Investire in formazione per rispondere all’impennata di attacchi cyber e proteggere il valore aziendale. Mercato della sicurezza in crescita, ma in Italia mancano i professionisti. La sfida delle competenze e la necessità di una cultura organizzativa resiliente

La formazione rappresenta una delle risposte più efficaci che le aziende possono mettere in atto per rispondere all’impennata di attacchi cyber. Serve una solida e diffusa cultura della sicurezza informatica in grado di incidere sulle capacità organizzative e ridurre i rischi. La carenza di competenze in ambito security affligge da diversi anni le aziende di tutti i settori. Secondo Roberto Baldoni, direttore generale dell’Agenzia per la cybersicurezza nazionale (ACN), in Italia mancherebbero circa 100mila figure professionali per coprire le necessità più immediate. Anche se la cifra non sarebbe il risultato di un calcolo preciso. Il problema non è solo italiano. Secondo ISC2, l’associazione internazionale che riunisce i professionisti della sicurezza informatica, mancherebbero a livello globale più di quattro milioni di specialisti. «A preoccupare è il gap in costante aumento» – spiega Diego Pandolfi, consulting manager – Custom Solutions di IDC Italia. «I CIO segnalano come siano molte di più le posizioni aperte nell’area della sicurezza informatica rispetto ai professionisti disponibili. Uno shortage che deriva dalla crescente domanda di professionisti in grado di gestire nuove architetture IT e nuovi modelli operativi, in seguito all’adozione di tecnologie come il cloud o l’Internet of Things, e di nuovi modelli di lavoro e di offerta, sempre più basati sul digitale e su servizi connessi, che hanno dilatato la superficie di attacco». Per la verità non mancano solo le competenze. Anche le risorse per pagarle (o la volontà di farlo) scarseggiano. I livelli salariali nel settore sono tra i più bassi tra i Paesi OSCE. I nostri cervelli migliori vanno all’estero dove sono pagati meglio e possono fare esperienze più qualificanti. La PA può provare a richiamarne alcuni e ad attrarne altri con stipendi più allineati, ma nel privato solo una ristretta minoranza di aziende può permettersi di retribuire adeguatamente un professionista della sicurezza.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

PIÙ INVESTIMENTI IN FORMAZIONE

«La formazione, specialistica per l’IT e trasversale a tutti i dipendenti, rappresenta una delle risposte più efficaci che le aziende possono mettere in atto» – afferma Pandolfi. In base a una recente indagine condotta da IDC, la cybersecurity awareness emerge come una delle principali priorità di investimento in ambito security per il 42% delle aziende italiane. «Alla pari delle tecnologie – continua Pandolfi – le persone devono essere costantemente aggiornate sui principali rischi a cui oggi è soggetto il business, sulle tecniche di attacco più diffuse e quelle emergenti, e su come prevenire questi rischi con soluzioni di sicurezza e comportamenti adeguati». La formazione in ambito sicurezza, oltre ai professionisti IT, deve coinvolgere in modo trasversale tutti i dipendenti dell’azienda, con l’obiettivo di sensibilizzare e diffondere cultura e consapevolezza. Il settore, secondo i dati IDC, cresce in Italia tra il tre e il quattro per cento all’anno.

«La maggior parte delle aziende si affida a fornitori specializzati, in grado di erogare servizi di training specialistici, innovativi e coinvolgenti. Nel corso degli ultimi dodici mesi, stando alle ultime rilevazioni di IDC condotte a livello europeo, il 65% delle aziende ha acquistato servizi di education e security training da provider esterni» – spiega Pandolfi.  L’area della cybersecurity e della data protection emerge come quella principale nella quale le aziende faticano a trovare professionisti. Il 44% delle aziende italiane riconosce la carenza di competenze come una delle principali sfide, che impatta in modo significativo la loro capacità di migliorare le strategie di protezione del business. «Alla carenza di dipendenti adeguatamente formati – prosegue Pandolfi – le aziende associano la possibilità di registrare una contrazione dei ricavi, perdere terreno in termini di competitività, e di non essere in grado di rispondere adeguatamente alle richieste dei clienti o di non raggiungere i propri obiettivi in termini di crescita e innovazione».

Le priorità che guidano le aziende verso la formazione sono tre: la necessità di un continuo upskilling e reskilling delle risorse, soprattutto in un’area in costante evoluzione come quella della sicurezza informatica; l’urgenza di stare al passo con le rapide evoluzioni degli attacchi; e l’esigenza di implementare architetture di protezione innovative basate sulle ultime tecnologie disponibili (cloud, Zero Trust, OT security).

