Le situazioni di emergenza offrono l’opportunità di accelerare nella sperimentazione di soluzioni nuove. Se saremo capaci di sfruttare questa spinta all’innovazione dopo l’emergenza sanitaria, il Coronavirus non avrà lasciato solo “macerie”
«Manager e titolari d’azienda non sono oggi preparati sul tema della cybersecurity, e in generale della sicurezza ICT». Garibaldi Conte, imprenditore e membro del Comitato tecnico scientifico di CLUSIT, non fa sconti quando parla di coloro che guidano grandi e piccole aziende. «Per anni, hanno visto questa tematica più come un costo che come un elemento abilitante per il business». Un concetto condiviso solo sulla carta. Semplicemente perché tutta questa abilitazione al business in molti non l’hanno mai vista. Al contrario, la sicurezza informatica continua a essere considerata come un freno all’agilità e alle prestazioni aziendali. Diciamo così: «La sicurezza informatica più che abilitare il business, lo protegge. Perché non posso pensare di sfruttare i vantaggi della digitalizzazione senza proteggere i servizi che abilita. Non solo non ottengo i risultati desiderati ma rischio di vanificare gli investimenti fatti».
La logica è semplice: la digitalizzazione non può essere avulsa dalla sicurezza dei servizi che offro. La realtà è che senza il bastone, molti asini neppure vedono la carota. «Con l’introduzione di normative sempre più stringenti, l’attenzione è sicuramente aumentata. Ma non ha ancora raggiunto un livello adeguato» – osserva Conte. Non basta avere un’idea più o meno vaga dei rischi e delle minacce. Le competenze e la sensibilità che si richiedono sono più alte. «Paradossalmente, nei programmi di awareness sulla sicurezza, i soggetti più ostici sono proprio i componenti del management, che generalmente partecipano poco a tali iniziative e senza dare il giusto supporto» – conferma Conte. Quando invece la sicurezza informatica dovrebbe essere vissuta come la precondizione necessaria per sopravvivere.
MANCANO I PROFESSIONISTI
«Lo sviluppo esponenziale di Internet e dei servizi online e l’aumento degli attacchi cyber – praticamente raddoppiati dal 2014 – hanno reso la tematica sicurezza informatica sempre più importante» – spiega Conte. «Lo skill shortage risiede in questa escalation che ha reso la cybersecurity una vera a propria emergenza a livello mondiale». In controtendenza rispetto a molte altre aree dell’IT, l’area della cybersecurity rappresenta una delle principali in termini di domanda di professionisti IT e di competenze aggiornate. Risk management, infrastructure security e security design le aree più scoperte. IDC stima una domanda in crescita a livello mondiale dell’8% fino al 2023 per i professionisti della cybersecurity da parte delle organizzazioni di tutti i settori.
Secondo i calcoli del Consorzio di certificazione di sicurezza (ISC)², che riunisce esperti a livello internazionale, saranno necessari almeno 4 milioni di professionisti per colmare l’attuale gap di competenze. Grosso modo, una volta e mezzo gli attuali addetti del settore. Il 65% delle organizzazioni lamenta una carenza di personale addetto alla sicurezza informatica ed è la principale preoccupazione tra gli intervistati (36%). Negli USA, a fronte di circa 800mila addetti, secondo lo studio mancherebbero circa 500mila specialisti della security. In Europa, la situazione non è diversa. Il divario delle competenze in materia di cybersicurezza è quasi raddoppiato nell’ultimo anno, con un gap di poco meno di 300mila (291.000) professionisti di sicurezza necessari per soddisfare la domanda delle imprese. In Italia, in base alla recente ricerca condotta da IDC, la cybersecurity rappresenta per circa il 50% delle aziende intervistate, in tutti i settori industriali, inclusa la pubblica amministrazione, l’area principale nella quale si stanno ricercando competenze. La formazione scolastica è uno dei modi per supplire alla carenza di personale. L’Europa è scesa in campo con una serie di programmi volti a mappare il bisogno di competenze nei vari paesi. Uno degli obiettivi di CyberSec4Europe, consorzio di ricerca con 44 partecipanti che coprono 21 stati membri dell’UE e paesi associati, è di identificare e dare la priorità alle competenze informatiche necessarie a livello universitario e di studiare i curricula di sicurezza informatica esistenti. Sulla base dell’analisi dei dati dell’indagine raccolti, la mappatura si concentra sull’individuazione delle competenze cyber, coperte dai singoli Stati membri e dall’UE nel suo insieme. Però ci vorrà tempo.
