Se le minacce alla sicurezza informatica possono essere un problema per qualsiasi organizzazione che deve proteggere dati digitali, asset e reputazione aziendale, allora la soluzione è dotarsi di persone con competenze appropriate alla sfida.
Le competenze ICT e di cyber security più richieste e/o più adatte a colmare tale gap, sono ricomprese in tre categorie di competenze: competenze tecniche in primis, cosiddette hard skill, che coprano i temi dell’ICT e le basi della sicurezza informatica; le competenze trasversali come seconda priorità genericamente note come soft skill, che possono ricomprendere la capacità di leadership, il team working, il problem solving etc; infine la terza competenza è l’esperienza, ovvero la capacità di saper usare insieme le soft e hard skills.
Per acquisire tutte e tre le categorie di competenze, i master tecnici in cyber security assolvono pienamente alla preparazione sulle hard skill e grazie al mezzo del tirocinio consentono ai discenti di affinare anche i soft skill mettendo in pratica quanto imparato in team, mediante gaming ed esercitazioni pratiche.
Indice degli argomenti
Il gap di hard skill nell’ICT e nella sicurezza
In Italia le imprese sembrano avere difficoltà a trovare profili tecnici e gestori di reti, tecnici di servizi telematici e security ICT sul mercato.
Il dato emerge da un’elaborazione di Formaper, su dati del Sistema Informativo Excelsior Unioncamere Anpal secondo cui nel 2022, una media del 53% delle richieste di personale in ambito IT non ha trovato riscontro, con picchi fino al 59%.
A livello mondiale sono invece 3,5 milioni le posizioni mancanti nella cyber security stimate da cyber security Ventures per il 2023 e la stessa ricerca, precisa che “ogni posizione IT ora è anche una posizione di sicurezza informatica perché ogni lavoratore IT deve essere coinvolto nella protezione e nella difesa di app, dati, dispositivi, infrastrutture e persone”.
Questo significativo passo avanti nella considerazione dei professionisti digitali che costituiscono e dovranno costituire la forza lavoro di tutta l’industria digitale dei prossimi anni, richiede che la preparazione, formazione e addestramento a partire dai corsi di laurea universitari, preveda sempre un connubio tecnico unito a buone prassi di sicurezza e viceversa.
La sezione corsi cyber security
Che cosa serve per lavorare nella cyber security
Ovvero per poter praticare la sicurezza informatica è necessario conoscere gli elementi base dell’informatica moderna sui cui applicare tali principi.
In particolare si fa riferimento alle basi della teoria informatica, dei circuiti, dei sistemi di calcolo automatico, ai concetti di reti, ai componenti fisici (hardware) e a quelli software, i protocolli di comunicazione, i linguaggi di programmazione, gli algoritmi, la teoria della trasmissione e tutte le materie specialistiche e paradigmi derivati dalla specializzazione della tecnologia in ambiti specifici: database, Web, cloud, AI, Blockchain, IoT, OT, fog computing, edge computing, quantum computing, biometria, game theory, smart cities etc.
Sono queste le “competenze” tecniche che, per troppo tempo sottostimate, si rivelano invece basilari per capire “dove mettere le mani”, sia per saper difendere, che per saper prevenire situazioni di rischio a ogni livello dello stack digitale abilitante.
Ma non basta, la sicurezza informatica ha bisogno anche di specialisti capaci nella risoluzione di problemi, nel trovare soluzioni alternative; tutte questioni che spesso richiedono, capacità di modellazione teorica, di astrazione, di pensiero laterale, inventiva, creatività, diversità.
Ecco allora che il team ideale di sicurezza è un gruppo costituito da tecnici, ma anche da figure eterogenee e polivalenti con competenze diverse fra loro, capaci di avere un linguaggio e una terminologia comune come base e poi di essere specializzati in branche diverse tanto dell’IT quanto della sicurezza informatica, al fine di poter approcciare ogni criticità con il giusto mix di abilità.
In aggiunta, per qualsiasi “operativo” nell’ICT e nella cyber security, l’aggiornamento delle competenze tecniche e di sicurezza informatica con l’attuale panorama delle minacce e della tecnologia, è cruciale per mantenere sia un alto il valore intrinseco come professionista nel mondo del lavoro, sia per conservare un certo allineamento se non vantaggio competitivo rispetto agli attaccanti.
Dal punto di vista delle retribuzioni infine, l’ultimo report Salary Survey ITA emesso dalla Michael Page fa emergere come le cinque professioni più richieste nell’IT siano il Software Developer il Security Engineer, il Data Engineer, il Sap Consultant, l’IT Manager, seguiti subito a ruota da tutte le professioni legate alla security e al GDPR.
