Cyber security, mancano 3,4 milioni di figure professionali nel mondo

L’International Information System Security Certification Consortium (ISC)² – organizzazione senza scopo di lucro specializzata in formazione e certificazioni per professionisti della sicurezza informatica – pubblica ogni anno uno studio sullo scenario della forza lavoro della sicurezza informatica e del deficit di talenti, oltre a fornire alle organizzazioni approfondimenti sulle sfide e sulle opportunità che devono affrontare.

(ISC)² – 2022 Cybersecurity Workforce Study

Lo studio del 2022, scaturito dalle interviste di ben 11.779 professionisti della sicurezza informatica in tutto il mondo, conferma che – nonostante stia crescendo la forza lavoro globale della sicurezza informatica – permane il divario tra domanda ed offerta di profili specializzati.

(ISC)2 ha stimato che la forza lavoro globale della sicurezza informatica nel 2022 si aggirasse intorno ai 4,7 milioni, con un aumento complessivo dell’11,1% rispetto al 2021. In particolare, a livello di aree geografiche l’incremento risulta così distribuito: APAC + 15.6%; EMEA +12,5%; LATAM +12,2 %; NORTH AMERICA +6,2% .

Interessante notare che, nonostante nel 2022 siano entrati nel mercato del lavoro oltre 464.000 professionisti della sicurezza informatica, mancano ancora all’appello 3,4 milioni di lavoratori, così distribuiti per area:

Fonte Immagine: (ISC)2 – 2022 Cybersecurity Workforce Study.

Dallo studio risulta, altresì, che il 70% degli intervistati ritiene che la propria organizzazione non disponga di abbastanza personale di sicurezza informatica per contrastare le minacce contingenti in modo efficace ed efficiente. Mancanza particolarmente sentita nel settore aerospaziale, governativo, dell’istruzione, delle assicurazioni e dei trasporti.

Inoltre, più del 50% dei dipendenti delle organizzazioni con deficit di forza lavoro ritiene di essere esposta ad un rischio “moderato” o “estremo” di attacco informatico.

Fonte Immagine: (ISC)2 – 2022 Cybersecurity Workforce Study.

Inoltre, lo studio evidenzia che le organizzazioni, a causa del deficit di personale specializzato, hanno dovuto gestire problematiche in termini di inadeguate tempistiche per svolgere le attività di risk assessment e management, controllo dei processi, patching e di training.

Fonte Immagine: (ISC)2 – 2022 Cybersecurity Workforce Study.

Ne consegue che esse, per sopperire alla mancanza di personale di sicurezza informatica, hanno messo in atto strategie soprattutto in termini di: orari di lavoro più flessibili (64%), formazione dei talenti interni (64%); reclutamento, assunzione e on-boarding di nuovo personale (62%); investimenti in certificazioni (58%).

Molte organizzazioni hanno considerato, altresì, investimenti in termini di automazione della sicurezza informativa: ben il 57% delle organizzazioni intervistate ha già investito in automazione e un ulteriore 26% prevede di implementarla in futuro.

È doveroso sottolineare che l’automazione ha il potenziale di liberare i lavoratori da alcune attività ripetibili in modo che possano concentrarsi su compiti di livello superiore e risolvere i problemi di carenza di personale, senza richiedere personale aggiuntivo.

Fonte Immagine: (ISC)2 – 2022 Cybersecurity Workforce Study.

Deficit di forza lavoro e strategie

Non è facile ovviare alla carenza di personale specializzato e, a tal proposito, lo studio di (ISC)2 consiglia alle organizzazioni, che sono alle prese con questa problematica, di tenere in considerazione i seguenti aspetti:

1. Conoscenza dei propri fabbisogni – Chi ha potere decisionale dovrebbe assicurarsi di ascoltare attivamente i dipendenti per capire se – e in quale funzione – vi siano carenze di personale.
2. Investimenti in formazione interna – Adottare iniziative più incisive per ridurre la carenza di lavoratori “sfruttando” il talento interno e attuando programmi di job rotation, mentorship, oltre ad incoraggiare i dipendenti non IT ad approfondire la conoscenza della sicurezza informatica. Inoltre, ove necessario, sarà necessario promuovere la formazione del personale e strutturare i percorsi di crescita.
3. Sinergia con le Risorse Umane – Si tratta di stabilire una relazione win-win considerando che i responsabili delle assunzioni della sicurezza informatica probabilmente sanno meglio quali tipi di candidati cercare; mentre i responsabili delle Risorse Umane hanno l’esperienza per trovare e attrarre candidati. Pertanto, è fondamentale costruire relazioni di lavoro efficaci tra le due funzioni.
4. Flessibilità lavorativa – La pandemia ha cambiato la modalità di lavoro dei dipendenti. Il 55% degli intervistati ha confermato di avere la flessibilità di scegliere dove lavorare quotidianamente; mentre l’84% ha la possibilità di lavorare a casa almeno part-time. Oltre la metà dei lavoratori afferma che prenderebbe in considerazione la possibilità di cambiare lavoro se non gli fosse più concesso di lavorare da remoto. Pertanto, le organizzazioni che non offrono accordi di lavoro flessibili rimarranno indietro rispetto alla concorrenza e perderanno risorse strategiche.
5. Prepararsi all’evoluzione della propria forza lavoro – È sempre più importante e strategico per le organizzazioni capire come la forza lavoro stia cambiando e quali strategie attuare. Ovvero, si tratta di promuovere relazioni collaborative tra dipendenti junior e senior in modo da creare una transizione più produttiva e armoniosa verso una nuova generazione di lavoratori della sicurezza informatica.
6. Definire percorsi di carriera/certificazioni – Le certificazioni sono sempre più considerate leve strategiche in termini di crescita delle competenze, piuttosto che come trampolino di lancio per la carriera. Lo studio rivela che il 96% degli intervistati ha conseguito almeno una certificazione.

