Storicamente, una delle principali difficoltà per il consolidamento della cybersecurity in azienda sta nel fatto che ognuno ne ha una visione leggermente diversa dagli altri e non sempre chi deve confrontarsi sui temi cyber parla esattamente la stessa "lingua" dei suoi interlocutori. Questo ha diverse conseguenze, in particolare quando si tratta di definire i ruoli della cybersecurity e quando si cercano talenti sul mercato.

Nella cybersecurity non è sempre facile definire una "etichetta" precisa che indichi chiaramente i compiti previsti per un esperto di sicurezza IT. È in parte un problema di vecchia data e inevitabile, perché la sicurezza cyber evolve in maniera molto veloce e altrettanto devono fare, di conseguenza, i ruoli di chi la gestisce.

Inoltre, non esistono percorsi di formazione e certificazione onnicomprensivi che tratteggino i ruoli di cybersecurity in un modo universalmente accettato. Un aspetto complicato dal fatto che oggi le imprese guardano, nella selezione e nella crescita del personale, tanto all'esperienza pratica maturata quanto alla formazione e alle certificazioni puntuali. Spesso, vale anzi più la prima che le seconde.Fonte: Enisa

L'agenzia europea per la cybersecurity - ENISA - ha cercato di mettere un po' d'ordine in questo scenario definendo un "career framework" che porti una maggiore trasparenza e più chiarezza in come i ruoli della cybersecurity e le relative competenze si sono evoluti organicamente nel tempo, in risposta all'innovazione tecnologica e al mutare delle minacce.

Il risultato di questo lavoro è lo European Cybersecurity Skills Framework, o ECSF. Che si affianca ad altri framework simili definiti altrove nel mondo, come in particolare la National Initiative for Cybersecurity Education (NICE) del National Institute of Standards and Technology (NIST) statunitense, che conta ben 52 ruoli cyber. L'ECSF si ferma - ed è forse meglio, per ora - ai 12 che tratteggiamo (molto sinteticamente) qui di seguito.

Le figure chiave della cybersecurity

1. Chief Information Security Officer (CISO) - Definisce, mantiene e comunica la visione, la strategia, le politiche e le procedure di cybersecurity. Gestisce l'attuazione della politica di cybersecurity in tutta l'organizzazione. Assicura lo scambio di informazioni con le autorità esterne e gli organismi professionali.

2. Cyber Incident Responder - Monitora e valuta lo stato di cybersecurity dei sistemi. Analizza, valuta e attenua l'impatto degli incidenti di sicurezza informatica. Identifica le cause principali degli incidenti e gli attaccanti. In base al piano di risposta agli incidenti dell'organizzazione, ripristina le funzionalità dei sistemi e dei processi in uno stato operativo, raccogliendo le prove e documentando le azioni intraprese.

3. Cyber Legal, Policy & Compliance Officer - Supervisiona e assicura la compliance con le norme e le politiche legali e regolamentari relative alla cybersecurity e ai dati, in linea con la strategia e i requisiti legali dell'organizzazione. Contribuisce alle azioni dell'organizzazione relative alla protezione dei dati. Fornisce consulenza legale nello sviluppo dei processi di governance della cybersecurity dell'organizzazione e delle strategie/soluzioni di rimedio raccomandate per garantire la conformità.

4. Cyber Threat Intelligence Specialist - Gestisce il ciclo di vita della threat intelligence, tra cui la raccolta di informazioni sulle minacce informatiche, l'analisi e la produzione di intelligence utilizzabile e la diffusione agli stakeholder della sicurezza e alla comunità ICT, a livello tattico, operativo e strategico. Identifica e monitora le tattiche, le tecniche e le procedure (TTP) utilizzate dai threat actor e le loro tendenze, segue le attività dei threat actor e osserva come gli eventi non informatici possano influenzare le azioni legate alla cybersecurity.

5. Cybersecurity Architect - Progetta soluzioni basate sui principi di security-by-design e privacy-by-design. Crea e migliora continuamente i modelli delle architetture IT e di cybersecurity e sviluppa documentazione e specifiche tecniche adeguate. Coordina lo sviluppo sicuro, l'integrazione e la manutenzione dei componenti di cybersecurity in linea con gli standard e con altri requisiti correlati.