Per tutte queste professioni si parte da stipendi medio alti (se confrontati con gli entry level di altre professioni n.d.r.) anche con meno di cinque anni di esperienza e si arriva a posizioni da manager con RAL a tre cifre e comprensive di bonus e/o variabili.
Per completezza si segnala che secondo il report Mind the Gap emesso a gennaio 2023 esiste un differenziale retributivo per gli esperti di cyber security per il quale i salari italiani sono inferiori a quelli di altri paesi (Stati Uniti o Inghilterra, Svizzera etc) per le stesse tipologie di professionalità.
Ma in generale un percorso di carriera è naturalmente soggettivo e subordinato all’azienda in cui ci si trova, al lasso temporale, alle opportunità e sfide con cui ci si è misurati nella vita lavorativa.
Una possibile accelerazione può essere data dalla scelta di partecipazione a un master specialistico concordando con l’azienda il tipo e l’ambito affinché le professionalità specialistiche acquisite, siano un investimento per entrambi.
Naturalmente i master possono essere scelti anche al termine di un percorso universitario (master di I livello) in modo che siano propedeutici all’ingresso nel mondo del lavoro.
I master tecnici in Italia
Fra i master di I livello adeguati ad essere scelti anche solo dopo i primi tre anni universitari (ma di fatto qualsiasi tipo di laurea ne garantisce l’accesso) si segnala il master organizzato dal Dipartimento di Ingegneria dell’Informazione dell’Università degli Studi di Pisa e l’Istituto di informatica e Telematica del Cnr di Pisa.
Università di Pisa: Master di primo livello in Cybersecurity
Il corso è annuale e si svolge con una didattica a distanza da gennaio a marzo dell’anno successivo, con un calendario di massima che alterna corsi, esercitazioni in laboratorio, tirocinio e valutazione finale.
I moduli formativi del Programma coprono tutte le materie di base: reti, dati, tecnologie web, i sistemi operativi di base e tutte le tematiche della sicurezza: sicurezza delle reti e hacking etico, crittografia, analisi forense, cyber intelligence, analisi delle reti complesse, cloud e mobile security coprendo anche i regolamenti e le normative attualmente in vigore. Sono anche forniti insegnamenti del linguaggio python e java (facoltativo).
Oltre ai normali corsi di lezioni ed esercitazioni, la formazione è strutturata con l’aggiunta di tre corsi di laboratorio che completano la formazione teorica in aula e che sono finalizzate allo sviluppo pratico di soluzioni di sicurezza e ad un periodo di tirocinio.
L’altra nota università che offre un master tecnico di I livello nella cyber security è l’università di Bologna Alma Mater. Il master nasce dalla collaborazione fra il Dipartimento di Informatica – Scienza e Ingegneria dell’Università di Bologna e altre aziende italiane, fra le quali CRIF Certego, Cryptonet Labs, Cyberloop, Laboratori Guglielmo Marconi, Minded Security, Texa e Yoroi.
Università di Bologna Alma Mater. Master Cybersecurity: from design to operations
La formula proposta dal master prevede otto mesi di impegno con formula weekend fra novembre e luglio dell’anno successivo, solitamente con didattica in presenza, ma con l’opzione della didattica a distanza se si è più distanti di un’ora dalla sede universitaria.
Anche in questo master è compreso un tirocinio in una delle aziende sponsor dell’iniziativa, che comunque partecipano alle lezioni portando casi investigativi o di casi reali seguiti negli ambiti della digital forensics in police investigations, security in embedded systems, practical 24/7 security monitoring.
Per approfondire la progettazione dei sistemi ma anche per saper gestire le attività operative del day-by-day, le materie obbligatorie sono undici (fondamenti di sicurezza e crittografia, sicurezza delle reti e loro amministrazione, sicurezza dei computer e loro amministrazione, programmazione sicura, sicurezza delle applicazioni web e loro test, sicurezza delle app mobile e loro test, sistemi di controllo industriale (ICS), analisi del malware e detection del codice malevolo, correlazione di informazioni, gestione degli incidenti e la forense digitale) arricchite altre due facoltative da scegliere fra altre quattro materie (test di sicurezza statico, laboratorio di web security, laboratorio di mobile security o laboratorio di ICS security).
Il mix di materie consente di capire in teoria e in pratica quali sono i possibili target degli attacchi informatici per introdurre difese appropriate. Il tirocinio finale consente di avere una strada preferenziale per entrare in un’azienda.