Leggi anche:  Come AI e ML stanno trasformando la cybersicurezza OT

Con il progressivo aumento di device connessi alla rete e di utenti che devono accedere alle reti aziendali da remoto, la formazione del personale IT deve essere costantemente aggiornata. Questa esigenza di aggiornamento si sta focalizzando in particolare su alcuni ambiti tecnologici: cloud security, OT security, IoT security, tecnologie di data protection (Data Loss Prevention, data discovery, encryption, key management), modelli di security analytics e intelligence, e principi di security by design e privacy by design.

I professionisti dell’area IT security – continua Pandolfi – dovranno infatti essere sempre più in grado di gestire queste tecnologie, comprendere e abilitare nuovi modelli architetturali, come SASE o Zero Trust, e condurre analisi approfondite su enormi quantità di dati per rilevare tempestivamente eventuali intrusi nella rete o anomalie nei comportamenti degli utenti, attraverso servizi di security monitoring e threat intelligence».

Su scala europea, la formazione – secondo gli analisti di IDC – si focalizza su tre principali tipologie di programmi. La prima è tecnologica ed è indirizzata ai professionisti IT e della sicurezza con l’obiettivo di sviluppare competenze specifiche non solo su alcune tecnologie e modelli architetturali, ma anche su ambiti trasversali, come le analisi avanzate in tempo reale (analytics, intelligence, automation), per individuare tempestivamente e con le tecniche più adeguate eventuali intrusi o attacchi in corso. La seconda tipologia di programmi riguarda le metodologie di collaborazione efficace, l’aggiornamento normativo, la compliance e i comportamenti da adottare per scambiare in sicurezza dati e informazioni con altre funzioni aziendali.

La terza tipologia si concentra sulle attività di “cyber range” per condurre esercizi realistici di simulazione di attacco per verificare la validità delle strategie di protezione e mettere a punto procedure di difesa adeguate e su programmi di sensibilizzazione alla sicurezza (awareness) per fornire a una vasta platea di collaboratori la conoscenza delle finalità e dei metodi adottati dagli aggressori e dei comportamenti più idonei da adottare per proteggere informazioni e sistemi aziendali.

COINVOLGENTE E RILEVANTE

La formazione per produrre effetti benefici deve soddisfare alcuni requisiti. Duole sottolinearlo, ma spesso viene vissuta come un supplizio. Troppo tecnica, soprattutto da parte di chi non ha un bagaglio di conoscenze adeguato a comprendere la tecnologia. Oppure poco coinvolgente, fatta di presentazioni lunghe e noiose che fanno rapidamente calare l’attenzione. Ancora: poco interattiva, lontana dall’incoraggiare la partecipazione attiva. E in ultima, analisi poco rilevante quando i destinatari non vedono una connessione diretta con le loro attività. La formazione deve essere personalizzata per soddisfare le esigenze specifiche dell’azienda e del proprio personale. Perciò anzitutto è fondamentale partire da una mappatura delle aree che necessitano di essere migliorate, documentare aspetti critici e fattori di vulnerabilità e individuare le metriche più adatte per determinare l’efficacia dell’intervento.

«Per funzionare, la formazione deve essere coinvolgente, interattiva, integrata nella cultura aziendale e supportata dalla leadership» – spiega Luisa Franchina, componente del Comitato direttivo di CLUSIT. «In questo modo, i destinatari saranno più inclini a considerare la formazione sulla sicurezza informatica come un valore importante e a seguirne le pratiche». Detto questo per rendere la formazione sulla sicurezza informatica coinvolgente, è meglio utilizzare metodi di formazione interattivi, come simulazioni, esercitazioni pratiche e giochi di ruolo. Tra le nuove metodologie di formazione e di awareness ci sono le cosiddette tecniche attive come le attività di gamification e serious game, le simulazioni table-tob e le simulazioni operative.

«Tutte queste tecniche – spiega Luisa Franchina – consentono un incremento della consapevolezza attraverso la partecipazione attiva dell’utente. Il punto di partenza sono processi, procedure e istruzioni operative già in vigore, che verranno testate durante le attività previste». Tra le tecniche passive rientrano invece i role play, i seminari e le serie TV. «Nei primi – continua Francina – gli utenti assistono a un evento simulato da attori che inscenano la gestione di un evento di sicurezza in un contesto reale. Nei seminari vengono presentate esperienze vissute direttamente dagli operatori, dai decisori finali o dalle vittime durante un evento critico o un’emergenza. Le serie TV sono costituite da episodi di breve durata che illustrano criticità tipiche del settore di riferimento».

