Secondo Tom Gol di Armis il problema reale della sicurezza informatica oggi deriva da una carenza di un’automazione intelligente, e non solo

Sicurezza

Nel settore della sicurezza informatica si parla spesso di carenza di competenze. In realtà, il problema non è tanto la mancanza di professionisti, quanto l’assenza di automazione e di un contesto operativo chiaro che permettano ai team di lavorare in modo davvero efficace.

In questo articolo, Tom Gol, Senior Product Manager di Armis, spiega come intelligenza artificiale e automazione possano ridurre il rumore degli alert, ottimizzare i flussi di lavoro e prevenire il burnout, trasformando la gestione della sicurezza da un’attività reattiva a un approccio strategico.

Per i CISO e i decision maker, questo significa ripensare le priorità: non più cicli infiniti di assunzioni e l’introduzione continua di nuovi strumenti, ma investimenti mirati in tecnologie intelligenti che amplificano il valore dei team già esistenti. Un punto di vista che offre spunti pratici per chi gestisce la sicurezza in contesti aziendali complessi.

Buona lettura!

La carenza di competenze nella sicurezza è un depistaggio: in verità si tratta di un divario tra automazione e contesto 

Sentiamo costantemente di una crisi all’interno della cybersecurity ma forse la vera sfida non è la mancanza di personale. Potrebbe trattarsi semplicemente di una grave carenza di automazione intelligente e di un contesto operativo concreto per i team di talento di cui già disponiamo.

L’ombra persistente della narrazione sulla “carenza di talenti”

È quasi un mantra dei circoli della sicurezza informatica dire: “C’è una grande carenza di talenti!” Le conferenze fanno eco a questo concetto, i report lo rafforzano e i CISO spesso lo percepiscono in modo intenso. Questa idea ampiamente diffusa suggerisce che semplicemente non abbiamo abbastanza professionisti qualificati, che porta a team sovraccarichi di lavoro, burnout e, cosa più significativa, a un rischio organizzativo persistente. La risposta predefinita spesso diventa un ciclo senza sosta di “acquistare più strumenti, ottimizzare gli strumenti esistenti e assumere più personale”, un ciclo che appare sempre più insostenibile e inefficiente.

Cosa succederebbe se questa diffusa “carenza di persone” fosse in realtà un abile diversivo, che distoglie la nostra attenzione da una questione più fondamentale? Ci siamo talmente abituati alla narrazione del deficit di persone, che spesso trascuriamo una verità fondamentale: l’attuale tecnologia è già in grado di restringere in modo significativo questa carenza.

La mia ferma convinzione è che il reale problema sottostante non sia una mancanza di talenti disponibili ma una profonda e paralizzante carenza di un’automazione intelligente e di un contesto operativo concreto che impedisce ai professionisti di sicurezza informatica attuali di lavorare al massimo delle loro potenzialità. C’è di più, avanzare sul lato tecnologico al momento presenta un ritorno sull’investimento nettamente migliore rispetto al semplice provare a risolvere il problema assumendo personale più qualificato. Colmando la carenza con una tecnologia più smart, la mancanza di talenti percepita si restringe.

Una diagnosi errata: quando più persone non è la risposta

Per troppo tempo la reazione istintiva nel settore della sicurezza informatica alla crescita delle minacce, è stata quella di investire maggiori risorse umane nel problema. La superficie d’attacco continua ancora la sua crescita senza sosta. Gli attori di minacce diventano più sofisticati. E i nostri SOC sono costantemente sommersi da una valanga di avvisi non filtrati. Questo crea un flusso di lavoro irrefrenabile che anche gli esperti di lunga data trovano impossibile da gestire in modo efficace, spesso portando a burnout e, paradossalmente, a una perdita di talenti piuttosto che a una loro fidelizzazione.

