Che si tratti di sicurezza informatica o di innovazione tecnologica, per avere successo sul mercato sono necessarie due condizioni: da una parte poter contare su soluzioni all’avanguardia, che rispondano bene a esigenze specifiche, dall’altra avvalersi di personale competente, che sia in grado di reagire e rispondere nel modo giusto in ogni situazione. Se sul fronte dell’innovazione tecnologica è riscontrabile una sensibilità elevata nelle aziende e spesso anche nella PA, la formazione viene ancora messa in secondo piano, e a volte considerata come una “seccatura” sia dalle imprese che dai dipendenti. Tuttavia rimanere al passo con i tempi, nel campo della cybersecurity come in quello dell’innovazione tecnologica, può essere un elemento determinante per avere successo. A spiegarlo in un’intervista a CorCom è Michelangelo Uberti, Marketing Manager di Par-Tec, system integrator che propone prodotti, soluzioni e servizi dedicati all’infrastruttura IT, alla business intelligence, al mercato finanziario e alla formazione.
Uberti, perché oggi formazione e sicurezza informatica sembrano non andare d’accordo?
Sul versante della sicurezza la situazione italiana è drammatica. Lo testimoniano una serie di ricerche, tra cui il noto Rapporto Clusit, secondo il quale i danni provocati da attacchi ransomware e social engineering sono in aumento pur non essendo particolarmente sofisticati a livello tecnico. Vorrei sottolineare che ad oggi riscuotono ancora molto successo le campagne di phishing, che fanno leva su una scarsa preparazione dell’utente finale, il quale rischia di vanificare l’adozione di qualunque strumento tecnologico. È singolare che, nonostante si investano somme importanti per la sicurezza, non vengano sempre incluse soluzioni o contromisure “basic” (ad es. quelle specifiche contro i ransomware) anche quando costano poco. La stessa cosa accade con la formazione: spesso prima di prendere decisioni in questo campo si aspetta che i buoi siano scappati.
Cosa spinge le aziende e la PA a mettere in secondo piano i temi della formazione?
Partirei da un esempio che ci riguarda da vicino: ad alcuni prospect abbiamo proposto di fornire dei corsi di formazione in prova, senza costi aggiuntivi. E anche davanti alla formazione gratuita il nostro interlocutore ha tergiversato. Non è un problema di prezzo, ma più probabilmente un problema culturale: le statistiche di Eurostat aggiornate ad agosto 2018 ci dicono che l’Italia è il fanalino di coda per gli investimenti in formazione. Ma non dobbiamo fermarci alla cybersecurity, lo stesso avviene spesso anche nel campo della tecnologia, dove le aziende spendono molto per selezionare, assumere ed effettuare il primo ciclo di formazione ai nuovi assunti. Spesso però non viene dato un seguito a questo sforzo, non c’è formazione continua, e con il passare del tempo l’azienda rischia di perdere competitività.
Che tipo di formazione offrite, in aula o a distanza?
Dipende dal target e dalle esigenze specifiche. La formazione a distanza si presta meglio per il personale da “office automation”, che si trova mediamente più a proprio agio nell’acquisire competenze stando davanti alla postazione, con calma, prendendo appunti e mettendo il corso in pausa quando necessario. I tecnici invece prediligono e probabilmente hanno bisogno di lavorare in aula, perché è l’unico modo per poter rimanere concentrati e non essere distratti da continue emergenze, oltre che per confrontarsi con altri tecnici. Abbiamo previsto anche una formula ibrida, al “blended learning”, con una parte in aula e una parte a distanza, oltre ovviamente al training on the job.
Quali sono le priorità in ambito sicurezza informatica?