In quest’ottica, le aziende si stanno orientando su programmi di formazione coinvolgenti per essere più apprezzati dai dipendenti e ottenere risultati migliori. I temi principali sono la data privacy, il phishing e il ransomware. IDC registra una crescita della domanda di servizi di formazione innovativi, erogati attraverso piattaforme digitali, in modalità video e che possono prevedere anche l’intervento di un formatore da remoto. La maggior parte delle aziende sta aumentando la spesa in formazione virtuale, riducendo quella in aula, sia per motivazioni legate a una maggiore flessibilità, sia per aumentare il coinvolgimento dei dipendenti attraverso contenuti audio/video. Ma anche per ridurre i costi. «Con la formazione virtuale – spiega Pandolfi di IDC Italia – le aziende possono erogare programmi di sensibilizzazione e consapevolezza più volte l’anno, in base agli aggiornamenti necessari, senza dover sostenere costi elevati per sessioni in aula periodiche» rileva Pandolfi.

Leggi anche:  Aumentano i furti d’identità: Finanziario, Manifatturiero e Istruzione i settori più colpiti

IL CEMENTO DELLA SICUREZZA

La cultura della sicurezza è come il cemento che tiene insieme i mattoni: deve essere plastico e di buona qualità per permettere alla struttura di assorbire i colpi.  Al di là di budget sovradimensionati – per chi se li può permettere – della rincorsa alla tecnologia e di formazione dedicata, la sicurezza informatica richiede la costruzione di una cultura della resilienza all’interno della propria organizzazione.

Numerosi studi dimostrano in modo convincente che la cultura della sicurezza diffusa riesce a incidere in modo profondo sulle capacità organizzative di ridurre i rischi. Aziende e organizzazioni sono vulnerabili agli attacchi informatici perché spesso lo sono le persone al loro interno. Impreparate se non addirittura ignare di fronte ai pericoli informatici. I comportamenti a rischio quasi sempre dipendono da cause legate ai comportamenti di singoli individui: ignoranza dei rischi informatici, errori o pratiche fraudolente e limitate capacità di decision-making. Tutte cause che però sono riconducibili alla mancanza di cultura organizzativa dell’azienda. «L’impostazione aziendale determina la cultura, la consapevolezza, la motivazione del personale» – spiega Luisa Franchina di CLUSIT. «Anche se poi ciascun individuo ha comportamenti propri che prescindono, purtroppo, da qualsiasi politica aziendale». Perciò non basta intervenire sul fattore umano. Occorre costruire una cultura aziendale della sicurezza informatica. Che non significa semplicemente raccomandare ai propri collaboratori una serie di comportamenti accettati o mettere in piedi qualche simulazione di un attacco di phishing. Misure intendiamoci sempre auspicabili in un Paese come il nostro nel quale la formazione è da sempre la cenerentola dei budget. L’obiettivo, invece, è indirizzare valori e comportamenti verso una cultura della sicurezza allineata a esigenze e valori espressi dall’azienda, terreno ideale per veicolare regole e policy.

Ogni organizzazione esprime una certa cultura che contribuisce alla formazione di un ambiente sociale e psicologico ben definito. Un sistema che informa i comportamenti rilevanti nello svolgimento di qualsiasi attività. Sicurezza compresa. La cultura organizzativa è una componente indispensabile per costruire un sistema solido sul quale basare tutta l’organizzazione dell’azienda. Sebbene si tratti di un elemento astratto, nella realtà trova innumerevoli applicazioni. Per esempio, quando responsabili, gruppi e individui credono che sia un loro compito importante quello di aiutare a mantenere sicura l’organizzazione e fanno di tutto per raggiungere questo obiettivo. Questi atteggiamenti guidano i comportamenti.

L’esempio deve arrivare dal management che ha la responsabilità di allineare valori e comportamenti dell’intera organizzazione alle esigenze di sicurezza espressi dall’azienda, mettendo in campo azioni specifiche per modellare gli atteggiamenti del proprio team. Pensiamo a quel che si fa – o non si fa mai abbastanza – in termini di costruzione di una cultura della sicurezza fisica negli ambienti industriali, dove sono numerosi i rischi fisici a cui sono esposti i lavoratori e dove la sicurezza è fondamentale. Qui per i responsabili della sicurezza – almeno sulla carta – dovrebbe essere agevole convincere i lavoratori della necessità di conoscere, prevenire i pericoli, assumere atteggiamenti responsabili e proteggersi, diffondendo così la sicurezza e auspicabilmente ridurre gli incidenti. Costruire una cultura organizzativa, facendo leva sugli stessi meccanismi, potrebbe funzionare anche per la sicurezza informatica.

