L’avvento della pandemia di Covid-19 e i cambiamenti tecnologici e sociali che ne sono derivati hanno messo a dura prova i professionisti della cyber security.
L’adozione su larga scala del lavoro da remoto ha costretto milioni di lavoratori a fare uso di ambienti e strumenti operativi spesso non idonei dal punto di vista della sicurezza, aprendo falle di cui hanno subito approfittato i cyber criminali.
Già nel Rapporto Clusit 2021 era emerso un aumento del 29% del numero degli attacchi rilevati nel 2020 rispetto alla media del triennio precedente. Un ulteriore aumento degli attacchi è stato riscontrato nel 2021: il 10% in più rispetto all’anno precedente secondo i dati del Rapporto Clusit 2022. Il Rapporto evidenzia inoltre un salto di qualità compiuto dai cybercriminali, con attacchi sempre più sofisticati e conseguenze sempre più gravi per le vittime: il 79% degli attacchi rilevati ha avuto un impatto elevato, contro il 50% dell’anno precedente.
A questo scenario già complesso, si è aggiunta la recente crisi geopolitica in Ucraina. Un conflitto che si sta combattendo anche sul fronte del cyberspazio.
Per far fronte alle nuove minacce date dal contesto storico, molte organizzazioni stanno rivedendo la propria strategia di sicurezza. Il rischio di attacchi connessi alla crisi Ucraina ha alzato nuovamente la posta in gioco, imponendo alle organizzazioni di innalzare il proprio livello di attenzione.
Una delle conseguenze è stata la scelta di attribuire a tecnici ed esperti di sicurezza ruoli e responsabilità sempre di maggior rilievo. Un cambio di passo doveroso in uno scenario come quello attuale ma che, insieme alle difficoltà derivanti dalle nuove modalità di lavoro, ha contribuito ad aumentare il livello di stress per il personale coinvolto.
Il rischio di burnout è un problema già da tempo manifestato dalle persone che operano nell’ambito della sicurezza informatica. La natura specifica del lavoro richiede particolare attenzione ai dettagli, interventi in orari extra lavorativi per far fronte a situazioni di crisi, spesso in autonomia e senza strumentazione adeguata. Fattori che possono impattare negativamente sulla salute psico-fisica delle persone.
L’adozione di politiche aziendali orientate al benessere e un equilibrio sostenibile tra lavoro e vita privata può aiutare a fronteggiare il crescente livello di stress a cui sono sottoposti gli specialisti, al netto della passione per il proprio lavoro che spesso accumuna molti professionisti e che costituisce un requisito imprescindibile per lavorare in questo settore.
Indice degli argomenti
Proteggere il patrimonio informativo puntando sulle persone
Per quanto oggi sia impensabile per un’organizzazione proteggere il patrimonio informativo senza tecnologie e processi adeguati, è la capacità delle persone di applicarli correttamente a fare la differenza.
In questo senso, i margini di miglioramento sono ancora molto ampi: molte organizzazioni non hanno né il numero di persone necessario né le conoscenze per far fronte ad eventuali incidenti informatici o a situazioni di crisi.
E in molti casi mancano anche strumenti adeguati a supportare gli esperti di sicurezza nel gestire non solo l’operatività quotidiana ma anche la pressione costante a cui questi sono sottoposti.
Per alleviare tale pressione gioca un ruolo fondamentale la sensibilizzazione della popolazione aziendale con competenze non specialistiche in ambito IT e security. Interventi mirati finalizzati a rendere la sicurezza parte integrante degli atteggiamenti, delle percezioni e delle abitudini quotidiane delle persone.
Conoscere le minacce più frequenti e i rischi che possono derivarne è un primo obiettivo importante per promuovere una cultura della sicurezza all’interno dell’organizzazione e ridurre il carico di lavoro sulle spalle degli specialisti.
La sfida più difficile per un responsabile della sicurezza resta, in molti casi, coinvolgere i vertici dell’organizzazione nelle iniziative formative, al fine di definire congiuntamente gli obiettivi e rendere i manager promotori dei messaggi da veicolare ai propri collaboratori.
Servono, poi, modelli di governance che puntano all’ingegnerizzazione delle attività e dei processi ma soprattutto a trasferire conoscenze nel modo più efficace ed efficiente possibile.
La carenza di competenze nella cyber security
La carenza di persone con le competenze necessarie per occuparsi di cybersecurity resta un tema preponderante. Secondo uno studio di Cybersecurity Ventures, il numero di posti di lavoro vacanti nella cybersecurity è cresciuto del 350% negli ultimi otto anni, da un milione di posizioni nel 2013 a 3,5 milioni nel 2021.
La maggior parte delle posizioni aperte in ambito cybersecurity non richiede più certificazioni specifiche quali ad esempio CISSP (Certified Information Systems Security Professionals) e CISM (Certified Information Security Managers), così da poter abbracciare una rosa più ampia di candidati.
I Master in cybersecurity, così come i programmi di formazione online, sono in aumento anche in Italia. Diversi sono i corsi proposti sia ad esperti del settore che a chi riveste posizioni manageriali.
Le competenze tecniche di base, la conoscenza dei sistemi, dei processi di sicurezza così come delle normative vigenti sono tra le skill necessarie per lavorare nella cyber security.
Tuttavia, non sono sufficienti se non accompagnate da “soft skill”: tra le più rilevanti, il problem solving, il multitasking, la capacità di comunicare con persone anche prive di competenze tecniche, di lavorare in team e di ragionare in modo analitico deduttivo, prestando attenzione ai dettagli.
La voglia di mettersi ogni volta in gioco, uscire dalla propria confort zone, nonché la curiosità e la voglia di continuare ad imparare completano il profilo del candidato ideale a lavorare nella cyber security.
Il ruolo donne nella cyber security
Un ulteriore cambiamento in corso nel mondo della cybersecurity è il crescente interesse delle donne per questo settore. Secondo Cybersecurity Ventures, le donne rappresentavano il 25% della forza lavoro globale di cyber security nel 2021, nel 2011 erano solo il 10%.
Secondo Code.org, no-profit dedicata ad ampliare l’accesso all’informatica nelle scuole e ad aumentare la partecipazione delle giovani donne e degli studenti di altri gruppi sottorappresentati, le cose stanno iniziando a muoversi nella giusta direzione.
Tra le giovani donne, quelle che provano l’AP Computer Science al liceo hanno 10 volte più probabilità di specializzarsi in informatica.
Associazioni come Women For Security (WFS), community di professioniste che operano nel mondo della sicurezza informatica in Italia, stanno contribuendo a rendere sempre più attivo il ruolo della donna nella cyber società, aiutando giovani donne ad abbracciare le discipline STEM e intraprendere carriere in un settore in grande crescita.
Per i prossimi anni è previsto un ulteriore aumento del numero di donne che occupano posti di lavoro nella cyber security, fenomeno che si auspica possa diminuire il divario tra posti vacanti e professionisti cyber security. Aumentare le opportunità di lavoro a disposizione di donne e altri gruppi sottorappresentati nella cyber security potrebbe, inoltre, favorire, una ridistribuzione di ruoli e responsabilità con riflessi positivi anche sulla qualità di vita e del lavoro degli esperti di oggi.
