Come trovare, formare e trattenere le figure di cyber security in azienda è un argomento caldo. Secondo le ricerche di mercato più recenti, il 61% dei team di sicurezza informatica è a corto di personale. Questo comporta inevitabilmente un aumento dei rischi per le aziende. Il problema è noto da molto tempo, ma è esploso sia mediaticamente che fattivamente con la pandemia.

Da una parte gli attacchi si sono moltiplicati, mettendo in risalto le falle nella cyber security che esistevano da tempo. Dall'altra lo smart working ha ampliato la superficie d'attacco e facilitato il lavoro degli attaccanti, dato che le potenziali vittime non erano protette dall'infrastruttura di rete aziendale. Il carico di lavoro per l'IT security si è moltiplicato a dismisura, gravando su gruppi di lavoro che erano già sottodimensionati prima della pandemia.

Con questo speciale abbiamo fatto il punto con le aziende di riferimento nel settore della sicurezza informatica. Da una parte è emerso un lungo elenco di figure professionali a cui spetta la ripartizione della gestione della security in un ambiente aziendale ideale. Dall'altro c'è la presa di consapevolezza che non basta inanellare una lunga lista di specialisti per risolvere tutti i problemi.

Tante figure professionali, una sola cyber security

A seconda della dimensione aziendale, sarebbe necessario dotarsi di un numero di figure professionali specializzate in cyber security che va da tre a cinque, sei o più persone. Per gestire ogni aspetto della sicurezza infrastrutturale, infatti, occorrono l'Amministratore di sistema, un Security Specialist, un Security Engineer e un Security Architect. Per non parlare del Penetration Tester, del Risk Manager, dell’Incident Handler, del Threat Intelligence Analyst, e via discorrendo.

È fuor di dubbio che ciascuna di queste figure copra un aspetto peculiare e fondamentale della cyber security. Tuttavia, ci sono alcuni aspetti di cui tenere presente. Il primo è che, restringendo il campo all'Italia, il tessuto produttivo fonda le sue basi su una miriade di piccole e medie imprese che si possono a malapena permettere una figura dedicata alla sicurezza informatica.

Queste realtà sono state colpite dai cyber attacchi al pari delle grandi aziende, e come loro hanno dovuto attrezzarsi per lo smart working, attivando risorse cloud ed espandendo la superficie di rischio. Davanti a questa complessità molti hanno optato per l'outsourcing della cyber security. Gli MSSP offrono una serie di vantaggi, a partire da quelli economici. Adottando una formula as-a-service, l'azienda paga un canone mensile che comprende strumenti hardware e software e l'apporto di tutte le skill professionali necessarie. La scalabilità di tali servizi permette di ampliare o ridurre il servizio a seconda della necessità.

Sembra la scelta ideale, tuttavia ha una controindicazione: tutte le figure professionali a cui è appaltata la security sono esterne all'azienda e di conseguenza non fidelizzate, quindi non si può costruire una strategia a lungo termine su questo modello.

Il discorso è differente per le aziende medio-grandi ed enterprise dotate di SOC. Qui alla figura centrale dell'amministratore di sistema è doveroso affiancare tecnici e analisti con l'obiettivo di comporre un pool quanto più possibile autosufficiente, che lavori di concerto con la direzione per lo sviluppo di una strategia a supporto dello sviluppo di business aziendale.

Personale difficile da trovare

A prescindere da quali e quanti specialisti di cyber security si cercano, e dalla dimensione dell'azienda che li cerca, il problema condiviso è la loro reperibilità. O meglio, la disponibilità di persone già formate, con un curriculum ricco di esperienze, che si possano inserire in azienda senza alcuno sforzo formativo.

È questo il punto centrale: i potenziali candidati esistono, ma le aziende sono disposte a investire solo su opzioni "chiavi in mano". Sono disposte a spendere per i prodotti, ma non per le persone, perché formare uno specialista di cybersecurity costa in termini di tempo e di denaro. E i risultati dell'investimento non sono immediati.

Questa è una parte del problema. Un'altra è che chi formula gli annunci di lavoro e assume, spesso non ha competenze in cyber security. Cerca personale troppo qualificato per le reali esigenze aziendali, quindi fatica a trovare candidati che accettino offerte finanziarie troppo basse, e fatica a trattenere in azienda il personale.

