28 gennaio 2020

La mancanza di competenze in cybersecurity in Italia

 Istituzioni

 

La carenza di professionisti con competenze adeguate in sicurezza cibernetica è un problema per la protezione dei dati e dei sistemi informativi italiani. Nel mondo anglosassone questo fenomeno viene definito “cyber security skills shortage” (CSSS) ed è stato ampiamente studiato e affrontato. In questo articolo illustrerò lo stato del CSSS in Italia e quali soluzioni si potrebbero adottare per porvi rimedio, facendo riferimento al contesto internazionale.

 

Che cosa si intende per CSSS 

Il CSSS si verifica quando, al momento dell’assunzione, i datori di lavoro non riescono a trovare professionisti con conoscenze e competenze adeguate in sicurezza cibernetica, pur offrendo salari in linea con i valori di mercato. Il problema non è solo italiano, ma è globale, con un impatto anche su paesi tecnologicamente avanzati come Australia, Regno Unito, Giappone e Stati Uniti. 

Ci sono diversi indicatori che permettono di concludere che il fenomeno sia effettivamente presente e che non si tratti di un espediente del settore privato per riuscire a trovare più risorse umane a basso costo (cosa che molti ricercatori accademici pensano sia un’eventualità). Per esempio, negli Stati Uniti, tra settembre 2018 e ottobre 2019, sono state registrate più di 500mila domande di lavoro online aperte, e un datore di lavoro ha impiegato mediamente il 30% di tempo in più a trovare un professionista in sicurezza cibernetica rispetto a un lavoratore con un’altra specializzazione nel settore dell’ICT. Altri dati dicono che nel Regno Unito i professionisti in cybersecurity  hanno visto i propri salari aumentare del 7% dal 2015 al 2016 e godono di stipendi del 15% più elevati rispetto ad altri lavoratori del settore ICT.  Come ultimo esempio, sappiamo che in Australia la “ profondità del mercato ” (Labour Market Depth), cioè la proporzione fra il numero dell’attuale forza lavoro e il numero di domande online in cyber security, è più basso rispetto al resto del settore ICT e alla media nazionale, dato che sottolinea come la domanda di lavoro sia superiore all’offerta.

Le cause del problema sono diverse e sarebbe fuorviante accusare il sistema educativo come l’unico colpevole della mancanza di professionisti, come sembra vogliano far intuire alcuni studi industriali , sulla cui attendibilità tuttavia sono stati espressi dei dubbi . È vero che il sistema educativo sembra avere delle difficoltà a produrre studenti con competenze adeguate, ma è anche vero che i datori di lavoro dovrebbero: 1) abbassare le loro pretese quando assumono, soprattutto in termini di esperienza professionale richiesta; 2) cercare di offrire più opportunità di lavoro ai giovani; 3) offrire una formazione adeguata e continuativa ai propri lavoratori.

 

L’inazione della politica e la mancanza di investimenti

In una certa misura, il CSSS sussiste sempre, pertanto non costituisce un problema di per sé. Grossi problemi, invece, sorgerebbero se la questione venisse ignorata, se non si sapesse come agire o non si avessero i mezzi a disposizione per affrontarla. Purtroppo, in Italia sembra che il governo sia a conoscenza del problema, ma abbia fatto poco per contrastare il CSSS e/o non abbia le risorse adeguate a farlo.

Infatti, c’è sempre maggiore documentazione che testimonia come ci sia un problema nel mercato del lavoro italiano. Per esempio, il più recente Osservatorio sulle competenze digitali documenta che nel 2018 in Italia si sono registrate più di 1.300 domande online aperte e che i professionisti in sicurezza cibernetica sono tra i più richiesti nel contesto della progressiva digitalizzazione dell’industria. Un altro studio, sponsorizzato dal Global Cyber Security Center di Roma, ha rilevato che l’80% delle organizzazioni hanno avuto “spesso” o “quasi sempre” difficoltà nell’assumere personale cyber e che esse sono costrette a lasciare posizioni lavorative aperte anche per tre mesi prima di assumere personale qualificato.  Inoltre, è la stessa Presidenza del Consiglio che ha definito come “ molto vasto ” il problema di formazione in sicurezza cibernetica in Italia. 

Nonostante il problema sia stato riconosciuto, non pare ci sia stata finora una risposta di politica pubblica coerente. Forse, è per la mancanza di finanziamenti: mentre nel Regno Unito si spenderanno quasi 2,3 miliardi di euro per implementare la strategia cibernetica 2016-2021, in Italia sono stati stanziati 3 milioni di euro per il periodo 2019-2021. Al di là della mancanza di fondi, probabilmente in generale si sarebbe potuto fare di più. Sebbene si siano portate avanti parecchie campagne educative per sensibilizzare il pubblico sulla minaccia cibernetica, esse non sono probabilmente sufficienti e non si possono sostituire ad una strategia complessiva che punti ad affrontare il problema in maniera più diretta.

