Gli esperti di sicurezza informatica indicano spesso la figura del CISO (Chief Information Security Officer) come fondamentale nelle scelte strategiche aziendali. In Italia, tuttavia, spesso questa figura professionale è assente o svolta ad interim da altri professionisti dell'ufficio IT. Ufficio che peraltro soffre sempre più spesso la mancanza di skill, compensate da consulenti esterni come gli MSSP. Per misurare il polso alla situazione italiana abbiamo intervistato Federico Colacicchi, Managing Partner di Techyon.

Techyon è un osservatore privilegiato in quanto si tratta di una società di ricerca e selezione di personale esclusivamente specializzata nel segmento IT. I profili di cui svolge attività di head hunting vanno dalla fascia senior professional al middle management, fino ad arrivare alle figure apicali come per esempio Chief Information Officer, Chief Information Security Officer, eccetera. Techyon opera in tutta Italia, con un portafoglio clienti diversificato che comprende sia grandi gruppi multinazionali, sia PMI, sia società di consulenza informatica.

Fa parte del network internazionale ERI che racchiude una cinquantina di head hunter indipendenti a livello globale, che permette di operare in tutto il mondo qualora richiesto. Nei piani di sviluppo della società c'è l'apertura di uffici a Madrid nel 2021 e a Parigi e Berlino entro il 2025.
Federico Colacicchi, Managing Partner di Techyon
Si nota una ripresa dopo il lockdown?

I segnali di ripresa sono buoni, siamo fiduciosi di esserci lasciati il peggio alle spalle. Durante il lockdown la ricerca di personale ha subito un rallentamento molto forte, più per l'incertezza del mercato che per la mancanza di effettive esigenze delle aziende. A fine agosto abbiamo notato una controtendenza: sono ripartiti una serie di progetti che erano stati congelati.

La figura dei CISO è molto chiacchierata. Negli Stati Uniti è ritenuta una figura chiave della cyber security. Gli esperti di sicurezza che lavorano sull'Italia tuttavia segnalano che nel Belpaese il CISO è praticamente inesistente. Qual è la richiesta interna di questa figura, e come si colloca rispetto al reparto IT e alla figura del CEO?

Viviamo un momento in cui non c'è un inquadramento preciso di questa figura professionale, soprattutto in quelle realtà che non raggiungono dimensioni ragguardevoli. Riscontriamo che molto spesso la figura del CISO viene ricoperta ad interim dal Chief Information Officer. Perché nella maggior parte delle aziende con cui lavoriamo, che non dispongono di un SOC interno, la maggior parte dei compiti legati alla cyber security sono affidati a questa figura. Cosa diversa sono le aziende che operano in ambito bancario o che hanno comunque un numero di dipendenti e livelli di fatturato molto elevati. 

Spesso e volentieri, quando gli incarichi di cyber security vengono svolti ad interim dal CIO, c'è tutta una serie di figure di supporto presenti in azienda, come ad esempio il Cybersecurity Engineer, il Network Security Engineer, l'Application Security Engineer, eccetera. Insieme svolgono una funzione di supporto e di backup. Ricordiamo che sempre più spesso chi riveste questo ruolo deve possedere tutta una serie di competenze manageriali oltre che tecniche, di raccordo con altri dipartimenti aziendali (ricerca e sviluppo, risorse umane) e relative anche al trattamento dei dati in conformità al GDPR.

Tendenzialmente, sia in Italia che in Europa questa figura non è ancora diffusa e particolarmente richiesta. Tuttavia durante il lockdown c'è stata un'accelerazione nei processi di digitalizzazione che erano già in atto e che hanno incrementato la necessità di figure come il CISO. Gli attacchi informatici si sono evoluti e sono aumentati di numero, quindi anche le PMI sono più incentivate nella ricerca di figure per la cyber security.

In generale, capita sempre più spesso che nell'ambito della ricerca di figure come CTO, CIO, Head of Applications o Head of Infrastructure siano richieste competenze sia tecniche e normative, sia culturali e manageriali. A questi professionisti, infatti, è richiesta anche l'importante opera di formazione del personale in termini di cyber security, e la capacità di rapportarsi con molti dipartimenti aziendali differenti.

Le aziende di cyber security lamentano la mancanza diffusa nelle aziende italiane di skill professionali di alto profilo nei reparti IT. Per questo molti stanno puntando sugli MSSP, che compensano le carenze interne con consulenze esterne. Riscontrare questo gap? Rilevate che le aziende stiano facendo qualcosa per colmarlo, o effettivamente l'outsourcing sta andando per la maggiore?

Confermiamo questa tendenza. Nella stragrande maggioranza dei casi le aziende hanno partner esterni che gestiscono la sicurezza informatica. Per questo è richiesta anche una competenza manageriale alle figure interne, che devono sapere gestire le analisi e le azioni dei consulenti esterni. Su questo punto non riscontro nemmeno un'inversione di tendenza. Mentre per quanto riguarda il CISO ci sono segnali di una evoluzione, seppur timidi, vedo da parte delle aziende un sempre maggiore spazio per l'outsourcing, ove il fornitore sia in grado di concentrare una serie di competenze che sono troppo onerose da internalizzare per un'azienda priva di un dimensionamento tale da giustificare l'investimento.

Anche e soprattutto quando il fornitore, come spesso capita, è in grado di supportare l'azienda anche nei piani di sviluppo infrastrutturale e nella formazione. Tant'è vero che, fatte 100 le figure professionali che noi cerchiamo in un anno in ambito cyber security, 80 riguardano aziende esterne di consulenza.
In generale, quali sono le figure IT più gettonate in Italia e quali competenze sono richieste?

Ci sono alcune aree in cui siamo particolarmente sollecitati. La prima, non tanto in termini numerici quanto per l'importanza delle figure, è quella dei data scientist. Tutto l'ambito dell'interpretazione e modellazione dei dati è in crescita a tutti i livelli, dalla piccola azienda alla grande multinazionale. 

C'è tutta una parte legata ai consulenti in PI (Progress Integration) legati all'area SAP e XML, specializzati in determinati moduli. Impossibile non citare poi gli sviluppatori web, per la parte back end, front end, iOS, Android. Tutto quello che è sviluppo e linguaggio di programmazione, fra cui Java, Javascript e PHP è molto richiesto. Ovviamente cerchiamo personale senior, non chi è alle prime armi. Sono in crescita poi tutte le figure legate al cloud, a seguito della migrazione cloud in cui sono impegnate tutte le aziende.

Oltre a questo, prosegue la tradizionale ricerca delle figure apicali nel settore IT, come il CIO, che non sono più soltanto tecnici, ma sempre più manager e business partner capaci di dialogare con tutti i dipartimenti aziendali, quindi figure sempre più a tutto tondo con capacità decisionali elevate anche nell'ambito del business aziendale.