Il problema non è la mancanza di menti brillanti che entrino nel settore. È che queste menti brillanti spesso si trovano impantanate in compiti monotoni e di basso valore. Sono costrette a operare in una fitta nebbia di informazioni incomplete, setacciando costantemente il rumore di fondo. Quando i team di sicurezza non hanno chiarezza su quali siano esattamente gli asset di cui dispongono, come questi asset siano collegati tra loro, quale sia la loro reale criticità per l’azienda e quali minacce siano realmente attive, anche i professionisti più esperti fanno fatica. La loro efficacia diminuisce, non per una mancanza di competenze in merito ma per un’assenza fondamentale di visibilità e un supporto intelligente.

Automazione e IA: il vero moltiplicatore di forza per il talento umano

La vera mossa vincente contro la marea travolgente di minacce informatiche non è un’infinita attività di assunzioni ma un’applicazione intelligente di automazione e IA. Le discussioni più autorevoli del settore sottolineano sempre più che lo scopo dell’IA nella sicurezza informatica non è quello di sostituire completamente l’uomo, si tratta di potenziare il nostro team esistente, trasformandolo in una forza molto più efficace. Questo approccio fondamentalmente permette alle organizzazioni di scalare la loro competenza e avere un impatto senza essere vincolati a un proporzionale aumento di personale. Di seguito come si svolge questa trasformazione:

Liberare il capitale umano dalle attività ordinarie

Immaginiamo un’analista della sicurezza la cui giornata è consumata da ore di indagine manuale, aggiornamento degli avvisi, classificazione dei falsi positivi, risposta a questionari di routine o laboriosa transizione dei ticket. Questi sono esattamente i tipi di compiti non umani, deterministici e altamente ripetitivi che si prestano perfettamente all’automazione intelligente. Gli agenti IA possono assumere fluidamente questo carico opprimente e liberare gli analisti. Loro così sono liberi di passare a un lavoro di più alto valore, creativo, basato sul giudizio e realmente strategico. Questo trasforma i team di sicurezza da esecutori di compiti reattivi a risolutori di problemi proattivi. Le prospettive indicano che nei prossimi anni le attività SOC comuni potrebbero diventare significativamente più efficienti in termini di costi grazie all’automazione – un cambiamento che non riguarda meramente il risparmio economico ma si tratta di amplificare il potenziale umano.

Potenziare la produttività e l’esperienza

L’IA moderna, in particolare l’IA multi-agente e IA generativa, può offrire proattivamente suggerimenti intelligenti su configurazioni, predire le cause alla radice di problemi complessi e integrarsi in modo fluido con framework automatizzati esistenti. Questo permette ai professionisti che lavorano nella sicurezza di rendere il loro lavoro non solo più efficiente ma anche più coinvolgente e meno soggetto a mansioni ripetitive.

Il potere indispensabile del contesto: Abbassa il “livello di competenza”

L’automazione consente di gestire il carico operativo, ma è il contesto a offrire la chiarezza fondamentale che riduce il bisogno di expertise costante e approfondita in ogni circostanza. Quando i professionisti della sicurezza hanno un contesto immediato, ricco e utilizzabile su una vulnerabilità o una minaccia emergente, il percorso verso una organizzazione delle priorità e azioni decisive, diventa notevolmente più chiaro.

Consideriamo la differenza significativa che porta questo contesto:

  • Contesto degli asset: Non solo sapere che esiste una vulnerabilità, ma sapere con precisione su quale dispositivo specifico risiede: si tratta di un server di produzione critico o di una macchina di prova isolata e obsoleta?
  • Contesto applicativo aziendale: Comprensione della funzione aziendale esatta associata a tale asset e dell’impatto finanziario o operativo tangibile in caso di compromissione.
  • Contesto di rete: Visualizzazione delle complesse connessioni di rete dell’asset, del suo preciso livello di esposizione e di ogni potenziale percorso che un aggressore potrebbe intraprendere per il movimento laterale.
  • Contesto dei controlli compensativi: Avere un quadro chiaro e in tempo reale dei controlli di sicurezza esistenti (come la segmentazione della rete, gli EDR o gli Intrusion Prevention Systems) che sono effettivamente operativie in grado di mitigare il rischio legato alla vulnerabilità.
  • Contesto della Threat Intelligence: Avere una intelligence in tempo reale degli “exploit attivi” che non solo teorizza ma indica se una vulnerabilità è già sfruttata attivamente sul campo o se fa parte di una campagna di attacco nota rivolta al proprio settore.

