L’Unione Europea è da tempo consapevole della necessità di formazione, per competere e disporre di elevate professionalità nel mondo dell’IT e, in particolare, di specialisti nel mondo della cybersecurity. Il tema è ben presente anche a livello mondiale, evidenziato anche da World Economic Forum ed è ormai diffusa la consapevolezza che colmare lo scarto elevato fra domanda e offerta nel campo delle competenze cybersecurity vada considerata una priorità.
Il problema che coinvolge più figure professionali è ulteriormente esacerbato dal Covid, che sta portando alla ribalta i temi del re-skilling e up-skilling non solo per colmare una carenza di persone qualificate ma anche per offrire nuove opportunità di lavoro.
“La formazione nel campo della cybersecurity non solo va affrontata come quella in qualunque ambito tecnologico, ma va vista anche come un metodo per mitigare le minacce: le competenze servono sia per portare la security nelle organizzazioni ma rappresentano anche una tecnica di difesa”, sottolinea Enrico Frumento, Cybersecurity Senior Domain Specialist, Cefriel.
Questo ragionamento va riportato alla necessità di valorizzare il fattore umano che incide in modo significativo nella sicurezza, oggi il punto più debole della catena di sicurezza IT in azienda; basti ricordare che la maggior parte degli attacchi informatici prende l’avvio con tecniche di social engineering, basate sulla capacità di cercano di manipolare i comportamenti delle persone. Le azioni di formazione focalizzate sulla cybersecurity hanno dunque l’obiettivo di trasformare il fattore umano in un punto di forza.
Formazione cybersecurity al tempo del Covid
“A livello europeo ci si è posti il problema di capire come quanto stiamo vivendo abbia cambiato in modo radicale i temi della formazione; questa attraversava una fase critica che la pandemia ha ulteriormente stressato”, precisa Frumento, che indica alcune novità. Il lavoro da remoto richiede ad esempio sempre più formazione online, con la difficoltà di apprendere argomenti anche ostici i contesti non sempre ideali. Le modalità di formazione vanno aggiornate per far fronte alla crescita dell’online learning che rende impossibile una giornata intera di formazione come accadeva in aula; ne consegue la necessità di una strutturazione per micro-learning o pillole formative.
Un nuovo approccio alla formazione cyber deve tener conto, secondo Frumento, di tre concetti distinti:
- awareness, utilizzata soprattutto per creare consapevolezza diffusa nelle organizzazioni, ad esempio, con campagne di antifishing. mettere in guardia e imparare a riconoscerlo;
- training, per creare competenza in un ambito specifico, ad esempio come utilizzare un tool, adottato in azienda;
- learning, per saper reagire a fronte di situazioni inattese, sempre più frequenti, e creare la capacità di migliorare la propria formazione in maniera autonoma.
Nel progettare la formazione ci si deve porre il problema di come renderla più attraente sia per i tecnici sia per i non tecnici. “Anche nella cybersecurity ci sono carriere non solo tecniche, non servono solo bit breaker, che sanno come hackerare un sistema o un sito web, ma ci sono una serie di altre competenze di cui si parla meno e che risultano assenti nell’offerta; proprio quelle che la formazione dovrebbe invece fornire”, precisa lo specialista di cybersecurity Cefriel.
Come attrarre talenti non solo tecnici ma anche con una visione strategica? “Va creata una narrazione multidisciplinare molto orientata al business, come noi in Cefriel cerchiamo di fare, per evitare competenze molto distaccate dalla visione aziendale; i supertecnici che magari sanno tutto del sistema Linux spesso non riescono a integrarsi in un team che ha una determinata missione di security legata all’ambito di business; anche più difficile nel caso delle Pmi, dove i ruoli sono spesso mescolati”, è la risposta.
Un percorso di formazione sulla sicurezza informatica di livello europeo
Cefriel ha studiato programmi formativi, agganciati a livello europeo, con l’obiettivo di soddisfare la domanda principale di rendere anche le piccole e le micro imprese (che nel loro insieme rappresentano la quota maggiore del fatturato del vecchio continente) in grado di affrontare queste problematiche di sicurezza.
A livello europeo risultano molto scarsi i cybersecurity skill come conferma la difficoltà di trovare queste competenze sul mercato: servono in media 61 giorni per riempire una posizione mancante, uno skill gap da tempo segnalato anche in Italia.
“L’obiettivo è dunque massimizzare la retention del percorso di formazione, intesa come il tempo in cui si mantengono i risultati del percorso formativo, quanto è in grado di cambiare il comportamento della persona e di determinare la sua futura formazione”, spiega Frumento, ricordano che Cefriel, per ottenere questi risultati studia la “pedagogia per adulti”, con criteri formativi pensati non per studenti ma per persone che lavorano e che hanno competenze professionali. I temi sviluppati devo essere agganciati al business e tener conto dei problemi di sostenibilità della cybersecurity, intesa in termini economici, di processo, tecnologici e di conoscenze.
Il punto è offrire non solo training ma anche learning, per fornire alla persona gli strumenti per auto-costruirsi le competenze nel futuro, per metterla in grado di rispondere agli eventi inattesi che nella cybersecurity sono all’ordine del giorno. Per queste ragioni le conoscenze e le competenze apprese nel corso degli studi devono essere aggiornate nel tempo, visto che cambiano continuamente sia le minacce e sia le metodologie di risposta; ragionamento che vale a maggior ragione per i formatori che devono ri-aggiornarsi. “È quanto facciamo in Cefriel: travasiamo la ricerca nella formazione e viceversa in un loop continuo”, sottolinea l’esperto in cybersecurity.
Lo strumento è una High personalized adaptive learning experience, basata su una piattaforma authoring che consente la formazione da remoto, alta personalizzazione, elevata selezione di paradigmi (video, presenza, interattivo, da remoto), profilazione sui bisogni dei singoli learner. I percorsi offerti sono interfacciati con l’ECF, (European Competence Framework), per il quale Cefriel, all’interno di un progetto europeo, ha definito il profilo E8 (security specialist), indicando la lista dei requisiti necessari per potersi certificare.