L’indagine Eurobarometro pubblicata il 22 maggio appena trascorso ha più di un merito perché, benché sfoggi cifre e statistiche, va oltre i meri numeri e riaggancia le competenze tecnologiche alla filosofia e al pensiero etico che si tendono a dare distanti chilometri l’uno dagli altri mentre sono un tutt’uno o, se si preferisce, ingredienti della medesima ricetta.
Ciò che il report rinsalda è il rapporto imprescindibile tra sensibilità e tecnologie: non c’è emancipazione tecnologica senza l’opportuna sensibilità ai temi dell’ICT (cyber security in primis) così come non c’è evoluzione della sensibilità senza sapere usare in modo appropriato le tecnologie.
Questo vale soprattutto per la cyber security: in assenza di una cultura adeguata in materia di sicurezza, nessuna tecnologia può dare il meglio di sé. Argomento che trattiamo con l’ausilio dell’ingegner Giorgio Sbaraglia, membro del comitato direttivo Clusit e una delle voci attive nella divulgazione della cultura della cyber difesa.
Indice degli argomenti
Gli strani dati dell’Eurobarometro
Il sondaggio ha coinvolto 1.811 realtà aziendali europee e i dati sono stati raccolti tra il 24 aprile e il 17 maggio del 2024. Informazioni tanto fresche da permettere di scattare una fotografia attuale della percezione della cyber security in Italia e in Europa.
L’indagine permette di fare emergere realtà non nuove ma mai definitivamente consolidate. Il 71% delle imprese ritiene che la cyber security sia fondamentale e, primo elemento a stridere, il 74% delle aziende non fornisce cultura né sensibilizza i propri dipendenti.
Uno dei due dati è palesemente falso (presumibilmente il primo): l’archetipo del ragionamento non tiene su nessun banco di prova. Non avrebbe senso sostenere, per esempio, che il 71% delle imprese ha molto a cuore l’assistenza ai propri clienti ma che, in 74 casi su 100, nessuna dà loro retta o, peggio, che per tutte le imprese è importante vendere ma nessuna si preoccupa di farlo.
Ovvero, nel mare magnum delle offensive del cyber crimine, le aziende hanno le proprie responsabilità.
Paragoni tirati per i capelli, certo, ma provocatori e propedeutici agli altri controsensi che l’indagine Eurobarometro fa emergere. Infatti, il 68% delle aziende ha dichiarato che non ritiene necessario formare o sensibilizzare il personale alla sicurezza informatica. Il 16% non conosce l’offerta di formazione disponibile e l’8% ritiene di dovere sottostare a budget inadeguati per la formazione.
Ciò che ne esce, unendo questi dati alla cronaca, è una realtà che lascia poco spazio alle interpretazioni: ci sono imprese che danno alla cyber security la giusta importanza e quelle che non la ritengono prioritaria. Un’enorme spaccatura che rende iniqua la perenne lotta tra cyber crimine e difesa e che certifica un aspetto simile a un loop: per una parte consistente delle imprese il business è tutto ciò che conta e non vedono nella cyber security una necessità per la continuità del business stesso nonché della reputazione dell’impresa.
La cronaca invece, con i tanti casi di violazioni, insegna che gli incidenti vengono addebitati all’operatore umano lasciato a sé stesso.
Fino a quando il quadro complessivo resterà tale, il cyber crimine potrà agire pressoché indisturbato. Occorre cambiare, nell’ordine, l’etica, la filosofia e solo poi gli assetti tecnologici che ruotano attorno alla cyber security.
Eurobarometro e le difficoltà di assunzione
A livello continentale le aziende esperiscono difficoltà nel trovare candidati adeguati (sempre che offrano impiego nei ranghi della cyber security). Mancanza di candidati e mancanza di consapevolezza sono ragioni che si completano, come mostra il grafico sotto, con i vincoli di budget.
Emerge la necessità di reperire specialisti in ambito cyber security e le imprese, oltre ai motivi ragionevolmente plausibili delle carenze di lavoratori specializzati, interpongono ragioni che non appaiono condivisibili se non alla luce della mancanza di consapevolezza dell’importanza della cyber security: per esempio, “la rapidità con cui cambia la tecnologia” citata nel report Eurobarometro, non è una ragione accettabile. Anche i mercati tendono a cambiare in modo rapido e repentino, non per questo le imprese rinunciano ad assumere marketer o commerciali.
La situazione in Italia e in Europa
Nel mero rapporto con le medie europee l’Italia va osservata relativamente ai valori che riguardano la difficoltà nel reperire profili professionali (47% in Italia, 45% in Europa), la mancanza di candidati (52% in Italia, 44% in Europa) ma, ancora prima, un dato che nel grafico sotto deve fare riflettere al punto da relativizzare tutti gli altri, ossia l’assenza di consapevolezza riguardo il ruolo della cyber security (28% in Italia, 22% in Europa).
Poiché 28 aziende su 100 tra quelle italiane che hanno partecipato al sondaggio sostengono di avere vuoti culturali in materia di cyber security, si insinua il dubbio secondo il quale l’assenza di candidati qualificati è un problema solo per quelle aziende che ne ricercano e che, se vi fosse maggiore sensibilità rispetto ai temi della cyber security, l’assenza di lavoratori con profili adeguati sarebbe ben più alta.
Ciò spiega anche perché il doversi contendere le risorse professionali con altre imprese è un problema meno sentito tra le aziende italiane (9%) rispetto al valore medio di quelle del resto d’Europa (13%).
Come invertire la rotta
È importante investire nella cultura della sicurezza ma, per arrivare a farlo, occorre che le imprese comprendano il quid della cyber security in rapporto ai danni economici, alle implicazioni legali e alla reputazione dell’impresa stessa.