CONSAPEVOLEZZA DELLE AZIENDE
In questo contesto le aziende sanno di occupare in molti casi una posizione sfavorevole. «La mancanza di personale esperto è la principale preoccupazione tra gli intervistati. Più ancora della mancanza di risorse per svolgere efficacemente il proprio lavoro». Per il 51% dei professionisti della security la propria organizzazione è a rischio a causa della carenza di personale cyber. «La sicurezza informatica sempre di più diventa una delle principali priorità di business per le aziende europee» – ci dice Diego Pandolfi, research & consulting manager di IDC Italia. «Dimostrando altresì, come vi sia un’elevata consapevolezza dell’importanza che quest’area ricopre per la continuità del business, per godere di una buona reputazione da parte del mercato e per avere quindi successo nell’economia digitale contemporanea». Dai dati in possesso di IDC, emerge che per circa il 40% delle aziende italiane intervistate la cybersecurity sarà la principale area tecnologica per gli investimenti nel 2020. «Un dato – osserva Pandolfi – che mostra una forte presa di coscienza da parte delle organizzazioni italiane, fortemente impegnate oltre che su progetti tecnologici di sicurezza anche su programmi di awareness interna rivolti ai propri dipendenti».
TECNOLOGIA E OUTSOURCING
Nel 1930, l’economista John Maynard Keynes preconizzò una diminuzione drastica del tempo trascorso al lavoro. Entro la fine del secolo, grazie alla tecnologia, in paesi come la Gran Bretagna o gli Stati Uniti la settimana lavorativa sarebbe arrivata a 15 ore. La previsione non si è avverata ma comprare tecnologia, rimane uno dei modi di mitigare gli effetti della carenza di competenze. L’intelligenza artificiale da qualche tempo rappresenta un viatico irresistibile per alimentare le speranze di riuscire a far fronte al cybercrime e più in generale alla mancanza di personale. Secondo una ricerca condotta lo scorso anno dall’Osservatorio Information Security & Privacy del Politecnico di Milano, la stragrande maggioranza del campione intervistato (81%) guardava all’AI come a un’opportunità per automatizzare il processo di raccolta e analisi dei dati in vista dell’identificazione di minacce e vulnerabilità a supporto delle decisioni. In effetti, la capacità dell’AI di riconoscere pattern e anomalie nell’analisi di enormi quantità di dati è un dato di fatto. Non è ancora in grado di tracciare un intrusore al posto di un agente della postale, ma è più veloce di qualsiasi essere umano nell’individuare un log anomalo tra i milioni generati da un server di posta. Con una percentuale di errore vicina allo zero. Attraverso l’automatizzazione di taluni task, l’AI può contribuire a migliorare non solo l’attribuzione delle priorità alle aree di rischio, ma anche le risposte agli attacchi, facendo leva sulla conoscenza condivisa e l’autoapprendimento, e riducendo il carico di lavoro degli analisti.
Nel campo della detection, l’impatto ha determinato il progressivo abbandono delle tecnologie basate sulle firme. La capacità di generalizzazione dell’AI attuale però è strettamente connessa all’assunto che anche in futuro i casi di scostamento non saranno troppo diversi da quelli appresi. Gli attacchi senza alcuna relazione con il passato, i cosiddetti cigni neri, non sono al momento prevedibili. Rimangono invece fondamentali l’analisi comportamentale e le competenze degli esperti, indispensabili per governare le difese e le risorse di sicurezza di ogni organizzazione. «Nei prossimi anni, tecnologie avanzate di machine learning e AI permetteranno di automatizzare le attività maggiormente ripetitive relative al monitoraggio e alla detection, ma anche quelle di implementazione delle azioni di remediation» – conferma Pandolfi di IDC. «Ciò consentirà di liberare personale allocato sui task a basso valore che potrà essere spostato su attività più strategiche, dove l’intelligenza umana è fondamentale». In questo passaggio, il ruolo della formazione sul personale IT già presente in azienda sarà fondamentale.
