Riuscire a sviluppare competenze di cyber security, in Europa e nel mondo, è fondamentale per consentire alle aziende e agli Stati di contrastare efficacemente e in maniera tempestiva le nuove minacce cibernetiche e gli attacchi informatici sempre più mirati e devastanti.
La mancanza nel mercato del lavoro di professionisti con competenze in cyber security è un problema oramai appurato e riscontrabile in moltissimi paesi, tra cui anche stati dell’Unione Europea (UE). Le statistiche europee su questo fenomeno sono più scarse rispetto ad altri paesi, per esempio Australia, Regno Unito e Stati Uniti, che da tempo stanno conducendo ricerche approfondite sul proprio mercato del lavoro interno e creato strategie articolate per mitigare il problema.
Vi sono però dei dati anche relativi al nostro continente: l’ultimo studio dell’(ISC)² ha rilevato che potrebbero mancare in Europa circa 291 mila professionisti di cyber security, in crescita netta rispetto alla rilevazione del 2018 quando la stessa istituzione affermava mancassero “solo” 142 mila professionisti.
Altri studi, come ad esempio quelli di Symantec, Trend Micro e il Center for Strategic and International Studies e Mc-Afee sembrano andare nella stessa direzione. Il problema è stato riscontrato anche dalle stesse amministrazioni europee, come evidenziato nei passaggi di vari documenti ufficiali pubblicati da Francia, Italia, Germania, Paesi Bassi e Regno Unito.
Ma se il problema è diffuso, cosa si è fatto finora o cosa si potrebbe fare per arginarlo a livello di UE?
Indice degli argomenti
L’educazione in sicurezza cibernetica nell’UE
La rilevanza dell’educazione in sicurezza cibernetica per l’UE è rimarcata fin dalla prima strategia sulla cyber security pubblicata nel 2013, quando la Commissione europea e l’Alto Rappresentante chiesero ai paesi membri di aumentare i loro sforzi nella promozione di attività educative nella cosiddetta “network and information security”.
Successivamente, nella valutazione degli effetti della strategia venne sottolineato come l’aumento della consapevolezza e lo sviluppo di competenze di cyber security fossero obbiettivi strategici, i quali necessitano continui sforzi sia a livello nazionale che a livello di Unione.
L’importanza di rinforzare conoscenze e competenze nel settore venne ancora una volta rimarcata al momento dell’aggiornamento della strategia di cyber security con la comunicazione congiunta “Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l’UE” del 2017.
Queste indicazioni a livello strategico sono state implementate, nel quadro delle proprie competenze, dall’ENISA, l’agenzia europea di cyber security dell’Ue. L’agenzia si è adoperata in questo ambito in tre modi diversi: primo, attraverso una serie di ricerche incentrate su un’ampia gamma di argomenti tra cui la collaborazione pubblico-privato nell’offerta educativa o il monitoraggio degli studi universitari in cyber security e privacy; secondo, l’agenzia coordina l’European Cyber Security Challenge, la famosa competizione informatica che vede ogni anno radunarsi le squadre nazionali di vari paesi membri (e affiliati) per affrontarsi in giochi online legati alla sicurezza cibernetica; terzo, l’ENISA promuove l’European Cyber Security Month, la campagna di sensibilizzazione su scala europea con lo scopo di migliorare la consapevolezza sulle minacce provenienti dal web.
Il Cybersecurity Higher Education Database di ENISA
È in questo contesto che ENISA ha creato il Cybersecurity Higher Education Database, ovvero una mappa interattiva in cui vengono elencati i corsi di laurea in sicurezza cibernetica all’interno dei paesi Ue, con l’aggiunta di Islanda, Liechtenstein, Norvegia e Regno Unito.
Il Database si pone come obiettivo di divenire la risorsa principale per tutti i cittadini che vogliono conoscere come migliorare le proprie conoscenze e competenze in cyber security.
Per entrare a far parte del Database, i corsi devono avere una percentuale minima di materie in argomenti di sicurezza cibernetica (così come definiti dalla Joint Task Force on Cybersecurity Education): per i corsi triennali, almeno il 25% dei corsi deve essere in cyber security, percentuale che si alza al 40% per i corsi magistrali; per i dottorati invece occorre che l’argomento analizzato dagli studenti iscritti al corso sia un argomento di sicurezza cibernetica.
La percentuale minima di materie in sicurezza cibernetica è stata pensata per fare in modo che il Database sia rilevante per tutti coloro che sono interessati a intraprendere specificatamente una carriera accademica, e magari professionale, nella cyber security e per impedire che la lista includesse dei corsi in informatica meno specializzanti.
Il Database contiene sia delle informazioni “di base” che delle informazioni “avanzate.” Le informazioni di base riguardano per esempio il nome dell’università, il paese dove si tiene il corso, il livello educativo (triennale, magistrale o dottorato), e la lingua.
Queste informazioni devono essere incluse in maniera obbligatoria da tutte le università che intendono inserire il proprio corso all’interno del Database. Le informazioni “avanzate” sono invece dati che hanno lo scopo di offrire allo studente indicazioni più dettagliate e saranno inserite dai vari atenei in maniera volontaria.
Gli autori del Database hanno deciso di richiedere tra le informazioni avanzate quei dati che normalmente vengono richiesti dalle agenzie di cyber security di Australia, Francia, Regno Unito e Stati Uniti per certificare un titolo di studio in sicurezza cibernetica.
Tra le informazioni richieste vi sono ad esempio: il tipo specializzazioni in cyber security che questi corsi prevedono, la preparazione a certificazioni professionali, la presenza di tirocini, il numero di crediti previsti in corsi di informatica pura, corsi manageriali e via dicendo.
È bene precisare che l’inclusione di questi dati “più avanzati” ha come unico scopo quello di fornire agli studenti il maggiore numero di informazioni rilevanti possibili, e non di sostituirsi alle autorità nazionali nel conferimento delle certificazioni stesse, che rimane una prerogativa degli stati nazionali.
Il Database di ENISA è uno strumento per il contrasto alla mancanza di professionisti di cyber security Europa ed è auspicabile che tutte le università con corsi in sicurezza cibernetica facciano pieno uso di questa risorsa. Questa iniziativa collega domanda e offerta per un’educazione di qualità, permettendo così agli studenti di capire dove e come intraprendere un percorso di studio che si presuppone li preparerà ad una proficua carriera nella cyber security.
Tommaso De Zan è dottorando presso il Center for Doctoral Training in Cyber Security dell’Università di Oxford. Ha collaborato con Enisa nella pubblicazione del rapporto e creazione del Database che sono oggetto di questo articolo. Le opinioni presentate sono esclusivamente quelle dell’autore e non rappresentano necessariamente le opinioni di Enisa.
