Nel 2021 oltre 3,5 milioni di posizioni lavorative nella sicurezza informatica saranno vacanti. Il fenomeno della Skill Shortage spiegato da Luigi Rebuffi, Segretario generale della European Cyber Security Organisation (ECSO)
La carenza di professionisti nelle professioni digitali e nella cybersecurity, meglio noto come skill shortage è un fenomeno che da diverso tempo ricorre nelle ricerche e indagini di analisti intenti a studiare sia il panorama della minaccia, sia le migliori condizioni e capacità difensive. In particolare, la migliore difesa è costituita dalla conoscenza applicata che deriva dalla cultura della sicurezza, unita alla preparazione scolastica, universitaria e/o all’esperienza diretta lavorativa. Nonostante la pervasiva diffusione della digitalizzazione in ogni ambito della società non sembra si sia verificata una parallela “preparazione” dei professionisti.
Secondo una stima dell’International Information System Security Certification Consortium (ISC)², nel 2018 sono rimasti inoccupati a livello globale 2,93 milioni di posti di lavoro. Cybersecurity Ventures prevede addirittura 3,5 milioni di posizioni di sicurezza informatica non coperte entro il 2021. Ma forse il problema è più complesso, tanto che a fronte delle competenze digitali mancanti anche nell’ambito della cybersecurity, sul mercato esistono molti professionisti che faticano a ricollocarsi. Sicuramente il problema è molto ampio e passa anche per l’aggiornamento professionale e le retribuzioni.
Parola all’esperto
Ne abbiamo parlato con Luigi Rebuffi, Segretario generale della European Cyber Security Organisation (ECSO), una organizzazione formata da diverse entità industriali per l’attuazione del partenariato pubblico-privato contrattuale (cPPP) della Cyber Security. Durante l’ultima conferenza nazionale sulla Cybersecurity ITASEC19, Luigi Rebuffi è intervenuto sul tema dello skill shortage. Lo abbiamo intervistato per un approfondimento a 360 gradi che possa evidenziare le tante “sfaccettature” del problema.
Per parlare di skill shortage dobbiamo metterci d’accordo sulla terminologia: cosa intendiamo puntualmente con skill shortage e rispetto a quali tematiche se ne parla in Italia?
Le carenze di competenze si riferiscono normalmente alla mancanza di professionisti nel mercato del lavoro e sono misurate da posti vacanti difficili da riempire. Più precisamente, si verifica una carenza quando i datori di lavoro hanno difficoltà nell’assumere professionisti, nonostante offrano salari a livello di mercato (studio “Mind the Gap”, 2019). Ancora citando lo studio, si può dire che l’aumento dei salari per questi lavori suggerisce che la domanda è maggiore dell’offerta e che è aumentata molto rapidamente. C’è anche una componente a livello dei sistemi educativi che devono cambiare i programmi formativi e naturalmente dotarsi di professori preparati. Infine, le prove nazionali e i risultati delle interviste suggeriscono che, almeno in alcuni paesi, esistono attualmente problemi che impediscono un corretto abbinamento tra l’offerta e la domanda di sicurezza informatica. I dati dei vari paesi Europei analizzati, variano in base al paese e alla fonte e non sono formalizzati in nessun altro studio specifico di livello nazionale. In effetti, la Commissione UE dovrebbe far avviare una indagine appropriata a questo fine. Infine, con i dati attuali è estremamente difficile capire quale specifico tipo di dominio di cyber security o di area specialistica è più in difficoltà, poiché le definizioni variano troppo tra i diversi report in circolazione.
In ambito sicurezza informatica che connotati ha lo skill shortage dato che anche la cybersecurity si è estesa con sezioni specifiche e aree di specializzazione?
In generale abbiamo bisogno di una chiara distinzione tra sicurezza IT, sicurezza delle informazioni e certificazioni di sicurezza informatica e si rende necessario in primo luogo coinvolgere le risorse umane per far capire loro la differenza. Inoltre c’è un problema con le descrizioni dei posti di lavoro rispetto alle certificazioni possedute e qui si osserva un gap importante perché non c’è modo di mappare i due in maniera strutturata, ma ci sono anche indicazioni di come le società di certificazione ignorino il segmento junior del mercato. Sul fronte della formazione l’uscita dalle università con determinate lauree non necessariamente definisce e/o garantisce le competenze possedute mentre per chi lavora già in azienda sarebbe necessario avere una formazione tale da generare un numero maggiore di dirigenti di livello C che siano anche esperti informatici. Ma certamente esiste anche un problema a livello di fornitori di formazione, che dovrebbero essi stessi dotarsi di un apprendimento metodologico e formale.