Tuttavia, il grado di fiducia del management e dell’IT nelle tecnologie di sicurezza è correlato a cultura e competenze interne. «Il fattore culturale e la presenza di adeguate competenze all’interno delle aziende condizionano la percezione e la fiducia che management e IT mostrano nei confronti della tecnologia» – spiega Pandolfi. «Nei prossimi anni, aumenterà l’utilizzo di machine learning e AI per le attività di monitoraggio, detection e gestione di eventuali incidenti. Per percepire il reale valore che queste tecnologie possono fornire, sarà necessario disporre di una visione aggiornata dell’evoluzione in atto nel mercato della cyber security. Di pari passo – sottolinea Pandolfi – risulta fondamentale disporre dei professionisti adeguati in grado di operare con tali soluzioni».
Il ricorso all’outsourcing è un’altra strategia che permette alle aziende di affidare parte delle proprie attività in ambito sicurezza informatica a fornitori specializzati. Una scelta – spiega Pandolfi – valutata spesso dalle organizzazioni che preferiscono affidare la protezione dei propri sistemi a partner fidati, anziché intraprendere al proprio interno percorsi di formazione o di assunzione di nuovo personale. Ogni realtà deve valutare il trade-off tra le due scelte possibili, o prevedere un mix di entrambe, in base a fattori quali budget, competenze interne presenti, normativa di settore, e così via. «La carenza di professionisti nell’ambito della cybersecurity contribuisce a un aumento dei salari medi, con il rischio di non permettere l’accesso a tali profili da parte delle aziende che non dispongono di risorse economiche adeguate, generando una disparità già evidente tra grandi aziende e PMI. Nelle realtà di maggiori dimensioni gli investimenti in sicurezza informatica sono considerati strategici, nonostante si evidenzi una carenza di risorse finanziarie. In quelle più piccole, sembra mancare in manager e imprenditori una specifica sensibilità al tema. Nelle prime, a incidere maggiormente è l’aspetto budget. Mentre nelle seconde, è il fattore culturale a incidere in maniera preponderante. Che si va ad aggiungere alla già citata mancanza di risorse economiche» – conclude Pandolfi.
FORMAZIONE ALLA CYBERSECURITY
Nel 1956, il ministro del Lavoro degli Stati Uniti, lamentava una grave mancanza di lavoratori qualificati. Un grande problema per il paese, che l’avanzare della tecnologia avrebbe reso ancora più acuto. «Siamo stati troppo lenti a comprendere che la sicurezza economica dei lavoratori è strettamente correlata alle loro capacità. Non c’è nessuna politica, programma governativo, protezione sociale che può assicurare migliori risultati della crescita professionale». Nel nostro caso, l’educazione diffusa alla sicurezza cyber dei dipendenti, promuove un maggiore coinvolgimento in azienda, responsabilizza le persone e consente loro di dare un contributo importante alla sicurezza complessiva. A trarne i maggiori vantaggi, sono le organizzazioni capaci di rispondere senza tentennamenti a questa chiamata alle armi. Investendo in tecnologia, processi e persone.
In generale, è compito del CISO o del responsabile informativo (CIO) farsi promotori della causa dei programmi di formazione e istruzione. Ma tutti i vertici aziendali dovrebbero essere parte attiva per promuovere il successo di queste iniziative. E tutti i vertici possono ricavare dei vantaggi. Per l’amministratore delegato e il direttore finanziario (CFO), maggiori competenze in materia possono significare riduzione dei tempi di inattività a causa di un’interruzione (discontinuità operativa), un rischio più contenuto di perdere fatturato e minori sanzioni per eventuali violazioni di legge.
