Quali sono le principali figure professionali della cybersecurity? Quali le competenze più richieste? E come far incontrare domanda e offerta? Queste le tematiche – strategiche più che mai in una fase storica in cui il cybercrime sta crescendo a ritmi esponenziali – affrontate in occasione di un web talk che ha visto protagonisti Michele Colajanni, professore ordinario di Ingegneria informatica all’Alma Mater Studiorum-Università di Bologna e Andrea Lasagna, Security Officer di Fastweb.
È “l’attitudine alla cybersecurity” la skill più preziosa quanto rara, poiché frutto dell’esperienza e di una visione olistica, necessaria per affrontare le nuove sfide. E non a caso sono cyber architect e cyber analyst le due figure più richieste: dal “progettista” della security, colui che lavora sulla strategia della prevenzione all’analista dei dati che monitora gli eventi e lavora per rispondere alle minacce. Due figure tecnologiche ma da cui ci si aspetta anche una “visione” d’insieme.
“Sono stati commessi molti errori in passato, a partire dalla considerazione che digitalizzazione e cybersecurity fossero due questioni separate. E invece sono strettamente legate perché più digitale significa necessariamente più cybersecurity. Era la fine degli anni 90 quando si prevedeva che prima o poi l’innovazione sarebbe stata frenata dalla carenza di competenze. Sono passati 20 anni e siamo arrivati al dunque: oggi c’è una ricerca spasmodica di figure specializzate e non ne abbiamo a sufficienza”, evidenzia il professor Colajanni secondo il quale la cybersecurity deve considerarsi alla stregua di un’attività “sartoriale”. “Non esiste un’azienda uguale all’altra. La cybersecurity è attività sartoriale, bisogna comprende le esigenze delle aziende con una certa sensibilità. E in cima alle esigenze di un’azienda c’è il business”.
Eccola allora l’attitudine numero uno: “Il team di security deve essere il team che si siede di fianco a chi fa business e operations. Il vero tema è non l’analisi dei rischi e dei costi associati ma trovare la quadra, il ‘win win’ fra le diverse anime dell’azienda per instaurare una strategia di fiducia anche fra colleghi. L’obiettivo di tutti deve diventare proteggere i dati di tutti – sottolinea Lasagna -. È un mestiere complesso che non si impara subito, serve esperienza non solo tecnica ma di confronto. Bisogna avere l’ambizione di lavorare su attività sul medio-lungo periodo e mettere a punto una strategia che calzi a pennello con l’azienda prevedendo upgrade alla stregua di quanto avviene con le app per gli utenti. La user experience è il modello di riferimento”.
Un “mestiere” che non è per tutti. E se è vero – evidenzia Colajanni – “che le competenze valgono più del pezzo di carta, alias di una laurea” è altrettanto vero – ci tiene a sottolineare il docente che “il titolo di studio dà una struttura, dimostra la capacità di aver superato ostacoli attraverso gli esami e quindi di problem solving, dunque di quell’attitudine fondamentale, quella del comprendere per poi pianificare e superare. Anche perché un esperto di cybersecurity è studente a vita considerata l’evoluzione tecnologica”.
Se Maometto non va alla montagna però – come insegna il proverbio – bisogna ribaltare i ruoli. Ecco allora che le aziende a causa della carenza di figure specializzate, a partire da quelle con skill tecnologiche – la materia prima – se le formano in casa. Così sono nate la Cyber Academy e la Digital Academy di casa Fastweb. Secondo Lasagna l’attenzione della politica al tema della cybesecurity è un ottimo segnale: “I decreti sulla sicurezza cibernetica spingono le aziende a lavorare sulla cybersecurity in modo più serio. Non bastano le certificazioni ma servono strategie. Le novità da un punto di vista legislativo andranno in essere dalla fine dell’anno e quindi le aziende dovranno comprovare la loro reale postura di sicurezza”.
Comprovare la sicurezza è questione di security by design: “Tutti i prodotti che un’azienda sviluppa devono essere intrinsecamente sicuri – puntualizza Lasagna -. Quindi si parte dall’aspetto tecnologico, ma in parallelo va affrontata la questione dei processi, per andare incontro alla componente di business. Serve preparazione e bisogna lavorare sul medio lungo termine. Non è possibile una difesa strutturale dall’oggi al domani. Gli stessi attacchi vengono studiati per mesi, anche per anni”. Last but not least le persone: “Non è solo e tanto questione di formazione tecnica o di corsi ma anche e soprattutto di attitudine. Bisogna sentirsi addosso la sicurezza. La sfida è culturale”, dice ancora Lasagna, il quale evidenzia che i professionisti della cybersecurity dovrebbero avere competenze anche di natura legale nonché di comunicazione “affinché la cultura possa diffondersi dentro e fuori l’azienda”.
Concorda pienamente il docente dell’Università di Bologna secondo il quale “non vanno dimenticate le persone: la sfera personale è l’aspetto più sottovalutato. A causa dell’esibizionismo social si danno molte informazioni e gli attaccanti hanno lavoro facile, incluso il fatto che Covid, vaccinazioni e green pass sono ganci per attirare in trappole attraverso mail e siti creati ad hoc in cui è facile cadere. La mancata formazione dei dipendenti pesa e bisogna alzare l’asticella della sicurezza. Bisogna lavorare su manager, persone e tecnologie. Non si può fare una cosa e non pensare alle altre, la cybersecurity è olistica”.
