Che cosa occorre, oggi, per formare professionisti in grado di difendere le aziende con efficacia e puntualità dagli attacchi informatici e praticare correttamente la cyber security?
In un quadro globale in cui la sicurezza informatica emerge quale anello debole delle aziende, trattare di cyber security e formazione professionale assume un significato dalla valenza profonda.
Iniziamo col dire che i dati relativi alle minacce cyber, nel mondo, non sono affatto confortanti. A cominciare dall’ultimo rapporto Clusit (Associazione Italiana per la Sicurezza Informatica), che fotografa una situazione in cui, nel 2021, a livello globale, gli attacchi informatici sono andati aumentando del 10% rispetto al 2020, con una crescita del fenomeno proprio in Europa, dove è stato registrato un picco del 21% contro il 16% del 2020.
Sempre il Clusit evidenzia anche un inasprimento dell’impatto di tali attacchi, ritenuto “elevato” nel 79% dei casi (contro il 50% dell’anno precedente), con un netto calo degli attacchi di impatto medio (-13%) e basso (-17%).
E il direttore dell’Internet Interdisciplinary Institute presso l’Universitat Oberta de Catalunya (UOC) – David Megías Jiménez – in un articolo dal titolo “Five cybersecurity challenges beyond technology” osserva come, negli ultimi due anni e mezzo, non solo abbiamo assistito a una pandemia sanitaria, ma anche a una vera e propria “pandemia di criminalità informatica”. Mai come in quel delicato e complesso momento storico – spiega – «i cyber criminal hanno approfittato della cattiva gestione della sicurezza da parte di molte aziende e delle disattenzioni da parte degli utenti».
C’è, dunque, bisogno, in questa fase – quale linea difensiva – di una maggiore presa di coscienza delle problematiche legate alla cyber security all’interno delle organizzazioni, oltre che di figure professionali specialistiche, capaci di gestire in modo corretto la sicurezza informatica nelle aziende.
Dalla consapevolezza del problema alle priorità sotto il profilo della prevenzione
A proposito di “pandemia di criminalità informatica”, Claudio Cilli, advisor di Governi e di grandi aziende per la cyber security e la protezione delle infrastrutture critiche, nonché direttore didattico e docente del Cyber Security Intensive Master di Experis Academy, sottolinea che «non esiste azienda che, negli ultimi due anni e mezzo, non abbia subito un attacco informatico significativo o una fuga di dati». Aggiungendo come, spesso, il problema sia anche relativo alla denuncia, al rendere pubblico il cyber-attack di cui si è stati vittime.
Lo stesso aumento del 10% degli attacchi nel 2021, posto in luce dal Clusit – fa notare Cilli – «è un valore largamente sottostimato, in quanto espressione del solo numero di reati segnalati e denunciati dalle aziende e, dunque, non rappresentativo del totale di attacchi informatici effettivamente sferrati da hacker e cyber criminali». Un numero esiguo, se messo a paragone con quello di coloro che scelgono di non renderli pubblici, tra cui, in particolare, gli istituti bancari, tra le organizzazioni più restie a divulgare – ad esempio – una perdita di dati.
«Il numero di attacchi informatici, a livello globale, in realtà, è almeno dieci volte quello rilevato. C’è stato un aumento del cento, forse anche del mille per cento, quindi ben superiore agli anni precedenti. E le aziende, per farvi fronte, hanno fatto poco o niente. Solo ora stanno cominciando ad acquisire consapevolezza di quanto accaduto e iniziano a subirne gli effetti. Con un impatto che continuerà a farsi sentire nel tempo»
rimarca il docente. In generale, quando si parla di sicurezza, l’atteggiamento tipico è quello passivo, caratterizzato dal prendere le distanze dal problema, considerandolo qualcosa che riguarda gli altri, di cui devono occuparsi decisori politici e Istituzioni. Quando, invece, ognuno – in azienda e nel privato – è responsabile della security, anche solo preoccupandosi di cambiare ogni mese le proprie password.
C’è, poi, anche l’atteggiamento tendente a ritenere la propria impresa come invincibile, inattaccabile sotto il profilo della cyber security, quasi a voler rimuovere la questione ricorrendo alla fatalità. Per cui non si investe in sempre nuove misure di prevenzione, perché in fondo si pensa di non averne bisogno.