La realtà però è un’altra. La formazione non piace ai capi perché costa e non piace ai dipendenti perché distoglie da faccende più importanti. In molti casi, semplicemente non interessa. Imparare a usare SAP perché da maggio sostituirà il precedente gestionale ha un senso. Ma se il task è quello di imparare a riconoscere una email di spam oppure utilizzare certe precauzioni per mettere in quarantena un file prima di aprirlo, la faccenda cambia. Spesso si confrontano le stime circa il costo del crimine informatico per azienda per sottolineare come nella maggior parte dei casi le spese per la formazione e l’istruzione sono una frazione infima al confronto. In realtà, la mancanza di risorse rimane una delle prime ragioni della mancanza di investimenti in formazione. Secondo una ricerca condotta da IDC, i fattori che ostacolano le strategie e i programmi di sicurezza informatica sono diversi e spesso concatenati tra loro. «Ma innanzitutto a emergere è un chiaro problema legato alla carenza di risorse finanziarie, indicato da oltre il 30% delle imprese» – conferma Pandolfi. «La crescente complessità all’interno delle organizzazioni richiede investimenti importanti in tecnologie, in programmi di formazione e l’assunzione di nuovo personale. La carenza di budget, quindi, è sicuramente un fattore di criticità rilevante».
LO SCARSO SUPPORTO DEL MANAGEMENT
«Da varie survey effettuate sull’argomento, emerge che i fattori che impediscono o ritardano sia la diffusione che l’efficacia dei programmi di security awareness sono principalmente un supporto non adeguato del management che vede tali iniziative come un obbligo normativo più che una reale necessità» – ci dice Conte di CLUSIT. La stessa mancanza di collaborazione tra impiegati e personale aziendale è un altro fattore che mina l’efficacia di questi programmi. Accentuata dalla mancanza di personale preparato. «Gli interventi in azienda non sono accompagnati da programmi a lungo termine» – sottolinea Conte. «Spesso poi non hanno definito un framework di indicatori in grado di misurare e monitorare l’efficacia dei programmi stessi. Sotto la spinta normativa, gli investimenti sono aumentati. Ma continuano a essere comunque residuali rispetto al totale degli investimenti in ambito cybersecurity».
Naturalmente, le possibilità finanziarie di un’azienda hanno il loro peso. A fronte della penuria di talenti, le aziende con maggiori disponibilità finanziarie partono comunque avvantaggiate. Chi può permettersi di arruolare nel proprio team i talenti migliori potrà continuare a crescere. Le difficoltà maggiori saranno invece per tutte le altre. Tuttavia, per compensare la carenza di talenti della sicurezza IT, qualche misura può essere adottata. Anzitutto, le aziende possono far crescere i propri talenti interni. In base a una recente ricerca condotta da IDC in Italia, le aziende dichiarano che la principale strategia che stanno mettendo in atto per sopperire alla carenza di competenze è proprio quella relativa alla formazione interna, attraverso programmi di reskilling e upskilling dei dipendenti. Questa strategia è indicata da oltre il 40% delle realtà intervistate. «Spesso, i programmi di formazione promossi dalle aziende sono attività efficaci e non troppo onerose che permettono di arricchire le competenze già presenti in azienda, quindi già inserite e integrate nel clima aziendale e del quale ne condividono i valori. Sicuramente, questa strategia rappresenta una scelta vincente» – afferma Pandolfi di IDC. Sempre in base alla stessa ricerca, un’azienda su quattro dichiara che – in aggiunta alla formazione o in alternativa alla formazione – si rivolgerà a partner esterni e fornitori. Anche questa scelta è una strada percorribile e con i suoi vantaggi. I fornitori specializzati possiedono già al loro interno le competenze adeguatamente aggiornate in campo cyber security.
