Mancano i professionisti della cybersicurezza, e non è una novità. Quello che è nuovo sono le soluzioni prospettate per colmare il divario. Si guarda all’inclusione, per esempio femminile. Ma, soprattutto, sono in tanti a premere per l’abbassamento delle soglie di entrata nel settore. Studiare va bene, ma non troppo.

Il rischio è di ritrovarsi troppo competenti (sulla carta) ma privi di esperienza. Un film già visto, che adesso sta arrivando anche alla cyber security. Meglio la pratica. Spiegarlo agli uffici del personale, però, è un altro paio di maniche. Vediamo.

Dati espliciti

Sono 5,5 milioni i professionisti della cyber security operativi a livello globale a fine 2023, con una crescita dell’8,7% rispetto al 2022, pari a 440.000 posti di lavoro circa.

Ma sebbene si tratti della cifra più alta mai raggiunta, il divario tra la forza lavoro di cui il settore necessita e quella effettivamente disponibile ha toccato la soglia record di quattro milioni di lavoratori.

I dati arrivano dal Cybersecurity workforce study della Ics2, organizzazione no profit nata negli Stati Uniti negli anni Ottanta per rispondere alla mancanza di uno standard nelle certificazioni informatiche.

La ricerca è stata condotta su un campione di 14.865 persone impiegate nel settore della sicurezza informatica.

Tra i problemi di scenario emersi nella rilevazione spiccano l’incertezza economica, le nuove sfide dell’intelligenza artificiale, il quadro regolatorio frammentato.

Corsi e master, lo speciale di Cybersecurity360

A livello di impresa, risalta la differenza tra le competenze desiderate e quelle effettivamente disponibili sul mercato del lavoro, cui si aggiunge il fatto che, nonostante l’aumento degli attacchi informatici, molti tra i professionisti consultati dichiarano di aver assistito a sforbiciate organici e budget: ben il 92% delle organizzazioni, riporta lo studio, sarebbe sotto organico in termini di cybersicurezza.

“Dobbiamo certamente festeggiare il numero record di nuovi ingressi nel settore – dice a The Outlook Clar Rosso, amministratrice delegata di Isc2 -. Ma la realtà urgente da considerare è che c’è bisogno di raddoppiare la forza lavoro per proteggere adeguatamente le organizzazioni e i loro asset critici”.

Dall’Italia arriva una conferma. “Una mancanza di professionisti nel settore risulta anche a noi” dice Alessandro Piva, direttore dell’Osservatorio Cyber security e Data protection del Politecnico di Milano.

Le strategie per colmare il divario

Come colmare il divario, allora? Lo studio dell’Ics2 offre qualche spunto. Chiedendo ai professionisti del settore cosa abbia più appeal nei potenziali candidati, emerge come l’esperienza sia più considerata rispetto all’educazione formale: meglio figure senior tra i colleghi che persone un dottorato (ma prive di contatto con la realtà aziendale) per l’86% degli intervistati; un’esperienza di base nella cybersicurezza sovrasta, invece, le lauree triennali per il 70%.

“Se non abbassiamo le barriere all’ingresso nel mondo della cybersicurezza e ampliamo la nostra idea di cosa definisce un buon candidato, i quattro milioni di professionisti che mancano diventeranno sempre di più” riprende Rosso. “Aggiungerei che le job description spesso non spiegano bene cosa è necessario per coprire con successo i ruoli per cui si cercano collaboratori”.

Solo il 25% di donne. E resta il divario salariale

Abbassare i requisiti, quindi, può essere una strada, per quanto contro intuitiva. Ma anche – e non solo nel settore della sicurezza digitale – includere la componente femminile. “Oggi la media globale è del 25%, ma in alcuni Paesi si scende anche al di sotto meno” dice Rosso.

Non solo. “Il nostro studio dell’anno scorso ha rivelato che il 30% delle professioniste si sente discriminata al lavoro, e alcune di loro mi hanno confessato di sentirsi a disagio, fuori posto, quando si trovano a essere l’unica presenza femminile nella stanza”.

“Si può certamente fare di più – conclude Rosso – non solo in termini di reclutamento: le organizzazioni devono compiere i passi necessari per mantenere e far avanzare le donne nel settore della cybersecurity. I nostri dati 2023 mostrano che le aziende con programmi focalizzati su diversità e inclusione hanno carenze di personale meno significative rispetto alle altre. Le azioni più efficaci? Direi rimuovere il divario salariale e individuare e superare le barriere all’assunzione femminile e all’avanzamento di carriera. I benefici di una cultura inclusiva, specialmente nella cyber security, sono molteplici cruciali: impegnarsi nell’inclusione significa imbarcare persone capaci di risolvere problemi, dotate di capacità analitiche e critiche, e disporre di una varietà di abilità e background che permettono di affrontare meglio le sfide e cogliere nuove opportunità. E’ questo il modo in cui dobbiamo rendere il sistema più sicuro, e dipende da tutti noi”.

Competenze più richieste, salgono IA e machine learning

Ma quali sono le competenze più desiderate dalle aziende? Per la prima volta, dice Rosso, “intelligenza artificiale e machine learning sono tra le prime cinque in classifica, quando solo l’anno scorso non entravano nemmeno nella top ten. E anche se circa la metà di chi ha risposto al nostro questionario crede che la IA diventerà la minaccia più grande nel prossimo paio d’anni, tanti ne intravedono anche i benefici”.

Piva mostra una posizione leggermente diversa sui temi della formazione. Se è vero che “una buona preparazione alle scuole superiori può essere un punto di partenza per una carriera nel settore e una propensione agli studi tecnici può aiutare al riguardo” dice, si mostra più scettico sul fatto di limitarsi all’esperienza. “Sicuramente è un settore dove curiosità e passione fanno la differenza e laddove ci siano profili dotati di seniority significativa il fatto di non guardare troppo ai titoli può reggere. Ma le credenziali di studio sono la base”.

Competenze qualificate introvabili: i consigli per le aziende europee

Il problema è che per creare una squadra è necessario amalgamare livelli diversi. “In questo settore come in altri non sono poche le aziende che pensano di poter risolvere i problemi assumendo un paio neolaureati e inserendoli subito in organico. La disillusione, però, arriva rapidamente. Qualche specialista scafato ci vuole per avviare un progetto. La fase dei neolaureati arriva in un momento successivo, quando ci si è già strutturati un minimo”.

“Sono comunque ancora pochi i ragazzi che si laureano in queste discipline” aggiunge Piva, senza contare che “gli studenti italiani sono molto contesi da Paesi in cui si percepiscono retribuzioni due o tre volte maggiori. Si può comprendere che un giovane che vuole fare esperienza ed essere riconosciuto decida di partire”.

Per dove? “Le mete preferite sono i Paesi dove le barriere linguistiche contano meno. Il Regno Unito in particolare: l’inglese ormai è diffuso, e Oltremanica c’è anche un ecosistema che valorizza queste figure. Francia e Germania risentono, invece, di una barriera linguistica, in parte compensata dal vantaggio di essere più simili a noi dal punto di vista culturale. Anche lì le retribuzioni sono più alte”. E questo è uno stimolo sufficiente per mollare gli ormeggi.