Riguarda Australia, Francia, Germania, Israele, Giappone, Messico, Stati Uniti e Regno Unito ma non può che riflettersi in tutto il mondo la carenza di personale qualificato esperto in cybersecurity riportata nelle pagine di “Hacking the Skills Shortage”, report commissionato da Intel Security e CSIS, il Center for Strategic and International Studies e condotto a maggio 2016 da Vanson Bourne coinvolgendo complessivamente 775 responsabili delle decisioni It operanti in organizzazioni con almeno 500 dipendenti, nei settori Pubblico e Privato.
Anche grazie ai quattro i parametri presi in considerazione, ossia capacità di spesa in cybersecurity, istruzione e formazione, dinamiche aziendali e risposte fornite dal Pubblico, ne viene fuori una fotografia in cui la dimensione e l’aumento dei budget di sicurezza informatica denota come Paesi e imprese ritengano prioritaria la sicurezza informatica posizionando al meglio nazioni e settori industriali che investono maggiormente in sicurezza informatica.
Gap di competenze, rischio per le imprese
A fronte di ciò, però, ben l’82 per cento degli intervistati ammette una carenza di competenze in sicurezza informatica cui va ascritta, secondo un ulteriore 71 per cento, la responsabilità di danni concreti e misurabili alle imprese, come perdita di dati riservati e proprietà intellettuale, che per la mancanza di talenti diventano bersagli più appetibili per gli hacker.
Cloud, mobile computing, Internet of Things, così come attacchi mirati avanzati e cyber-terrorismo impongono la necessità di personale formato con solide competenze in sicurezza informatica a fronte della quale, però, gli intervistati nello studio di Intel Security e CSIS prevedono, in media, che tra oggi e il 2020 il 15 per cento delle posizioni di sicurezza informatica nelle loro aziende rimarrà scoperto.
Non a caso, come evidenziato in un articolo pubblicato a marzo 2015 sul sito di Peninsula Press, lo scorso anno, nei soli Stati Unti, sono rimaste vacanti 209 mila posizioni di lavoro nel settore della sicurezza informatica.
Le risposte possibili
Intenti a interrogarsi su come affrontare il dilagare di hacking e violazioni, secondo Intel Security né il settore Pubblico, né quello Privato, paiono aver affrontato la questione della carenza di talenti di sicurezza informatica con altrettanta urgenza.
Ne è prova la richiesta di professionisti di sicurezza informatica che sta superando l’offerta di personale qualificato, mentre le competenze altamente tecniche in aree quali il rilevamento delle intrusioni, lo sviluppo di software sicuro e la mitigazione degli attacchi sono le più desiderate in tutti i Paesi oggetto della ricerca.
Da qui il suggerimento a far fronte a questa crisi promuovendo nuovi modelli di apprendimento, accelerando la disponibilità di opportunità di formazione e fornendo soluzioni sempre più automatizzate affinché i talenti possano essere impiegati al meglio.
I talenti vanno ricercati ma anche motivati
Ma mentre lo stipendio è certamente il principale fattore motivante nel momento del reclutamento, altri incentivi sono importanti sia nel reclutamento sia quando si tratta di trattenere i talenti migliori, tra cui la formazione, le opportunità di crescita e la reputazione del dipartimento It del datore di lavoro.
Non a caso, quasi la metà degli intervistati cita la mancanza di formazione o di programmi di qualificazione professionale, tra le ragioni più diffuse per la fuoriuscita dei talenti.
Misure concrete in risposta a quella minoranza rappresentata dal 23 per cento degli intervistati che sta realizzando programmi di formazione per preparare gli studenti a entrare in questo settore, mentre metodi non tradizionali di apprendimento pratico, come seminari di formazione con prove pratiche, prove sotto forma di gioco, prove tecniche e hackathon, possono risultare più efficaci per acquisire e far crescere le competenze di sicurezza informatica.
Una volta riconosciuti i metodi di istruzione non convenzionali, il report suggerisce di ridefinire le credenziali minime per i ruoli di sicurezza informatica entry-level ma anche di diversificare il campo della cybersecurity, consentire maggiori opportunità di training esterni, identificare le tecnologie in grado di fornire sistemi di automazione intelligente della sicurezza e raccogliere i dati relativi agli attacchi e sviluppare metriche migliori per identificare rapidamente le minacce.