Come ci ha insegnato l’emergenza sanitaria da Covid-19, il coordinamento dal vertice della catena di comando è importante. Poi però che si tratti di ridurre al minimo le intrusioni, la perdita di dati o la diffusione di malware, la collaborazione di tutti i membri dell’azienda è fondamentale. Detto questo, per avere un impatto apprezzabile, la cyber education dei dipendenti deve essere ampia e continuata nel tempo. La formazione alla sicurezza deve essere improntata sull’educazione all’uso consapevole della rete, così come è indicato nel “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, documento redatto nel 2017 ma quanto mai attuale per sottolineare l’importanza della promozione della diffusione della cultura della sicurezza informatica, la formazione e l’addestramento attraverso l’organizzazione di una serie di iniziative per cittadini, imprese e personale della pubblica amministrazione. Le aziende per fare tutto questo non devono necessariamente sviluppare o mantenere in proprio i programmi di educazione cyber. Possono infatti trarre vantaggio dal materiale didattico messo a disposizione di enti di formazione e, pur se in misura variabile, dai programmi di aggiornamento e formazione promossi dai propri fornitori di sicurezza. Infine, l’educazione alla cybersecurity dovrebbe continuare anche al di fuori dei confini fisici dell’azienda. «La formazione dei partner aziendali – osserva Pandolfi – è un altro tema rilevante che deve essere affrontato, per non rischiare di vanificare investimenti fatti all’interno (sui propri dipendenti e su tecnologie) a causa di comportamenti poco consapevoli, per esempio, delle aziende della stessa filiera. Questo percorso è certamente più complesso e richiederà delle azioni di awareness in termini di “sistema” affinché i benefici possano essere realmente percepiti». Nel continuo sforzo per arginare la marea del crimine informatico, è reciprocamente vantaggioso per le organizzazioni collaborare all’educazione alla sicurezza informatica.
AZIONI GLOBALI DI DIFESA
La sicurezza informatica non sarà mai dominio esclusivo della tecnologia. Correlare prosperità economica di una nazione e qualità delle sue infrastrutture cyber non è un azzardo. Al contrario, per ogni paese migliorare la sicurezza cyber nella società, nel sistema industriale e nella pubblica amministrazione diventerà sempre più stringente. La mancanza di professionisti della security rende più vulnerabili aziende, organizzazioni e PA. La tecnologia d’altro canto potrà sopperire solo in parte a questa mancanza. Perciò la formazione rivestirà un ruolo centrale sia per la difesa che per lo sviluppo del Paese.
Sviluppare nuove capacità e nuovi strumenti per migliorare la sicurezza cyber del sistema Paese rappresenta una sfida della massima importanza per la crescita e per il benessere e la sicurezza di tutti. La cybersecurity in quest’ottica deve essere improntata sull’educazione all’uso consapevole della rete, e all’acquisizione di una serie di conoscenze. Più di tutto però – come ha sottolineato, parlando a Davos del futuro dell’istruzione Jack Ma, il fondatore di Ali Baba, il sito di e-commerce che per volumi di vendita straccia Amazon ed Ebay insieme – è importante distinguerci dalle macchine, imparando a fare cose che ci rendono umani. Come ampliare le capacità di analisi dei dati e delle informazioni in modo critico; quella di valutare le fonti e l’attendibilità delle stesse; la comprensione del significato e delle implicazioni della condivisione involontaria o della creazione di informazioni false; la capacità di migliorare l’attitudine ad affrontare problemi complessi e la conoscenza dei principi che permettano di collegare i saperi e dare loro un senso. Le situazioni di emergenza offrono l’opportunità di accelerare nella sperimentazione di soluzioni innovative. Se saremo capaci di sfruttare questa spinta all’innovazione, terminata l’emergenza sanitaria, il Coronavirus non avrà lasciato solo macerie. È un fatto che pur in una situazione di estrema difficoltà il bisogno di reagire ci sta aprendo a possibilità e strumenti prima poco o affatto utilizzati. Prendiamo il lavoro agile, da remoto». La tecnologia ci sta dando una mano. Allo stesso tempo, sempre più persone stanno toccando con mano l’importanza di proteggere i dati che viaggiano sulla rete» – afferma Conte di CLUSIT. «Per questo la cybersecurity diventerà ancora più importante e così la formazione».
Il progredire della tecnologia cambierà il tipo di competenze cyber richieste agli esseri umani. Se saremo pronti a cogliere questa opportunità assisteremo a un miglioramento che potrà contribuire ad assicurare una maggiore protezione della privacy dei cittadini e allo stesso tempo delle infrastrutture critiche. Serve uno sforzo globale per difendere le nostre economie dall’accelerazione delle minacce. La formazione e l’istruzione alla cybersecurity sono una parte importante di tale sforzo.