Sul fronte delle specializzazioni potremmo assistere ad aree emergenti come la specializzazione di un “Compliance manager” (a causa di NIS DIR, GDPR) o “l’avvocato di AI”. A questo proposito l’istruzione e l’apprendimento integrati trasversali (o la multidisciplinarità) sono requisiti sempre più importanti. In ambito risk management invece dovremmo distinguere tra “admin” e “sviluppatore” e fra la prima linea di difesa vs la seconda linea di difesa.
I numeri dello skill shortage colpiscono sempre per l’estensione del fenomeno, ma lei che vede anche il contesto internazionale in ECSO che confronto può fare con l’ambio europeo rispetto a questo tema?
Nel 2017 è stato commissionato uno studio dall’organismo di certificazione della sicurezza delle informazioni (ISC)², con un’indagine su 19.000 professionisti della sicurezza informatica in tutto il mondo, compresi circa 3.700 intervistati in Europa. È risultato che sebbene le organizzazioni europee avessero gli obiettivi di assunzione più ambiziosi al mondo, due terzi avevano pochissimi professionisti della sicurezza informatica e che l’Europa si sarebbe trovata di fronte a un deficit di competenze di 350.000 lavoratori entro il 2022. Questo valore è stato utilizzato da Commissione Europea nella sua revisione della Strategia europea per la cibersicurezza di settembre 2017, ma purtroppo senza sviluppare una strategia per colmare questa lacuna.
Cosa fare per ridurre rapidamente lo skill shortage per aziende e imprese ma anche per la PA?
Le aziende possono cercare di acquisire personale in base agli skill, ma primariamente si devono aiutare le risorse umane ad identificare le competenze necessarie e concentrare gli sforzi per far incontrare le esigenze di lavoro a coloro che desiderano entrare nel dominio della sicurezza informatica. Si rende inoltre necessario lo sviluppo e l’educazione continua formalizzata dalle aziende perché i CISO non avranno il tempo di farlo al di fuori della propria organizzazione, mentre per i tirocinanti / e gli junior è cruciale fare formazione “sul posto di lavoro”. Oggi il freno è anche il fattore soldi coniugato al tempo, che si rende necessario per generare un esperto: ci vuole un periodo significativo per formare, far fare esperienza e poi effettuare una sintesi delle skill. Sottolineo anche l’esigenza di avere più donne in questi posti di lavoro, e in questo senso l’ECSO ha avviato l’iniziativa Women4Cyber che si propone di sviluppare soluzioni e risorse per le donne per far loro considerare una carriera nella sicurezza informatica.
A tal proposito che altre iniziative ha in corso ECSO su queste tematiche?
Abbiamo pubblicato un documento di analisi lo scorso anno esaminando i diversi schemi di certificazione professionali esistenti, il “WG5 ANALYSISInformation andCyber Security Professional Certification”.
È nostra opinione che manchi ancora qualcosa di specifico per il cyber e per questo, il documento ha proposto una sorta di framework per la professione di sicurezza informatica.
Al momento stiamo lavorando per identificare i profili di lavoro esistenti nella sicurezza informatica e abbinarli agli obiettivi di apprendimento necessari (competenze, abilità, conoscenze, ecc.) guardando gli strumenti per verificare quelle competenze e conoscenze. Ciò potrebbe portare a una sorta di “tassonomia del lavoro” che si possa mostrare ai dipartimenti delle risorse umane per aiutarli a trovare i candidati giusti e di conseguenza, assumerli. Purtroppo, le aziende che fra loro sono in competizione hanno sempre un desiderio limitato di lavorare insieme ed inoltre manca una visione strategica d’insieme a livello nazionale o europeo, ma noi stiamo procedendo per fornire uno strumento metodologico affidabile.
