Secondo la nuova ricerca di Kaspersky, in Europa tre aziende su 10 perdono da 3 a 6 mesi per reperire competenze qualificate in ambito cyber sicurezza.
“Il rapporto”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “conferma le difficoltà da parte delle aziende nell’assumere professionisti in ambito cyber security”.
“Le difficoltà che riscontrano le imprese nel trovare professionisti della sicurezza da assumere, trattandosi di un mercato del lavoro, potrebbe anche essere imputabile alla scarsità di domanda che, purtroppo, ha caratterizzato questo mercato per decenni”, aggiunge Enrico Morisi, ICT Security Manager. Ecco come ricorrere ai ripari.
Indice degli argomenti
Competenze qualificate nella cyber: difficili da trovare
La mancanza di professionisti qualificati rappresenta una delle principali sfide della sicurezza informatica. Altre problematiche sono gli elevati costi di assunzione e la forte competizione nell’acquisire talenti a livello globale.
“Da imprenditore del settore”, conferma per esperienza personale Pierluigi Paganini, “il settore della cyber security ha caratteristiche uniche che concorrono a rendere complesse le operazioni di recruiting”.
Il mercato del lavoro cerca continuamente esperti InfoSec, ma il 31% delle imprese europee denuncia carenza di personale nei team cyber.
“La crescita esponenziale delle minacce, sempre più sofisticate e assimilabili a commodity, da un lato, e la altrettanto repentina presa di consapevolezza da parte di buona parte della classe dirigente dei rischi reali che le loro aziende corrono, dall’altro lato, hanno determinato una ‘corsa’ alla ricerca di professionisti del settore. Ma ciò ha prosciugato un bacino di offerta che non è facilmente rimediabile, certamente non nei risicati tempi che l’attuale elevata domanda richiederebbe”, spiega Enrico Morisi.
Il mercato del lavoro, al centro della ricerca “The portrait of the moderne Information Security Professional” di Kaspersky, lamenta l’assenza di competenze come il principale limite. Il 45% delle imprese impiega quasi un anno o più per cercare posizioni di livello superiore.
“Il mercato è in continua espansione”, sottolinea Paganini, “ed il divario tra domanda ed offerta si amplia sempre più portando ad un incontrollato aumento delle retribuzioni per molti profili”.
Ma il 36% degli intervistati ammette che non va tanto meglio la caccia alle figure junior: richiede infatti da uno a tre mesi.
Dunque “è facile trovarsi dinanzi profili junior con pretese da senior perché sono a conoscenza che aziende sul mercato hanno pagato loro colleghi cifre non consone alla reale preparazione che manifestano”, mette in guardia Paganini.
Il 57% denuncia un divario tra certificazioni e reali competenze pratiche. Ma il 42% lamenta l’assenza di esperienza come limite.
“La discrepanza tra certificazioni e reali competenze pratiche è una costante”, evidenzia Paganini.
Inoltre il 52% dei dirigenti europei lamenta gli alti costi di assunzione. Ma “gli alti i costi di assunzione sono una falsa percezione del reale valore rappresentato da un professionista della cyber security, che andrebbe valutato, tra l’altro, anche in termini del business abilitato dalla sicurezza delle informazioni”, spiega Morisi: “Un incident, per esempio, potrebbe determinare il blocco di un’attività produttiva anche per svariate settimane e, in ultima istanza, portare alla chiusura dell’attività stessa”. Invece il 30% teme la concorrenza globale. Le organizzazioni più attente e competitive assumono i talenti e i candidati che soddisfano tutti i requisiti.
“Un altro tema da non sottovalutare è anche l’inadeguatezza, in termini di conoscenze e competenze nell’ambito della sicurezza delle informazioni, che spesso si riscontra nei professionisti delle risorse umane deputati alla selezione di questo genere di personale”, mette in risalto Morisi.
La peculiarità del professionista della cyber
“Un professionista della cyber security non si forma in breve tempo, e non si tratta solo di acquisire delle conoscenze o delle competenze, non sono sufficienti i diplomi e le certificazioni, occorre anche e soprattutto avere molta esperienza”, continua Morisi.