Secondo il rapporto Clusit (dato 2021), i cyber attacchi costano il 6% del Pil mondiale e questa cifra non tiene debito conto dei danni reputazionali che subiscono le aziende vittime di attacchi.
Un dato che impone un cambio di filosofia e, con l’ingegnere Giorgio Sbaraglia, approfondiamo due argomenti: l’incapacità delle imprese italiane di comprendere che la cyber security non è un costo fine a sé stesso e le debolezze delle fasi di recruitment in rapporto alle conoscenze ICT dei candidati.
I costi che permettono di fare business
I budget allocati alla cyber security non sono costi, ma investimenti. Una differenza evidente che però ancora sfugge alle imprese, come spiega l’esperto: “Purtroppo in Italia la sicurezza informatica è ancora percepita come un costo e non come un investimento. Questo errore, che è soprattutto culturale prima ancora che tecnico, è sicuramente motivato dalla tipologia del tessuto imprenditoriale italiano, composto per almeno il 90% da PMI.
Nella mia attività di consulente aziendale, continuo a vedere aziende nelle quali lo staff ICT è enormemente sottodimensionato. E quindi le poche persone dell’ICT dedicano molta parte del loro tempo a gestire le attività quotidiane, le richieste ed i ticket degli utenti. In queste condizioni è quasi impossibile che abbiano tempo per dedicarsi alla cyber security e ad attività strategiche di hardening della sicurezza informatica.
Quando invece queste figure sono presenti, i security manager e i responsabili dell’Information Technology trovano grosse difficoltà a far approvare nella propria azienda gli investimenti per la sicurezza informatica, che nella maggior parte dei casi sono destinati a prevenire potenziali rischi non completamente quantificabili. In apparenza non generano un beneficio diretto e misurabile (un ROI ritorno dell’investimento), se i decisori si limitano ad un’analisi superficiale”.
Misurare il ritorno di tali investimenti non è impossibile, continua l’esperto: “In questo senso è molto interessante il concetto ‘inventato’ da Clusit del ‘ROSI’ (Return On Security Investment), enunciato per la prima volta in occasione del Security Summit 2010.
Secondo Clusit, l’utilizzo di un approccio strutturato risk-based per definire il ritorno degli investimenti in sicurezza (appunto il “ROSI”) può aiutare i manager che in azienda si occupano di sicurezza a giustificare al meglio le spese ed ottenerne l’approvazione e lo stanziamento di budget superiori.
Una spesa in sicurezza informatica diventa quindi un investimento che può portare molteplici vantaggi, oltre a quello più ovvio di una minore probabilità di subire incidenti ed attacchi informatici.
Per esempio, se adeguatamente resa nota ai propri clienti, produce dei benefici reali in termini di immagine di solidità dell’organizzazione: diventa quindi un vantaggio competitivo, oggi reso ancora necessario con l’imminente applicazione della Direttiva NIS 2, che obbligherà le aziende a verificare la sicurezza della propria Supply Chain (vedasi. NIS 2, art.21).
Purtroppo, questo approccio culturale ancora manca in molte aziende ed organizzazioni italiane, con il risultato – evidenziato dal Rapporto Clusit 2024 – che l’Italia risulta essere uno dei paesi del mondo che subisce il maggior numero di cyber attacchi“.
La selezione dei candidati
L’uso delle tecnologie è imprescindibile in qualsiasi professione e, non di meno, a maggiore conoscenza degli strumenti tecnologici corrisponde una maggiore consapevolezza dei loro limiti e delle trappole che possono nascondere. Tuttavia, nei processi di selezione del personale, le imprese tendono a snobbare tali conoscenze.
I perché li illustra l’ingegnere Sbaraglia: “Perché spesso tali competenze non si cercano, per motivi esposti sopra: non si ritengono così importanti, soprattutto in aziende meno strutturate e nelle PMI.
Ma soprattutto – e questo è il vero grande problema! – perché si fatica a trovarle, anche quando le si ricercassero.
Questo è uno dei maggiori punti di debolezza dell’Italia nel campo ICT: i dati del Rapporto DESI (Digital Economy and Society Index) prodotto dalla UE, evidenziano come l’Italia sia agli ultimi posti nella percentuale degli specialisti digitali: nel mercato del lavoro la percentuale di specialisti ICT è pari al 3,8% dell’occupazione totale, ancora al di sotto della media UE (4,5%).
E le prospettive per il futuro non sono rassicuranti: l’Italia ha una percentuale molto bassa di laureati nel settore ICT e STEM: solo l’1,4% dei laureati italiani sceglie discipline ICT, il che rappresenta il dato più basso registrato nella UE (media UE 3,9%).
Inoltre, abbiamo un altro dato che dovremo cercare di cambiare: nei settori ICT in Italia la presenza di figure femminili è pari al 16% del totale, rispetto a una media UE del 19%.
Ma nei vari settori ICT (non solo cybersecurity) le retribuzioni e le prospettive di crescita professionale sono estremamente interessanti. Perché allora i giovani non scelgono questa formazione? È qualcosa che personalmente faccio fatica a comprendere… o più probabilmente è carente la fase della formazione scolastica. Quindi il problema si sposta anche a livello di strategie politiche nel mondo dell’istruzione”.
Se ne deduce, per concludere, che parte delle realtà aziendali non dà molta importanza alla preparazione in ambito ICT dei candidati a un impiego e, quelle imprese che invece ne riconoscono l’importanza fanno fatica a trovare personale adeguatamente formato.
Un cane che si morderà la coda fino a quando le imprese non daranno all’ICT (e alla cyber security) il giusto peso e, magari, cominceranno a formare adeguatamente il personale già alle loro dipendenze.
