Fabio Buccigrossi di ESET Italia spiega come anche dalla crisi si possono ricavare delle opportunità per colmare la carenza di competenze nella cybersecurity.

Carenza di competenze

Il tema della carenza di competenze nel campo della cybersecurity è noto e discusso già da tempo, ma cosa possono fare le organizzazioni per sfruttare l’attuale fluidità del mercato del lavoro e attrarre nuovi talenti della cybersecurity? Negli ultimi anni a questa problematica si è aggiunto il fenomeno delle ‘grandi dimissioni’ che coinvolge tutti i settori a livello mondiale. Fenomeno che ha avuto origine dalla crisi sanitaria globale dovuta alla pandemia e che, in un periodo di sconvolgimento del mercato del lavoro, spinge un elevato numero di lavoratori a rivalutare il proprio percorso professionale e a lasciare il proprio impiego in cerca di nuovi orizzonti e di un diverso equilibrio tra vita professionale e personale.

In tutto il mondo, la carenza di talenti e di competenze si misura ormai in milioni di persone.  A prima vista, questa sembrerebbe una brutta notizia per settori come quello della cybersecurity, dove la richiesta di competenze è già molto alta. Un recente studio statunitense afferma che quasi tre quarti (72%) dei dipendenti che lavorano in ruoli IT stanno pensando di lasciare il proprio lavoro nei prossimi 12 mesi.

Tuttavia, accantonando possibili scenari pessimistici, le aziende potrebbero trasformare una difficoltà in un’opportunità, sfruttando la volatilità del mercato del lavoro con adeguate politiche di assunzione in grado di attrarre nuovi talenti. In questo modo, le aziende sarebbero in condizione di migliorare la loro postura di sicurezza e perseguire una digital transformation sicura, oltre a incoraggiare l’innovazione come motore essenziale del progresso.

Perché la sicurezza rappresenta una sfida di competenze

Un nuovo studio condotto dall’ente di settore ISACA (Information Systems Audit and Control Association – con più di 100.000 associati in oltre 182 nazioni ed è l’organizzazione leader nella IT Governance, Security, Controllo ed Assurance), che raccoglie le opinioni di oltre 2.000 professionisti della sicurezza informatica in tutto il mondo, afferma che il 63% degli intervistati ha posizioni di sicurezza scoperte, con un aumento dell’8% rispetto all’anno precedente. Il 62% ritiene che i propri team registrino una carenza di competenze e un quinto afferma che per trovare candidati qualificati per le posizioni aperte sono necessari almeno 6 mesi. Ma non è tutto. Circa il 60% degli intervistati riferisce di avere problemi a trattenere il personale, con un aumento del 7% rispetto all’anno precedente. Tra i motivi principali per cui i talenti rassegnano le dimissioni c’è il recruiting da altre aziende (59%), la retribuzione non adeguata (48%), scarse opportunità di avanzamento di carriera (47%), elevati livelli di stress (45%) e scarso supporto da parte del management (34%). E questi risultati sono in linea con altre ricerche di settore. Secondo (ISC)², la carenza di competenze in materia di cybersecurity a livello globale è pari a 2,7 milioni di lavoratori, di cui quasi 200 mila in Europa. Nel Regno Unito, la metà dei responsabili della sicurezza ha dichiarato di recente che sta pensando di dimettersi a causa di stress e burnout.

Un brutto momento per perdere competenze

In un momento in cui il 43% delle organizzazioni dichiara all’ISACA di aver subito un maggior numero di attacchi lo scorso anno, la carenza di competenze non fa che renderle meno sicure. Secondo il report (ISC)², le principali conseguenze della carenza di personale sono riconducibili a una configurazione non idonea dei sistemi (32%), alla mancanza di tempo per valutare adeguatamente i rischi (30%), alla lentezza nel patching dei sistemi critici (29%) e a sviste nei processi e nelle procedure (28%).

Ci sono però alcuni sistemi per mitigare la carenza di talenti. L’automazione e l’apprendimento automatico (Machine learning) possono occuparsi di alcuni processi semplici e liberare personale da dedicare a compiti più importanti anche se le aziende hanno ancora bisogno di personale per impostare e interpretare i risultati di molti sistemi di ML. L’outsourcing è un’altra opzione, ma può essere costoso e spesso i fornitori non hanno una conoscenza approfondita delle organizzazioni clienti.

Dov’è l’opportunità?

La verità è che le modalità tradizionali di assunzione hanno contribuito a lungo alla carenza di competenze in materia di sicurezza. Troppe aziende si focalizzano su attestati e titoli universitari nei candidati. In alcuni casi, i responsabili delle assunzioni non hanno nemmeno la possibilità di intervistare candidati potenzialmente idonei perché i software automatizzati per le risorse umane li escludono dalla selezione.

Certo, è necessaria una certa dose di acume tecnico, ma molto di questo può essere insegnato sul posto di lavoro. Molto più difficili da trasferire sono competenze quali la risoluzione di problemi, le capacità relazionali, l’attenzione ai dettagli, la semplificazione delle complessità, nonché la curiosità e il pensiero strategico. Tutti questi aspetti sono probabilmente importanti quanto i titoli di studio. Infatti, il principale gap di competenze che i partecipanti all’indagine ISACA hanno dichiarato di riscontrare nei professionisti di oggi è rappresentato dalle soft skills (54%). Anche le politiche di assunzione troppo rigide hanno contribuito alla perdita di professionalità in vari settori. Ciò significa che i datori di lavoro si lasciano sfuggire nuove prospettive e modi di pensare che potrebbero aggiungere un enorme valore ai loro team di sicurezza, oltre a contribuire a risolvere la persistente carenza di competenze.

È tempo di cambiare

Cosa possono fare i datori di lavoro per sfruttare le ‘grandi dimissioni’ e trarre vantaggio dall’attuale fluidità del mercato del lavoro? Ecco alcuni spunti:

  • non concentrarsi solo su attestati, certificazioni e titoli universitari, ma considerare l’esperienza effettiva e la voglia di imparare;
  • riqualificare gli algoritmi delle HR per assicurarsi che non stiano escludendo candidati potenzialmente idonei;
  • cambiare la cultura delle assunzioni in modo che ci si concentri maggiormente sulla formazione del personale;
  • fare appello ai talenti all’interno dell’organizzazione in dipartimenti connessi come, ad esempio, l’IT;
  • cercare i talenti esterni all’organizzazione, in settori quali la matematica, la gestione dei database e persino tra gli ex dipendenti delle forze armate;
  • offrire maggiore supporto a genitori single e alle mamme che tornano al lavoro dopo aver avuto un figlio. Molte di loro potrebbero considerare un cambiamento di carriera al rientro dall’aspettativa;
  • adeguare le retribuzioni come riconoscimento della natura ad alto stress di molti ruoli di sicurezza e della criticità della funzione per l’azienda;
  • fare di più per trattenere il personale esistente attraverso piani di mentorship e di avanzamento professionale;
  • stabilire obiettivi di crescita e rispettarli;
  • eliminare i divari retributivi e di promozione.

Questo non è certo un elenco esaustivo. Se fossero più creativi nelle assunzioni e se evolvessero la cultura della cybersecurity, i datori di lavoro potrebbero trarre vantaggio da questo momento unico del mercato del lavoro. Con l’aggravarsi delle minacce, è necessario il massimo impegno.

Di Fabio Buccigrossi, Country Manager di ESET Italia