Oggi l’83% delle imprese considera la sicurezza informatica una priorità e la quasi totalità dei decision maker ritiene che una violazione possa compromettere gravemente la reputazione aziendale. Tuttavia, solo il 16% delle aziende si considera davvero all’avanguardia nella gestione della cybersecurity.
È questa una delle principali contraddizioni che emerge dal report “Il paradosso della cybersecurity. Competenze emergenti, vulnerabilità strutturali e nuovi modelli organizzativi*” di Grafton, brand globale di Gi Group Holding specializzato nel Professional Recruitment.
Per cogliere appieno la complessità dello scenario, l’indagine è stata progettata con un approccio multi-target, al fine di integrare punti di vista differenti e complementari. Sono stati coinvolti cinque cluster: decision maker, specialisti IT, professionisti HR, esperti di cybersecurity e lavoratori che utilizzando quotidianamente strumenti informatici, risultano i più esposti alle minacce digitali.
Il fattore umano come principale area di vulnerabilità
In un contesto in cui i reati informatici rappresentano oltre un terzo degli illeciti legati all’attività d’impresa e le minacce diventano sempre più diffuse e sofisticate, il fattore umano emerge come il principale punto di vulnerabilità.
Secondo gli specialisti IT, il 61% degli incidenti di cybersecurity è causato da errori umani, legati a distrazione, negligenza o comportamenti non corretti. Un ulteriore 50% è collegato alla scarsa formazione dei dipendenti sui rischi digitali.
La vulnerabilità non riguarda solo la gestione tecnica degli attacchi, ma anche la capacità di riconoscere i rischi nella quotidianità lavorativa. I dati mostrano infatti che quasi 1 lavoratore su 2 (46%) non è in grado di individuare correttamente i segnali più evidenti di phishing, una delle minacce informatiche più diffuse. Questa percentuale scende al 34% tra gli under 34, mentre sale al 49% tra gli over 45.
Anche il punto di vista dei decision maker è in linea: il 41% ritiene che l’errore umano incida in modo significativo sulla sicurezza informatica aziendale, confermando come la dimensione comportamentale rappresenti oggi uno dei principali punti di esposizione al rischio. Tuttavia, il 78% valuta la preparazione dei dipendenti sul tema del phishing come solo parziale, evidenziando una diffusa consapevolezza delle carenze formative interne. Proprio da questa consapevolezza emerge una seconda contraddizione.
Il secondo paradosso: si investe nella tecnologia, ma non nelle competenze
Nonostante il fattore umano sia riconosciuto come una delle principali vulnerabilità della cybersecurity, le scelte di investimento spesso non risultano coerenti con questa evidenza.
Secondo i decision maker, il 56% delle risorse destinate alla cybersecurity viene impiegato per l’acquisto di tecnologie, mentre quote molto più contenute sono dedicate alla formazione del personale (18%) o all’assunzione di nuovi specialisti (10%). Ma, senza competenze adeguate, anche le soluzioni tecnologiche più avanzate rischiano di non essere gestite in modo efficace.
Allo stesso tempo, i dati mostrano come esista un terreno favorevole per intervenire proprio sul piano delle competenze: quasi la totalità dei lavoratori intervistati (97%) ritiene importante la formazione in ambito cybersecurity, segnalando una forte apertura verso percorsi di sviluppo, percepiti non come un’imposizione dall’alto, ma come un’esigenza concreta e condivisa.
Il mercato non tiene il passo: mancano i professionisti cyber
A rendere ancora più complesso il quadro è la crescente carenza di professionisti qualificati. Il mercato del lavoro fatica a soddisfare la domanda di competenze specialistiche e oltre l’85% delle funzioni HR considera complessa la ricerca di profili ICT.
Questa difficoltà è il risultato di una combinazione di fattori. In primo luogo, la domanda di competenze digitali cresce più rapidamente dell’offerta disponibile, generando un’elevata competizione tra le aziende per attrarre gli stessi profili: il 52% delle organizzazioni segnala infatti una forte pressione competitiva nella ricerca di talenti. In secondo luogo, anche quando le aziende riescono a inserire professionisti qualificati, incontrano difficoltà nel trattenerli, poiché questi profili sono altamente richiesti e spesso attratti da opportunità più vantaggiose, dinamica evidenziata da un ulteriore 52% delle imprese.
Le criticità che caratterizzano il mercato ICT risultano ancora più accentuate quando si restringe il focus alla cybersecurity, dove il livello di specializzazione richiesto è maggiore e il numero di profili disponibili è ulteriormente ridotto, e riguardano l’intero processo di ricerca e selezione. L’84% degli HR evidenzia infatti difficoltà nel verificare le reali competenze tecniche durante le fasi di valutazione.
E, anche quando le aziende puntano su percorsi di upskilling e reskilling, l’81% delle risorse umane segnala che permangono criticità significative, tra cui spicca la carenza di formatori qualificati, citata dal 47%.
“Mentre le aziende riconoscono sempre più l’importanza della sicurezza informatica e investono in tecnologie avanzate, il vero nodo non ancora sciolto è legato alle competenze, alla formazione e alla capacità di governare i rischi digitali.” – commenta Francesco Manzini, Amministratore Delegato di Grafton. “Abbiamo voluto realizzare questo report proprio per contribuire a leggere il fenomeno da una prospettiva più ampia, che non riguarda solo la tecnologia ma anche il mercato del lavoro e l’evoluzione delle professionalità. La cybersecurity rappresenta, infatti, uno degli ambiti in cui la domanda cresce più rapidamente e in cui le aziende incontrano maggiori difficoltà nel trovare e valutare profili adeguati. In questo contesto, il ruolo di società di ricerca e selezione come la nostra diventa sempre più rilevante: supportare le aziende non solo nell’individuazione dei professionisti, ma anche nella valutazione delle competenze tecniche e trasversali necessarie per gestire rischi digitali sempre più complessi.”