Invece «dobbiamo lavorare – investendo – sull’education, sulla formazione professionale e sull’adozione di tecnologie» insiste il direttore didattico. «Le priorità sono molto chiare: prendere coscienza del fenomeno, analizzarlo, individuare quelle che sono le vulnerabilità e procedere con un’azione preventiva».
Cyber security e formazione professionale: le competenze di cui c’è maggiore urgenza nelle aziende
In questo momento, nel settore – precisa Cilli – la domanda di talenti da parte delle aziende corrisponde alla metà dell’offerta: soltanto il 50-60 per cento dei posti di lavoro disponibili nella cyber security sono coperti. Il motivo è che non ci sono specialisti a sufficienza da inserire all’interno della forza lavoro.
«Quello che occorre alle organizzazioni sono competenze molto specialistiche in fatto di security. Non servono divulgatori o evangelisti, ma professionisti dalle conoscenze specifiche, che si rimbocchino le maniche e si mettano al lavoro. Profili che vanno formati, non solo dal punto di vista teorico, ma soprattutto pratico» mette in evidenza il docente.
In tema di cyber security e formazione professionale, uno studio a cura di DNV – società attiva in ambito assurance e gestione del rischio – sul modo in cui le aziende del settore Energy percepiscono il pericolo derivante dal cybercrime e sul loro grado di preparazione nel farvi fronte, riporta i dati di un sondaggio realizzato tra febbraio e marzo 2022, al quale hanno preso parte 948 professionisti, compresi esperti di sicurezza IT e dirigenti presso aziende Energy con sede in Europa, Americhe, Medio Oriente, Africa e Asia Pacifico.
Ebbene, ciò che è emerso è che alcune aziende del comparto Energy hanno a malapena un team IT e che è il segmento delle energie rinnovabili quello maggiormente carente sotto questo aspetto, col rischio che i dipendenti commettano un passo falso in fatto di security, con un solo un intervistato su cinque che afferma di sapere esattamente come intervenire in caso di minaccia cyber.
Sono dati – questi – che fanno riflettere sulla possibilità che la sicurezza informatica, oltre a materia di studio per i giovami che si affacciano al mondo del lavoro, diventi una priorità per tutti i dipendenti, una materia che chi è impiegato all’interno delle aziende di qualsiasi dimensione e settore debba necessariamente conoscere.
Cyber security e formazione professionale: finalità e struttura del Cyber Security Intensive Master
In materia di cyber security e formazione professionale, un esempio concreto di preparazione specialistica in ottica interaziendale sui temi della sicurezza informatica è rappresentato dal Cyber Security Intensive Master di Experis Academy – training center di Experis, brand ManpowerGroup e associato Clusit – di cui, come specificato all’inizio, Claudio Cilli è docente e direttore didattico.
L’obiettivo formativo del Master – che, da novembre 2022 a gennaio 2023, si articola in un percorso di 92 ore complessive in aula, con lezioni il venerdì e il sabato – è permettere, a professionisti privati e dipendenti di azienda che hanno già alle spalle un’esperienza nel mondo informatico, di acquisire competenze ad hoc, finalizzate sia a prevenire che a fronteggiare un attacco cyber, apprendendo gli strumenti necessari per proteggere la propria organizzazione.
Tra le tematiche che verranno affrontate durante le lezioni, quelle riguardanti la corretta gestione della sicurezza dei sistemi, delle reti, dei sistemi perimetrali e del cloud, con la possibilità – al termine del programma didattico – di intraprendere, all’interno delle organizzazioni, carriere professionali in qualità di cyber security engineer, cyber security analyst, information security analyst, e information security consultant.
«Questo master – conclude Cilli – è stato pensato per lavorare su tutti gli aspetti pratici relativi alla cyber security. La sua finalità è formare persone che si rendano conto di che cosa davvero significhi difendersi da hacker e da criminali informatici e praticare correttamente la cyber security. E di che cosa serva per farlo, ovvero conoscenza degli strumenti, delle tecniche di attacco e di difesa e dei sistemi operativi presenti nelle aziende».