisti, permanendo il divario tra domanda ed offerta di profili specializzati.  

Sebbene l’ISC2 avesse stimato che la forza lavoro globale della sicurezza informatica nel 2022 si sarebbe aggirata intorno ai 4,7 milioni, mancherebbero ancora all’appello 3,4 milioni di lavoratori. 

Anche i risultati di un rapporto di indagine di ISACA e HCL Technologies, rileverebbero la persistenza di difficoltà ormai cronicizzate:

  • Il 61% degli intervistati indica che i loro reparti di sicurezza informatica sono a corto di personale.
  • Il 55% dice di avere posizioni vacanti nei reparti di sicurezza informatica.
  • Il 50% afferma che i candidati in questo campo non sono sufficientemente qualificati.
  • Solo il 31% afferma che le risorse umane comprendono l’esigenza di assumere personale specializzato in cybersecurity.

Inoltre secondo la stessa indagine alcune organizzazioni starebbero colmando le principali lacune di competenze (soft skills 56%, controlli di sicurezza 36% e sviluppo di software 33%):

  • Formando personale non addetto a ruoli di sicurezza informatica (43%)
  • Utilizzando dipendenti a progetto o esterni (37%)
  • Aumentando programmi di specializzazione (23%)
  • Incrementando una formazione basata sulle prestazioni per sviluppare abilità pratiche (22%)
  • Affidandosi all’AI/automazione (22%)

Queste percentuali mettendo in evidenza la grandissima esigenza sempre più pressante di figure professionali che operino in ambito di cybersecurity suggeriscono come possibile soluzione la formazione e la specializzazione.

Lo studio ISC2 consiglia inoltre alle organizzazioni che si trovano ad affrontare il problema, di tenere in considerazione i seguenti aspetti:

  1. Conoscere il proprio fabbisogno. È fondamentale partire da una mappatura delle aree che necessitano di essere migliorate, documentare aspetti critici e fattori di vulnerabilità.
  2. Investire sulla formazione interna. Puntare sul talento interno, promuovere la formazione del personale e strutturare percorsi di crescita.
  3. Costruire relazioni di collaborazione efficaci tra risorse umane e responsabili IT.
  4. Offrire accordi di lavoro flessibili (smart working, remote working). 
  5. Creare una transizione collaborativa tra dipendenti senior e le nuove leve, promovendo degli affiancamenti costruttivi. 

Non solo, riteniamo fondamentale anche puntare sulla collaborazione tra imprese e mondo scolastico, con particolare attenzione alle scuole di specializzazione e università il cui ruolo risulta critico nel poter immettere sul mercato del lavoro profili qualificati e formati sulle tematiche di sicurezza informatica.

Le competenze su cui puntare

Tra i ruoli più ricercati per la cybersecurity ci sono: 

  • Gli esperti a livello di codice (ingegneri del software, sviluppatori) che possono implementare programmi anche con caratteristiche di protezione e sicurezza.
  • I network architect che possono fornire un contributo al team di cybersecurity per la loro conoscenza delle reti. 
  • Gli specialisti per il supporto IT che sono le figure più indicate per affrontare le sfide di sicurezza.
  • Gli sviluppatori di sistemi di Intelligenza Artificiale per lo sviluppo di strumenti di penetration testing e automatizzati per individuare le minacce.

La formazione trasversale

L’esigenza di aggiornamento nella formazione in ambito sicurezza, oltre ai professionisti IT, deve coinvolgere in modo trasversale tutti i dipendenti di una azienda, con l’obiettivo di sensibilizzare e diffondere cultura e consapevolezza.

Infatti una formazione, specialistica per l’IT e trasversale a tutti i dipendenti, rappresenta una delle risposte più efficaci che le aziende possono mettere in atto.

La formazione, da personalizzare secondo le esigenze specifiche dell’azienda e del proprio personale potrebbe focalizzarsi su tre filoni: 

  • tecnologico e indirizzato ai professionisti IT e della sicurezza, con l’obiettivo di sviluppare competenze specifiche non solo su alcune tecnologie e modelli architetturali, ma anche su analisi avanzate per individuare tempestivamente e con le tecniche più adeguate eventuali intrusioni o attacchi in corso. 
  • Formativo, riguardo alle metodologie di collaborazione efficace, l’aggiornamento normativo, la compliance e i comportamenti da adottare per scambiare in sicurezza dati e informazioni con altre funzioni aziendali.
  • Culturale, allo scopo di sensibilizzare alla sicurezza fornendo a una vasta platea di collaboratori la conoscenza delle finalità e dei metodi impiegati dagli attaccanti e dei comportamenti più idonei da assumere per proteggere informazioni e sistemi aziendali.

Conclusioni

La carenza di competenze tecnologiche e di talenti nel settore informatico è un problema globale che deve essere affrontato come una priorità, considerando che le minacce informatiche alle imprese sono in continuo aumento.

Rispetto al passato, la formazione nell’area della sicurezza informatica può rappresentare davvero una reale fonte di vantaggio competitivo. Infatti un’organizzazione che riesce a costruire una cultura di sicurezza efficace oltre a ridurre i rischi di incidenti informatici che possono causare interruzioni nella produzione, consente anche di ridurre altri costi indotti da un incidente (premi assicurativi, sanzioni per violazioni della sicurezza, riparazioni e sostituzioni di attrezzature). Un’azienda capace di comunicare a clienti e fornitori il suo impegno per la protezione dei dati, aumenta la propria fiducia e reputazione. Tutti questi fattori possono contribuire al miglioramento della performance, creando un vantaggio per l’intera organizzazione anche in termini di concorrenza.

Sono molti gli esperti di cybersecurity che chiedono che la carenza di professionisti nel settore ICT venga affrontata come una priorità. Per recuperare il ritardo sulla cybersecurity e anticipare le minacce che si prevede aumenteranno sempre più in futuro, occorre senza dubbio oltre che rendere più attraenti le carriere in questo settore, lavorare per cambiare cultura organizzativa e talvolta anche i processi di gestione.

Hai qualche domanda?

Inviaci un messaggio

Contattaci