Ci sono anche i corsi open per specializzarsi in cyber security

Inoltre, se in passato, il 53% dei professionisti della sicurezza informatica intervistati aveva scelto di conseguire certificazioni considerandole strategiche per l’avanzamento di carriera e lo sviluppo professionale, in futuro, il 64% ritiene che le certificazioni soddisferanno la necessità di migliorare le proprie competenze.

Il 53% degli intervistati ritiene che l’acquisizione di ulteriori certificazioni possa anche essere un modo per rimanere continuamente aggiornati.

Inoltre, dallo studio si evince che i professionisti di sicurezza informativa che sono da un anno o meno nell’organizzazione sono più desiderosi di migliorare le proprie competenze (69%) tramite le certificazioni rispetto a quelli hanno un’anzianità lavorativa superiore ai due anni (62%).

L’89% degli intervistati ha ottenuto almeno una certificazione vendor-neutral (i.e. (ISC)2, ISACA o CompTIA); mentre il 92% ha acquisito una certificazione vendor-specific (i.e. Microsoft, Amazon, CISCO) e il 66% sta attualmente conseguendo un’altra certificazione vendor-specific o prevede di ottenerne una entro il prossimo anno; mentre un altro 62% sta attualmente conseguendo certificazioni vendor-neutral o prevede di ottenerne una entro il prossimo anno.

Negli ultimi tre anni, il 55% delle organizzazioni hanno richiesto sempre di più certificazioni vendor-neutral vs. vendor specific (il 38% dei datori di lavoro le ha richieste nel 2022 vs. il 55% nel 2019).

Fonte Immagine: (ISC)2 – 2022 Cybersecurity Workforce Study.

Trend 2023 certificazioni di sicurezza informatica

La sicurezza informatica rimane una delle massime priorità delle organizzazioni nel 2023, considerando che attacchi informatici continuano ad aumentare. Ne consegue che la domanda di esperti di sicurezza informatica non mostra segni di rallentamento.

Come sopra riportato, le certificazioni di sicurezza informatica possono convertirsi in leve strategiche per coloro che desiderano migliorare le proprie carriere di sicurezza informatica o accedere ad offerte di lavoro o intraprendere un nuovo percorso lavorativo. Risulta interessante consultare – per chi sta considerando di acquisire una certificazione – la recente guida del leader globale di B2B technology purchase intent data and services TechTarget.

Essa fornisce un elenco esaustivo e relative informazioni – in termini di programma di corsi, modalità di erogazione, prezzi, sbocchi lavorativi, ecc. – di quelle che sono considerate le 10 certificazioni di sicurezza informatica più strategiche per aspiranti ed esperti professionisti della sicurezza informatica. E, precisamente:

1. Sicurezza CompTIA+
2. (ISC)² Certified Information Systems Security Professional (CISSP)
3. (ISC)² Certified Cloud Security Professional (CCSP)
4. ISACA Certified Information Security Manager (CISM)
5. Hacker etico certificato EC-Council (CEH)
6. CE-Consiglio CEH (pratico)
7. CompTIA PenTest+
8. Offensive Security Certified Professional (OSCP)
9. Cloud Security Alliance (CSA) Certificate of Cloud Security Knowledge (CCSK)
10. Cloud Security Alliance (CSA) Certificate of Cloud Auditing Knowledge (CCAK)

La guida fornisce, altresì, un elenco delle principali 10 certificazioni di sicurezza vendor-specific e relative informazioni, quali:

1. Certificazione AWS
2. Addetto di rete certificato Cisco
3. Esperto di sicurezza di rete Fortinet
4. Certificazioni Google Cloud
5. IBM Cybersecurity Analyst Professional
6. Microsoft Certified: Nozioni fondamentali su Azure
7. Professionista certificato Okta
8. Infrastruttura Oracle Cloud
9. Analista certificato Recorded Future
10. Amministratore della sicurezza di rete SonicWall

Conclusioni

La carenza di competenze tecnologiche e di talenti nel settore informatico è una problematica globale che deve essere affrontata come una priorità, considerando che le minacce informatiche alle imprese sono in continuo aumento.

I responsabili delle risorse umane devono lavorare maggiormente con le funzioni di sicurezza informatica per affinare al meglio le proprie competenze nella selezione del personale tecnico, concedendo spazio alla negoziazione individuale per attrarre i profili migliori e strutturando piani di formazione continua e di carriera.

Le organizzazioni dovranno, altresì, adottare un approccio più risk-based e resilience-based, incorporando i principi del risk management, della business continuity e della cyber security oltre ad effettuare periodici test ed esercitazioni e fare tesoro delle lessons learned.

Si tratta, di fatto, di prepararsi anticipatamente ad affrontare le sfide sempre più articolate dato che – come ha più volte affermato il direttore esecutivo dell’ENISA Juhan Lepassaar – “gli eserciti che prendono sul serio le esercitazioni, che sono in grado di ammettere gli errori e di imparare da essi, sono quelli che hanno più successo nel mantenere la sicurezza delle società che proteggono”.