“La maggior parte dei professionisti oggi in circolazione”, secondo Morisi, “si sono, per così dire, ‘fatti da soli’, costruendo il proprio bagaglio di conoscenze, competenze ed esperienze ‘hands on’, iniziando ad esplorare queste affascinanti tematiche da ragazzini, dedicando poi, probabilmente, la loro stessa vita a questa ‘causa’, ‘senza orari’, proprio perché la passione e l’amore per questo lavoro sono elementi imprescindibili per poterlo svolgere con successo e profitto”.
“Non sono poi da trascurare altre qualità che tipicamente caratterizzano questi professionisti, quali la creatività, una spiccata curiosità e un’innata propensione all’apprendimento e all’aggiornamento continuo, tutti aspetti piuttosto rari che fanno di queste figure professionali, dei veri e propri artisti da un lato e dei formidabili tecnici dall’altro”.
Inoltre, “i domini della cybersecurity sono molti e spaziano in molti ambiti diversi, determinando un’esplosione delle specializzazioni richieste, senza dimenticare che sono fondamentali anche le figure manageriali, più orientate alla governance, alla direzione strategica, che devono avere necessariamente competenze ed esperienze trasversali su tutti gli ambiti”.
“Occorre infine tenere presente l’importanza di avere figure competenti ed esperte sulle tematiche di cybersecurity, anche in altri ambiti come, per esempio, quello legale e della comunicazione”, avverte Morisi.
Come affrontare lo skill shortage
Le imprese che, per lunghi periodi, sono privi di personale adeguatamente formato, rischiano di offrire il fianco ai cyber criminali, che così possono ottenere facilmente l’accesso alle infrastrutture, danneggiando i processi aziendali.
Le competenze qualificate comprovate, che cioè si accompagnano all’esperienza professionale, sono uno dei requisiti più richiesti dalle aziende a caccia di un professionista di cyber. Ma la domanda non incontra l’offerta.
Le grandi imprese e le organizzazioni, che devono rispettare standard e normative locali, cercano di risolvere queste problematiche, rimediando ai limiti nel processo di selezione con il ricorso alla formazione. Cercano di costruire un team diversificato dentro l’azienda, dotandolo dei giusti know-how e competenze.
“Alle piccole e medie imprese, di solito, si sconsiglia di esternalizzare le attività di cybersecurity, affidandole a Managed Security Service Provider (MSSP), colmando le lacune di personale in breve tempo e con perdite minime”, spiega Ivan Vassunov, VP, Corporate Products, Kaspersky.
Ma “per le PMI, che hanno notoriamente maggiori difficoltà a strutturarsi per lo sviluppo di un programma di sicurezza delle informazioni, è certamente fondamentale selezionare un MSSP che le supporti anche e soprattutto da un punto di vista strategico. Inoltre è altrettanto fondamentale mantenere la governance interna, gestendo opportunamente i diversi ambiti dell’Information Technology e dell’Information Security”, sottolinea Morisi.
“Aggiungo inoltre un elemento che non emerge dal rapporto”, avverte Paganini, “ovvero la possibilità data a molti professionisti italiani di lavorare in remoto per multinazionali che spesso non hanno neppure una sede in Italia. I compensi assegnati a questi professionisti talvolta sono il doppio di quelli nel nostro Paese e questo fenomeno ha portato ad importanti perturbazioni nel mercato del lavoro ‘cyber’ nazionale”.
“Occorrerebbe prendere atto di tale fenomeno ed operare al meglio per mitigarne gli effetti“, conclude Paganini: “A causa di questa modalità, le nostre aziende stanno perdendo validi professionisti impoverendo il settore nazionale“.
Formazione e tecnologia per rafforzare le competenze qualificate
Regolari sessioni di training sui rischi cyber per i dipendenti IT e InfoSec e investimenti nella formazione permettono di elevare le competenze, sia nel rilievo che nella risposta a cyber minacce sempre più sofisticate.
“Sono fondamentali le attività preventive, che mirano alla gestione del rischio umano, tecnologico e di processo, come anche quelle proattive, che tipicamente fanno capo a un Security Operation Center e a un opportuno programma per la gestione e la risposta agli incident, ma non bisogna mai dimenticare l’importanza della Threat Intelligence, tesa ad individuare quali siano le effettive minacce a cui una data realtà aziendale è esposta”, spiega Morisi.
Soluzioni centralizzate e automatizzate riducono infine il carico di lavoro del team di professionisti IT e la possibilità di commettere errori.