 

Come si può rimediare?

1) Si dovrebbe partire con un’analisi dettagliata del problema a livello nazionale. Si potrebbe fare riferimento a come l’Australia ha studiato il proprio CSSS nazionale attraverso il Sector Competitiveness Plan . La buona notizia è che abbiamo già in casa le competenze analitiche adeguate a poterlo fare. Tabulaex è uno spin-off dell’Università Bicocca che conduce ricerche del mercato del lavoro attraverso l’analisi di annunci online. È già responsabile della produzione dei dati dell’Osservatorio sulle competenze digitali ed è coinvolta nella produzione di statistiche a livello europeo . Essa è stata recentemente acquisita da BurningGlass, l’azienda che fornisce dati sul CSSS al governo americano . Dunque, sono già disponibili le capacità per effettuare un’indagine più approfondita sul mercato del lavoro della sicurezza cibernetica in Italia e questo sarebbe un primo passo fondamentale per comprenderne a fondo la natura e le caratteristiche. 

 

2) Si dovrebbe concepire una strategia complessiva che affronti il problema in tutte le sue sfaccettature, partendo dall’analisi del problema di cui sopra. Si potrebbe prendere spunto dalle esperienze altrui, in particolare dalle politiche pubbliche del Regno Unito (incluse quelle della Scozia ), applicate al problema italiano con provvedimenti su misura. Una strategia ben strutturata e comprensiva non può fare a meno di una forte collaborazione fra accademia, settore privato e governo. In particolare, è fondamentale portare avanti una strategia complessiva che coinvolga i datori di lavoro in modo sistematico per due motivi principali: una parte della “colpa” per il CSSS è attribuibile anche a loro visto le limitate opportunità di formazione che offrono e le poche opportunità di lavoro concesse per i giovani; secondo, perché la scuola non può, e non è nemmeno indicata, a risolvere problemi che hanno origine nel mercato del lavoro e non nel sistema educativo di per sé. Agire sarebbe un bene, ma fare qualcosa senza conoscerne gli effetti sarebbe del tutto inutile. Nel mondo ci sono svariati esempi di programmi e interventi pubblici con lo scopo di aumentare il numero di professionisti in sicurezza cibernetica. Ciononostante, non si sa con certezza se questi programmi abbiano raggiunto gli obiettivi prefissati per la mancanza di una cultura della valutazione delle politiche pubbliche. Se c’è la volontà di avere una politica complessiva per contrastare il CSSS, si dovrebbero per forza includere delle valutazioni rigorose degli interventi e dei programmi che si delineeranno, senza le quali qualsiasi dichiarazione sulla bontà di questi interventi sarebbe infondata. Si può fare riferimento al capitolo 9 della strategia del Regno Unito per capire l’importanza di instaurare una cultura della valutazione.

 

3) Si potrebbe provare a consolidare quello che si ha già in casa. Per esempio, moltissimi paesi stanno utilizzando competizioni/capture-the-flag in sicurezza cibernetica per promuovere l’interesse verso la sicurezza cibernetica e indurre i giovani a considerare una carriera nel settore. In Italia, il CyberChallenge.IT è riuscito a coinvolgere nel giro di pochi anni migliaia di studenti provenienti da scuole superiori e università: nell’edizione del prossimo anno (2020) si prevede che circa 4.000 studenti si iscriveranno. Per esperienza personale - durante la mia esperienza di ricerca a Enisa sono stato coinvolto nel progetto European Cyber Security Challenge - posso dire che il CyberChallenge.IT è una delle competizioni più strutturate a livello europeo, che include un periodo di formazione di quattro mesi con pochi eguali. Nonostante siano tutti fieri dei recenti risultati del Team Italy, il quale viene selezionato proprio attraverso il CyberChallenge.IT, non è chiaro quale sia il ruolo del governo al di là di un supporto più o meno formale alla competizione, che però finora non sembra si sia tradotto in un finanziamento concreto. Un peccato, e forse un’occasione persa, se soprattutto si pensa che in Inghilterra il Governo di Sua Maestà ha investito quasi 25 milioni di euro per creare una nuova competizione in cyber security per i ragazzi delle scuole superiori e sviluppare così fin dalla giovane età la propria forza lavoro cibernetica del futuro.

 

 

Immagine: Hacking Cybercrime Cybersecurity. Crediti: jaydeep_ (pixabay.com), CC BY 2.0

© Istituto della Enciclopedia Italiana - Riproduzione riservata

0