La formazione è necessaria per favorire un atteggiamento corretto verso la sicurezza informatica dell’azienda. Ma non è di per sé sufficiente. La formazione fornisce un terreno comune e stabilisce aspettative, rende espliciti i comportamenti desiderati ma non cambia sufficientemente valori, atteggiamenti e credenze. Non basta cioè per plasmare la cultura. Il supporto e l’intervento diretto dal management è invece la condizione necessaria. Secondo un filone consolidato di studi, le culture di successo sul tema della sicurezza informatica sono alimentate da uno o più leader che indirizzano le azioni necessarie per guidare i valori, gli atteggiamenti e le convinzioni dell’organizzazione. Secondo questa interpretazione un leader desidera promuovere comportamenti efficaci di sicurezza informatica come riconoscere un’e-mail di phishing o allargare la partecipazione a discussioni di gruppo su come proteggere l’azienda. Il suo obiettivo è di indirizzare entrambi i tipi di comportamento: quelli necessari per l’organizzazione e quelli che sono responsabilità del singolo. «La cultura si plasma soprattutto con l’esempio» – afferma Franchina.

Leggi anche:  Veeam e l’integrità dei dati: la base della vera data freedom

«Il management in questo ha una grande responsabilità. Cambiare la cultura organizzativa per sostenere la sicurezza informatica richiede un impegno continuo e a lungo termine da parte della leadership aziendale e di tutti i dipendenti. Ma è un investimento che può aiutare a prevenire comportamenti rischiosi e a proteggere l’azienda da potenziali minacce alla sicurezza informatica».

In quest’ottica, la valutazione delle prestazioni è importante per cambiare comportamenti e valori. Con la valutazione formale dei comportamenti di sicurezza, le persone comprendono cosa l’azienda si aspetta da loro, tenendo traccia dei risultati delle esercitazioni e informando preventivamente collaboratori e dipendenti. Bastone e carota sono i classici meccanismi utilizzati per orientare i comportamenti. Nell’esempio dell’esercizio di phishing, quando un partecipante fallisce nella prova una prima volta, potrebbe essere obbligato a seguire un corso supplementare per aiutarlo a superare le sue difficoltà. Scalando via via, fino a misure più severe. Per tutti coloro che invece superano le prove, un adeguato sistema di incentivi può di spianare la strada, come avviene nei percorsi di carriera. Quando in campo si riescono a mettere meccanismi intelligenti, le probabilità che le persone incappino in errori calano sensibilmente.

CYBER-CULTURA COMPETITIVA

«Rispetto al passato, la formazione nell’area della sicurezza informatica può rappresentare una reale fonte di vantaggio competitivo» – afferma Pandolfi di IDC Italy. «Per esempio, riducendo la possibilità che un attacco informatico vada a buon fine. Con un business sempre più distribuito e connesso anche le aziende che sono in grado di dotarsi delle tecnologie e dei modelli architetturali più all’avanguardia, se non possiedono dipendenti adeguatamente preparati a gestire eventuali attacchi vedranno svanire molti degli sforzi e degli investimenti effettuati». Non solo. Un’organizzazione che riesce a costruire una cultura di sicurezza efficace riduce i rischi di incidenti informatici che possono causare interruzioni nella produzione. Più in generale una cultura diffusa della sicurezza informatica contribuisce a ridurre i costi dell’organizzazione in diverse forme: dalla riduzione dei premi assicurativi al contenimento o azzeramento di multe e sanzioni per violazioni della sicurezza, dalla diminuzione dei costi per riparazioni e sostituzioni di attrezzature all’abbassamento delle perdite di prodotto.

Un’azienda che comunica a clienti e fornitori il suo impegno per la protezione dei dati, aumenta la fiducia e la reputazione dell’azienda. Anche perché gli stessi clienti e fornitori in modo sempre più esplicito si chiedono se l’azienda con cui operano sia sufficientemente sicura per fare affari. Se infatti la sicurezza informatica nel recente passato non rappresentava un fattore chiave nella scelta dei fornitori questo atteggiamento sta cambiando radicalmente. Quando sono nelle condizioni di poter scegliere, le aziende preferiscono fare affari al riparo da violazioni informatiche indotte. I fornitori a loro volta se riescono a dimostrare di aver raggiunto un livello di sicurezza superiore a quello di un concorrente possono beneficiare di un vantaggio competitivo. Infine, un ambiente di lavoro più sicuro e protetto può aumentare la soddisfazione del lavoro da parte del personale, riducendo assenteismo e abbandono dell’attività. Tutti questi fattori possono combinarsi per migliorare le performance di sistema, creando un vantaggio per l’intera organizzazione, aiutandola a distinguersi dalla concorrenza.


Cyber Guru: Rischio cyber e fattore umano

Eustema: Blockchain per i Patronati

Kaspersky: La gamification nella formazione

Maticmind: L’analisi del rischio in primis

Zscaler: Zscaler, soluzioni al servizio del lavoro agile