La cosa principale è rivolgersi a una platea variegata all’interno della stessa azienda, partendo dagli impiegati per arrivare al top management, perché in ognuna di queste figure potrebbe nascondersi un anello debole. Il nostro catalogo include anche corsi che trattano temi come l’ethical hacking, finalizzati all’apprendimento dei concetti e delle tecniche che abilitano all’esecuzione di complesse analisi delle vulnerabilità delle applicazioni, e il secure coding, focalizzati sulla progettazione e sullo sviluppo di codice affidabile e sicuro “by design”. Anche utilizzando, dove è possibile, la gamification.
Come pensate di riuscire a superare l’ostacolo di questa “difficoltà culturale” verso la formazione?
Tra le soluzioni che suggeriamo ai nostri clienti c’è una piattaforma che simula campagne di phishing, una specie di test che crea un report aggiornato su chi all’interno di un’impresa passa la prova e chi invece viene bocciato. La stiamo proponendo ai nostri interlocutori in diverse realtà, anche sotto forma di account demo, così da provare la soluzione per un periodo di tempo, in amministrazione o con gli utenti più a rischio. I clienti e i partner più avveduti iniziano a ritenere utile tali sperimentazioni. Uno dei problemi più grandi, quando si parla di formazione, è che spesso nelle aziende e nella PA c’è confusione su chi deve fare cosa, se il tema cioè sia di competenza del responsabile HR o dei responsabili d’area. Si tratta di un ostacolo che stiamo tentando di superare rivolgendoci direttamente ai Data Protection Officer (DPO), le nuove figure introdotte dal GDPR che tra i loro compiti hanno anche la promozione della formazione del personale che partecipa al trattamento dei dati.
A proposito di Gdpr, a che punto siamo in Italia dopo l’inizio dell’applicazione delle norme, che risale al 25 maggio?
Ritengo che il Paese non si sia mosso particolarmente da fine maggio. Chi aveva già intenzione di mettersi in regola ha sfruttato i due anni precedenti alla scadenza, avviando anche procedimenti complessi. Ma dall’altra parte una quantità di organizzazioni pubbliche e aziende private di diverse dimensioni si sono divise tra chi cercava una panacea per tutti i mali e chi invece non faceva niente, in attesa di un decreto che “depotenziasse” quanto imposto dal Regolamento. Nel frattempo, il decreto attuativo è stato pubblicato nella Gazzetta Ufficiale e il Garante ha dato mandato alla Guardia di Finanza di avviare i controlli sul territorio.
Torniamo in chiusura sulla formazione: ha più successo quella sulla tecnologia o quella sulla sicurezza informatica?
Al momento la Linea Technology è quella più gettonata perché sono i tecnici stessi a richiedere formazione, che serve loro per rimanere sul mercato. Il tecnico ha per definizione fame di formazione. Le aziende, oltre che per rispondere alla richiesta che viene dal basso, ricercano formazione specialistica perché hanno bisogno di certificazioni del personale per partecipare ad alcune gare. E poi inizia a essere sempre più chiaro che a volte può essere conveniente invertire il processo che ha portato all’outsourcing delle competenze, che ha visto le aziende risparmiare sulla formazione cedendo sovranità a dei fornitori esterni, che col tempo hanno iniziato a dettare le regole. La Linea Security invece a volte trova più resistenza, per le difficoltà culturali di cui parlavo prima che spesso coinvolgono anche il management. Ma ci sono anche casi di successo che possono servire da esempio: uno di questi verrà presentato al prossimo Forum ICT Security, che si terrà a Roma il 24 ottobre.
Antonello Salerno
Professionista dal 2000, dopo la laurea in Filologia italiana e il biennio 1998-2000 all'Ifg di Urbino. Ho iniziato a Italia Radio (gruppo Espresso-La Repubblica). Poi a ilNuovo.it, tra i primi quotidiani online nati in Italia, e a seguire da caposervizio in un'agenzia di stampa romana. Dopo 10 anni da ufficio stampa istituzionale sono tornato a scrivere, su CorCom, nel 2013. Mi muovo su tutti i campi dell'economia digitale, con un occhio di riguardo per cybersecurity, copyright-pirateria online e industria 4.0.