Grazie a questo contesto dettagliato e multidimensionale, è possibile automatizzare una parte significativa del carico di lavoro relativo alla gestione dell’esposizione. Fondamentalmente, per le attività che richiedono ancora l’intervento umano, il “livello di competenza” richiesto è notevolmente ridotto. La mia opinione è che nella grande maggioranza dei casi, forse nel 90% degli scenari, un professionista della sicurezza che non sia un veterano con 20 anni di esperienza possa comunque prendere decisioni incredibilmente efficaci e migliorare in modo significativo la postura di un’organizzazione nel panorama informatico. Questo perché ha davanti un contesto chiaro e concreto che guida in modo naturale la definizione delle priorità e raccomanda persino azioni precise. Il risultato? Una drastica riduzione del rumore degli alert, tempi di rilevamento e risposta più veloci e un alleggerimento tangibile del carico di lavoro dell’intero team di sicurezza.

L’elemento umano: evoluzione delle competenze e burnout

Questo potente spostamento verso l’automazione e l’intelligenza artificiale solleva automaticamente domande legittime sull’erosione delle competenze. Alcuni esperti sottolineano con prudenza un rischio concreto: una parte significativa dei team SOC potrebbe subire un regresso nelle competenze di analisi di base a causa di un eccessivo affidamento all’automazione. Questo sottolinea una verità fondamentale: dobbiamo mantenere le persone saldamente nel loop. Per i SOC altamente autonomi, si raccomanda un approccio “human-on-the-loop”, riservando l’intervento umano a casi limite complessi ed eccezioni critiche.

I CISO, di conseguenza, devono affrontare un ruolo in continua evoluzione:

  1. Competenze per il futuro: Non si tratta più di ricoprire ruoli tradizionali, ma di sviluppare nuove competenze come il prompt engineering, la supervisione avanzata dell’IA, il pensiero critico avanzato e la capacità strategica di risolvere problemi.
  2. Combattere il burnout: Oltre agli strumenti, una retention efficace dei talenti richiede misure proattive per affrontare il burnout. Questo include un monitoraggio intelligente del carico di lavoro, una delega intelligente dei compiti e iniziative concrete per il benessere. L’obiettivo finale non è solo quello di riempire i posti vacanti, ma anche di garantire che le persone che li occupano siano efficaci, sostenibili e con prospettive di crescita.

Una nuova mentalità per i CISO: adottare il ruolo di “Chief Innovation Security Officer”

La continua discussione sulla carenza di talenti dovrebbe spingere i CISO ad adottare una mentalità completamente nuova. Invece di focalizzarsi solo sulla riduzione dei costi o sul perenne sforzo di ricerca di persone, devono evolvere in “Chief Innovation Security Officers”. Questo significa essere coraggiosi e ripensare come il lavoro è fatto, sfruttando l’IA e l’automazione non solo come strumenti tattici ma come abilitatori strategici per incrementare le capacità di sicurezza informatica e liberare tutto il potenziale dei talenti esistenti. Questo investimento strategico in tecnologia, guidato da una comprensione del contesto, offre un ritorno sull’investimento superiore nel colmare il “divario” della sicurezza informatica rispetto allo sforzo sempre più inutile del semplice assumere più personale.

La creazione di solidi framework di governance dell’IA e il raggiungimento di una visibilità cristallina sulle implementazioni esistenti dell’IA e sul debito tecnico sono passi fondamentali. In definitiva, risolvere il deficit percepito di talenti non significa assumere all’infinito più persone in un sistema insostenibile. Si tratta piuttosto di valorizzare i talenti che già abbiamo, rendendoli più efficienti, concreti e concentrati strategicamente. attraverso l’applicazione intelligente di automazione e di un contesto senza pari. È il momento di smettere di inseguire una carenza inesistente e iniziare veramente a dare valore alle capacità dei nostri difensori digitali.

di Tom Gol, Senior Product Manager di Armis