Come colmare il divario di competenze nella sicurezza informatica. A cura di Massimo Tripodi, Country Manager Italia di Veracode

rsz_massimo_tripodi_veracode1

Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende e per il mondo del lavoro. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi la metà dei casi rappresentato da vulnerabilità potenzialmente critiche. L’integrazione di pratiche di codifica sicure fin dall’inizio del processo di sviluppo del software è fondamentale per garantire l’individuazione e la risoluzione tempestiva delle falle. Questa necessità di misure proattive di secure-by-design per salvaguardare le aziende e le comunità da costosi disservizi, è evidenziata anche da recenti eclatanti incidenti, come quelli del Connect Secure di Ivanti e della libreria open-source XZ Utils

Sebbene l’Agenzia per la Cybersicurezza Nazionale (ACN) stia spingendo le aziende ad aderire ai principi di secure-by-design, che rappresentano un positivo avanzamento verso la difesa dagli attacchi informatici, il sistema universitario italiano sembra essere ancora in ritardo nell’adeguare la formazione a queste nuove esigenze. Gli studenti, futuri sviluppatori, si formano in contesti dove la programmazione sicura è spesso trascurata, se non addirittura ignorata, evidenziando una preoccupante lacuna nella preparazione delle nuove generazioni di professionisti informatici per il lavoro. Nonostante negli ultimi anni siano state sollevate diverse istanze per dare maggiore rilevanza alla cybersecurity nei corsi di laurea in informatica, la questione continua a essere relegata in secondo piano.

Come evidenziato nel recente report dell’ACN, la formazione di una forza lavoro qualificata in ambito di sicurezza informatica rappresenta una priorità strategica per il Paese. Nonostante alcune iniziative promettenti, come il protocollo firmato tra ACN e l’Università Bocconi, la cybersecurity rimane spesso una materia opzionale nei percorsi di studio. Questo scenario rischia di creare un gap tra le competenze richieste dal mercato del lavoro e quelle effettivamente possedute dai neolaureati, rendendo il sistema-Paese più vulnerabile agli attacchi informatici.

Di conseguenza, è giunto il momento di attivarsi seriamente per quanto riguarda l’insegnamento delle pratiche di secure-by-design. Le università devono affrontare la realtà del mondo informatico e dotare la prossima generazione di sviluppatori di software delle competenze essenziali per ridurre al minimo le vulnerabilità sfruttabili da potenziali attori delle minacce.

Puntare su un coding sicuro per l’inserimento dei laureati nel lavoro

Le lacune tra ciò che il mondo accademico insegna e ciò che il settore richiede non sono insolite, ma di solito non rappresentano un problema poiché i neolaureati apprendono le competenze mancanti direttamente sul posto di lavoro. Nel campo dell’informatica, tuttavia, non è sempre così. Gli studenti che si affacciano al mondo del lavoro spesso risultano essere impreparati a scrivere codice sicuro e quindi contribuiscono al problema, lasciando il software esposto ad attacchi o malfunzionamenti.

Alimentati dall’apprendimento automatico e dall’AI, gli incidenti informatici stanno rapidamente diventando più sofisticati, oltre che più frequenti. Il problema si aggrava esponenzialmente quando la codifica assistita dall’AI (anche se non sicura) si diffonde nei programmi di informatica. Le ricerche suggeriscono che il codice sviluppato dall’intelligenza artificiale contiene la stessa percentuale di difetti del codice generato dagli esseri umani. Altre ricerche rivelano che, in più di un terzo dei casi, i programmatori non riescono a identificare codice AI non corretto.

Secondo il CISA, gli attacchi spesso sfruttano semplici punti deboli che qualsiasi sviluppatore con conoscenze di base sulla sicurezza potrebbe evitare attraverso una codifica più sicura. In questo senso, sarebbe fondamentale il ruolo delle università nel sottolineare nei propri corsi l’importanza di uno sviluppo software strettamente integrato con la sicurezza fin dall’inizio. Dotando gli studenti di strumenti per la sicurezza delle applicazioni (AppSec) comunemente utilizzati nelle aziende, li si aiuterà a capire come codificare in modo sicuro, insegnando loro che questo processo non deve essere eccessivamente difficile o dispendioso in termini di tempo.

Strumenti AppSec nelle aule scolastiche e universitarie

Diversi fattori contribuiscono all’assenza di una formazione in materia, ma quello più evidente è che alcuni docenti semplicemente non conoscono a sufficienza il settore della sicurezza. Questo porta a un divario tra università e industria, che continua a crescere a causa della costante evoluzione della supply chain di strumenti per lo sviluppo del software. Il mondo accademico fatica a tenere il passo e gli studenti si perdono in questa situazione, lasciandosi sfuggire l’opportunità di apprendere competenze cruciali, oltre che molte richieste.

Gli sviluppatori devono acquisire le nozioni di base su come i vettori di attacco mettono a rischio le applicazioni. Ciò implica concetti specifici che mancano nei programmi di studio di informatica. Per questo, i moduli di formazione incentrati sulla codifica sicura e sui principi dell’AppSec devono diventare un prerequisito di qualsiasi corso.

Un esempio di integrazione della codifica sicura nei corsi si può osservare alla Tufts University, nel Massachusetts. Ming Chow, professore associato presso il Dipartimento di Informatica, utilizza la tecnologia AppSec come strumento didattico per insegnare agli studenti a conoscere la codifica sicura e a trovare e correggere le falle.

Nel suo corso di “Introduction to Security”, ad esempio, Chow fornisce agli studenti un codice sorgente da analizzare manualmente per individuare eventuali vulnerabilità e creare un elenco di rischi tecnici. Gli studenti utilizzano poi uno strumento leader del settore che automatizza l’analisi e documenta le falle che non hanno notato con i test manuali. Rimangono sempre meravigliati dal numero di vulnerabilità che l’analisi automatizzata riesce a individuare.

Inoltre, utilizza la tecnologia AppSec per far redigere agli studenti un report sui difetti e le vulnerabilità dopo il loro progetto finale. Oltre ad apprendere preziose competenze di cybersecurity, gli studenti rispondono con grande entusiasmo all’opportunità di imparare a codificare in modo sicuro.

Conclusione

La mancanza di una formazione sulla codifica sicura nei programmi di informatica è una problematica costante. Ad oggi, purtroppo, il problema è diventato critico a causa di attacchi sempre più sofisticati e potenziati dalle tecnologie di intelligenza artificiale e di apprendimento automatico. Nel frattempo, le organizzazioni hanno incrementato in modo esponenziale la loro produzione di codice software, spesso con il supporto dell’AI.

La software security deve essere avviata all’inizio del ciclo di vita dello sviluppo del software, con programmatori che abbiano una conoscenza di base delle pratiche di secure-by-design. Questo requisito comprende anche i neolaureati che entrano nel mondo del lavoro.

Il mondo accademico deve porre una forte enfasi sulla codifica sicura e sui principi di sicurezza delle applicazioni come elemento centrale dei curricula informatici. Insegnare alla prossima generazione di sviluppatori di software come scrivere codice sicuro permetterà alle organizzazioni di gestire meglio i propri profili di rischio.

A cura di Massimo Tripodi, Country Manager Italia di Veracode