6. Cybersecurity Auditor - Conduce audit indipendenti per valutare l'efficacia dei processi e dei controlli di cybersecurity e la loro compliance complessiva con le politiche legali e normative dell'organizzazione. Valuta, testa e verifica i prodotti (sistemi, hardware, software e servizi), le funzioni e le policy relative alla sicurezza informatica, assicurandone la conformità alle linee guida, agli standard e alle normative.

7. Cybersecurity Educator - Progetta, sviluppa e conduce programmi di sensibilizzazione, formazione e istruzione su temi legati alla cybersecurity e alla protezione dei dati. Utilizza metodi, tecniche e strumenti didattici e formativi appropriati per comunicare e migliorare la cultura, le capacità, le conoscenze e le competenze delle risorse umane in materia di cybersecurity. Promuove l'importanza della cybersecurity e la consolida nell'organizzazione.

8. Cybersecurity Implementer - Fornisce sviluppo tecnico, integrazione, test, implementazione, funzionamento, manutenzione, monitoraggio e supporto per tutto quello che riguarda le soluzioni di cybersecurity. Garantisce l'aderenza alle specifiche e ai requisiti di conformità, garantisce le prestazioni dei sistemi e risolve i problemi tecnici collegati alle soluzioni di sicurezza IT.

9. Cybersecurity Researcher - Conduce ricerche fondamentali/di base e applicate sulla cybersecurity e facilita l'innovazione nel settore della sicurezza IT, attraverso la cooperazione con altre parti interessate. Analizza le tendenze e le scoperte scientifiche nel campo della sicurezza informatica.

10. Cybersecurity Risk Manager - Gestisce in modo continuativo (identifica, analizza, valuta, stima, mitiga) i rischi legati alla cybersecurity delle infrastrutture, dei sistemi e dei servizi ICT pianificando, applicando, segnalando e comunicando l'analisi, la valutazione e il trattamento dei rischi. Stabilisce una strategia di gestione del rischio per l'organizzazione e garantisce che i rischi rimangano a un livello accettabile per l'organizzazione selezionando azioni e controlli di mitigazione.

11. Digital Forensics Investigator - Collega le "prove" digitali della cybersecutiy a persone fisiche, principalmente i criminali informatici. Raccoglie, recupera, identifica e conserva i dati (input, output, processi...) dei sistemi digitali oggetto di indagine. Fornisce analisi, ricostruzione e interpretazione delle prove digitali sulla base di un parere qualitativo. Presenta una visione qualitativa imparziale degli eventi, senza interpretare i risultati ottenuti.

12. Penetration Tester - Pianifica, progetta, implementa ed esegue attività di penetration test e scenari di attacco per valutare l'efficacia delle misure di cybersecurity implementate o pianificate. Identifica le vulnerabilità o le mancanze nei controlli tecnici e organizzativi che influenzano la riservatezza, l'integrità e la disponibilità di sistemi, hardware, software e servizi.

Il ruolo ideale dell'ECSF

Come minimo, l'ECSF offre una terminologia comune per la domanda e l'offerta di professionisti della cybersecurity, aiutando a identificare le competenze critiche richieste per i principali ruoli professionali. E quindi, almeno nelle intenzioni, contribuisce allo sviluppo di percorsi formativi più chiari e mirati per la sicurezza IT.

La classificazione dell'ECSF può anche essere vista come una specie di "lista della spesa" per le aziende e le organizzazioni. I ruoli e i compiti chiave per la cybersecurity in azienda sono quelli elencati (il documento ufficiale li spiega in dettaglio), quindi riempire man mano le relative "caselline" diventa indirettamente un percorso per migliorare la sicurezza complessiva di una impresa.

Sapendo in dettaglio cosa (e chi) serve, poi, il management e i dipartimenti delle risorse umane possono pianificare meglio la ricerca di talenti sul mercato e lo sviluppo delle carriere a supporto della cybersecurity. Sempre tenendo conto, però, che la sicurezza IT resta un ambito in forte evoluzione e per questo la formazione di chi se ne occupa deve essere continua e sempre aggiornata.