Non solo. Oltre a far fatica a trovare personale, chi assume esclusivamente candidati già completamente formati riduce la diversità in termini di esperienza all’interno dei team di sicurezza. Questo indebolisce le capacità di gestione della sicurezza dell'azienda e abbassa la flessibilità e l'efficacia del suo pool di talenti.

Detto questo, è comunque difficile trovare candidati preparati perché purtroppo oggi ci sono pochissimi corsi universitari o istituti tecnici capaci di preparare gli studenti per un lavoro nella cyber security. Tuttavia, ci sono numerosi corsi di formazione o percorsi di certificazione organizzati anche dai produttori di cyber security, che trasmettono ai potenziali candidati le conoscenze necessarie.

Come sottolineano molti esperti, le competenze di base su cui costruire una figura professionale per la cyber security sono il networking i sistemi, perché le soluzioni di security si appoggiano sul network e sono integrate nella componente sistemistica. Il resto si può e si dovrebbe costruire strada facendo.

Il super esperto o il super prodotto non bastano

Molti pensano erroneamente che acquistare il miglior prodotto di sicurezza sul mercato e darlo in gestione al miglior amministratore di sistema risolva la questione della security. Non potrebbe essere più lontano dalla verità. Basta che un dipendente di qualsiasi ufficio aziendale o un collaboratore faccia clic su un link dannoso in una email di phishing per mandare all'aria la security aziendale.

Il prodotto di sicurezza è imprescindibile per la prevenzione, la difesa e la remediation. Perché sia efficace deve basarsi oggi su Intelligenza Artificiale e Machine Learning, deve appoggiarsi a una threat intelligence di alto livello, deve dare visibilità su tutti gli asset e deve includere tutte le automazioni necessarie per efficientare il lavoro umano.

Il personale qualificato è imprescindibile per la gestione dei processi, degli asset e degli accessi, per la configurazione dell'infrastruttura, per l'implementazione della strategia di cyber security, l'analisi del rischio e per la lunga serie di funzioni che non sono automatizzabili.

Ma senza una formazione continua di tutto il personale aziendale l'infrastruttura non sarà mai al sicuro. La sicurezza informatica di un'azienda oggi si costruisce sulla collaborazione di tutti, ed è frutto della condivisione di responsabilità a tutti i livelli: dall'Amministratore delegato all'ultimo degli stagisti, nessuno escluso.

La formazione è un valore, non un costo

Come detto sopra, formare personale comporta un investimento notevole di tempo e denaro. Tuttavia, chi cerca solo candidati "pronti all'uso" dimentica che così facendo non si libera del problema della formazione. La sicurezza informatica è in continua evoluzione. I cyber criminali creano, aggiornano e modificano di continuo tecniche, tattiche e strumenti di attacco. È la resilienza a rendere i loro attacchi efficaci.

Chi ha il compito di contrastare l'attività del cyber crime dev'essere parimenti aggiornato e resiliente. Non solo sugli attacchi, ma anche sugli strumenti di difesa e sulle architetture infrastrutturali. Quindi tutti gli addetti alla cyber security, anche le figure apicali con i massimi titoli di studio e le migliori referenze, devono seguire continuamente corsi di formazione. Altrimenti fra 5 anni (o meno) la loro preparazione non avrà più alcun valore.

Pensiamo a un titolato esperto di sicurezza informatica on-premise che non si è mai aggiornato: in tempi di COVID, con l'obbligata trasformazione digitale e la massiva migrazione al cloud, che contributo avrebbe potuto dare alla sicurezza aziendale?

Conclusioni

Tirando le somme, la cyber security non è un prodotto, non è una persona. È un processo dinamico in continua evoluzione che coinvolge strumenti di difesa da evolvere periodicamente, talenti costantemente aggiornati e formazione continua per tutto il personale aziendale. Senza uno di questi anelli la catena si spezza e la sicurezza viene meno.

Per la scelta degli esperti, inoltre, quelli interni vanno aggiornati di continuo per valorizzare la loro esperienza. I giovani da formare possono costituire un valore aggiunto che può riflettersi in una maggiore efficacia di tutto il gruppo di lavoro nel medio periodo.