Le minacce alla cybersecurity si fanno sempre più sofisticate e trovare personale altamente specializzato nel campo della sicurezza informatica oggi è una priorità. Secondo le stime degli esperti di TechTarget, negli ultimi anni la richiesta di personale specializzato in sicurezza digitale nelle aziende è cresciuta del 90%.
La domanda sta segnando un aumento così cospicuo anche perché trovare le giuste professionalità a cui affidare la sicurezza aziendale è un processo lungo e difficile: secondo un recente sondaggio condotto dalla società di ricerca IDC, ci vogliono circa tre mesi per trovare la giusta risorsa entry-level da impiegare in questo campo. Non solo: le posizioni di più alto livello vengono spesso lasciate vacanti anche per dodici, diciotto mesi o più.
Formare la prossima generazione di professionisti della sicurezza
L’assioma è chiaro: se la questione della disparità tra domanda e offerta è data dalla carenza di quest’ultima, occorre necessariamente capire come ottenerne di più. Il fatto è che, ancora oggi, gran parte degli studenti universitari del settore IT spesso non conosce davvero le potenzialità professionali che il campo della sicurezza IT può offrire. E non di certo per colpa loro: gli esperti notano come sia difficile essere attratti da una professionalità spesso non adeguatamente valorizzata e descritta negli annunci di lavoro. Il tema della sicurezza è spesso presentata in maniera confusa e chi si sta approcciando a tracciare il proprio percorso professionale non conosce la differenza tra sicurezza delle infrastrutture, dei sistemi, delle applicazioni, di program management o anche di marketing e comunicazione.
Per superare questa sfida, le aziende devono mettere le persone in condizioni di capire chi sono e cosa fanno realmente i professionisti della sicurezza informatica. Non può esserci risposta, se la domanda è fumosa. Per aiutare ad affrontare questa sfida, ISSA International ha recentemente rilasciato la CSCL – Cyber Security Career Lifecycle: questa iniziativa mira a supportare gli specialisti della sicurezza IT nel tracciare il proprio percorso professionale, fornendo le linee guida e le risorse necessarie per raggiungere gli obiettivi di carriera a lungo termine.
Formare le università e le aziende (per creare i professionisti di domani)
Esistono in Italia e all’estero diversi corsi universitari dedicati alla sicurezza informatica, ma secondo gli esperti si tratta di programmi ancora troppo concentrati esclusivamente sulla tecnologia fine a se stessa. Ci sono aspetti di business che hanno bisogno di essere esaminati con maggiore attenzione, argomenti non tecnici che sono comunque strettamente collegati al concetto di cibersecurity: occorre capire la reale importanza della sicurezza – che si estende ben oltre il reparto IT – e il valore che questa rappresenta per l’azienda. Dal canto loro, le aziende spesso inseriscono all’interno degli annunci di lavoro una serie spropositata di requisiti richiesti: laurea con votazione specifica, master, certificazioni (tra cui è spesso richiesta la certificazione CISSP), un certo numero di anni di esperienza in un dato ruolo o in una particolare posizione. Ciò detto, va ricordato come oltre il 90% delle posizioni aperte per lavorare nel campo della sicurezza IT richiedono una certificazione CISSP. Si tratta di una qualifica che richiede circa cinque anni di esperienza nel settore della sicurezza. Se l’azienda sta assumendo un ruolo di entry-level, le persone che fanno domanda per quel lavoro non potranno certo avere cinque anni di esperienza in quell’ambito.
Il tema, dunque, riporta la questione del CISO ideale a un fondamentale: le aziende hanno tutta una serie di filtri che aiutano sicuramente a scremare il numero di candidati ma oggi sono proprio questi filtri che rischiano troppo spesso di lasciare fuori elementi altrettanto (o forse più) validi che sarebbero potuti crescere professionalmente all’interno della struttura aziendale, garantendo un eccellente ritorno di investimento in termini di business. Senza considerare che le cosiddette soft skills sono importanti quanto determinate certificazioni o anni e anni di esperienza.
Formare i dipendenti (per sviluppare una relazione a lungo termine)
Occuparsi di sicurezza IT è un lavoro impegnativo, che può attraversare periodi di stallo e periodi in cui invece stress, prontezza, problem solving e lucidità devono poter convivere con il giusto equilibrio. Per questo motivo le aziende devono garantire ai propri professionisti il giusto livello di motivazione e riconoscimento degli sforzi effettuati. Secondo gli esperti, le aziende dovrebbero, da un lato, mantenere i ruoli e le responsabilità chiaramente definiti ma, dall’altro, offrire ai dipendenti l’opportunità di lavorare su ciò che maggiormente li stimola, fornendo la possibilità di creare un percorso di crescita professionale allettante e soddisfacente. Non ultimo, se si vuole ottenere un business di successo occorre mantenere il personale aggiornato con percorsi formativi di alto livello.
“Investire sulla formazione del personale – sottolinea Candy Alexander, consulente GRC e membro ISSA Information Systems Security Association – non significa focalizzarsi esclusivamente sulla formazione tecnica. Ci sono molte altre competenze che i professionisti della sicurezza devono poter sviluppare: program management e leadership sono solo due degli esempi possibili”.