Difendere l’IT è un’impresa sfidante. Per vincerla sono state create figure apicali, come i CISO, e figure tecniche come i security specialist, i security engineer e i security architect. Figure difficili da trovare perché, come sottolinea Fabrizio Croce, Vice President Sales South Europe di WatchGuard Technologies,sono di recente introduzione.

Sono pochissimi gli istituti tecnici superiori con focus su ICT e CyberSec e anche a livello universitario c'è un importante GAP visto che, da alcune ricerche, emerge che solo il 3,5% degli studenti italiani frequenta un corso di laurea ICT. La formazione interna alle aziende è un'opzione non priva di ostacoli, dato che le aziende investono eccessivamente in tecnologie e troppo poco sui professionisti. Le tecnologie, infatti, devono esser viste per quello che sono: strumenti a supporto dell’uomo, e non qualcosa a sostituzione integrale di quest’ultimo. Vi è un'oggettiva difficoltà per le aziende a reclutare, formare e “trattenere” personale qualificato nel settore cyber.

Molti dei ruoli che non vengono ricoperti sono quelli dei profili senior. Profili lavorativamente maturi, con alle spalle esperienze di qualità, che fanno la differenza all’interno dell’organizzazione e sono una forza trainante per i più giovani. Consideriamo che queste figure magari hanno iniziato a lavorare negli anni 90, agli albori di internet, e hanno visto un cambiamento tecnologico epocale, per la grande maggioranza acquisendo competenze soprattutto storiche insostituibili.

La mancanza di figure professionali con adeguate competenze in CyberSecurity sul mercato è un enorme ostacolo ed è un problema molto serio non solo in Italia ma globalmente, che spinge molte aziende all’outsourcing, con il vantaggio di colmare la carenza di competenze interne diminuendo il bisogno di ricercare e formare personale qualificato e riducendo in maniera significativa le spese di infrastruttura, ma con il rischio di avere una figura professionale con scarsa fidelizzazione, su cui non si può costruire una strategia a lungo termine.

Un altro aspetto è considerare la sicurezza come responsabilità condivisa, non solo quindi di competenza di chi la implementa e gestisce, ma di tutto il personale aziendale, perché un comportamento negligente di un singolo può mettere a rischio l’intera infrastruttura. La cultura della sicurezza deve essere parte integrante dell’azienda e la formazione di tutti deve essere una delle pietre miliari.