Università di Udine: Master I e II livello in Intelligence e ICT
Centrato sull’ICT ma con una significativo arricchimento specialistico nelle aree dell’intelligence applicata all’ICT, sono i master di I e II livello proposti dall’Università di Udine, che si avvale della collaborazione di aziende partner per i tirocini in azienda e per alcune lezioni di approfondimento (Insiel, Area science park, Bean Tech, Zulu consulting, Karmasec, Ip4 industry platform, Electrolux, Fincantieri ed altre).
Anche in questo caso si tratta di una formazione di durata annuale con didattica mista fra teoria e pratica in laboratorio e la possibilità di avvalersi della didattica a distanza.
Il master è centrato su sugli strumenti informatici e le nuove tecnologie digitali, ma offre conoscenze e competenze per svolgere attività di intelligence tenendo conto dei principi generali del diritto e della geopolitica in modo da fornire un contesto applicabile di ampio spettro.
Il master di II livello integra rispetto a quello di I livello, una concreta estensione delle attività laboratoriali e competenze trasversali per adattarsi ai diversi contesti lavorativi. Rispetto ai casi precedenti, l’Università di Udine consente l’iscrizione anche ai singoli moduli, in modo da favorire professionisti e/o studenti interessati in modo focalizzati ad una o più singole materie. Ma per farlo è prerequisito necessario avere almeno un diploma di scuola superiore.
Università di Catania, Master di II livello in Risk & Security Management
Per l’Italia del Sud è Catania l’Università di riferimento con il suo master di II livello in Risk & Security Management che punta a formare “il Security manager di domani”.
La didattica che si svolge presso il l Dipartimento di Economia e Impresa dell’università catanese ed è organizzata in modo tale da fornire competenze trasversali, multidisciplinari ed integrate, per saper presidiare le aree della gestione del rischio, nel ruolo di risk manager e quelle della sicurezza aziendale in qualità di security manager.
Una particolare focalizzazione è data nella didattica a tutti i molteplici aspetti di analisi e gestione del rischio: da quelli afferenti ogni ambito tecnico, a quelli legati alla reputazione aziendale o alle persone nell’ambito degli attacchi di social engineering.
Interessante anche la focalizzazione ai sistemi ISO di gestione della sicurezza o del NIST framework per conferire un approccio di sistema al set di misure di protezione da attuare in una strategia di riduzione del rischio di sicurezza. In tema di trasferimento del rischio e impatto economico il master dedica quattro moduli di approfondimento.
La capacità di management e di governance, quindi, sono acquisite attraverso un viaggio di addestramento in cui i sistemi di valutazione e di remediation sono parte integrante dell’approccio al rischio, attualmente alla base delle normative europee e nazionali.
I master tecnici in lingua inglese
Per colo che volesse sfruttare l’occasione formativa nella cyber security con una contemporanea full immersion nella lingua inglese, sono disponibili sia il master degree in Cyber security a dell’Università di Padova, sia il master in Cyber security dell’European Institute of Innovation and Technology (EIT) Digital co-finanziato dalla UE.
Entrambi della durata di due anni sono caratterizzati da un approccio misto fra teoria e pratica e da un periodo di tempo esperienziale e di tirocinio, trascorso in applicazione di quanto appreso durante le lezioni.
Per il master di Padova sono attualmente aperte le iscrizioni per il nuovo ciclo biennale 2023/2024. Per avere un’idea delle materie di insegnamento che coprono i due anni si può verificare la lista delle materie dell’ultimo corso 2021/2022 costatando come siano presenti tutte le materie fondanti dell’informatica e le principali tecnologie alla base delle prassi di sicurezza.
Anche il master EIT è molto corposo e copre diversi argomenti tecnici in modo trasversale, ma presenta la peculiarità di lasciar scegliere per il primo anno una università di “ingresso” e per il secondo anno una diversa università di “uscita” garantendo così la frequentazione in due diversi paesi della UE, fra quelli che ospitano host della community EIT digital Europea. Anche presso la EIT sono aperte le iscrizioni per il nuovo ciclo e si chiuderanno l’11 aprile 2023.
Ricordiamo che in Italia l’altro master di durata biennale e centrato sui temi tecnici della cyber security è il master di I livello dell’Università di Torino caratterizzato dalla proposta in modalità “alto apprendistato” secondo un “sistema duale” che integra organicamente lavoro e formazione e che porta i discenti ad un contratto di apprendistato operativo presso le aziende partner del programma a partire dal secondo anno di frequenza.
