Il tema delle competenze in cybersicurezza è assolutamente centrale nel tessuto imprenditoriale europeo e italiano poiché va di pari passo con la profonda trasformazione digitale in corso e, in particolare, da un più ampio ricorso a soluzioni ICT nell’ambito delle attività di business. Come rilevato da una survey condotta da I-Com su un campione di 145 imprese appartenenti a vari settori (tra cui: utilities, trasporti, tlc e digitale), la maggior parte dei rispondenti ha indicato la mancanza di competenze interne e sul mercato del lavoro tra i fattori principali che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersicurezza. Simili risultanze si collocano in un contesto che vede lo skills shortage tra le minacce maggiormente impattanti sul futuro della cybersecurity a livello eurounitario, come testimonia un recente studio dell’ENISA.
L’IMPEGNO DELLE IMPRESE EUROPEE E ITALIANE
L’indagine “Cyberskills” condotta da Eurobarometer tra il 24 aprile e il 17 maggio scorso su richiesta della Commissione europea ha consentito di registrare l’impegno di oltre 12.900 imprese attive in diversi settori economici dell’UE su tematiche connesse alla cybersicurezza e, in particolare, su aspetti relativi alla formazione del personale. La metodologia utilizzata è quella dell’intervista telefonica di figure manageriali IT o, dove non disponibili, di soggetti che ricoprono comunque ruoli decisionali (es: ceo, general manager).
Non sorprende che sia stato registrato un generale consenso in merito alla priorità riconosciuta alla cybersecurity in azienda (per le voci “molto alta” e “abbastanza alta”), sia se si guarda la media UE (71%), sia con riguardo al valore medio italiano (83%). Tuttavia, non andrebbe sottovalutato che il 26% di imprese europee sembra non riconoscere una reale importanza alla cybersicurezza (per le voci “abbastanza bassa” e “molto bassa”). Sul punto è interessante notare come nel nostro Paese si abbia mediamente una maggiore considerazione della materia (13%).
Sia a livello UE che italiano larga parte dei dipendenti che si occupano direttamente di cybersecurity nelle aziende rispondenti provengono da ambiti professionali non legati a questo campo. Focalizzandosi sull’Italia, il 66% del campione ha dichiarato che il personale è stato trasferito da un altro ruolo non collegato alla cybersicurezza (57% in UE), mentre nel 50% dei casi (34% per l’UE) si è trattato di una nuova assunzione. In misura simile al dato europeo, solo il 19% delle imprese italiane ha assunto nuove risorse umane in ambito cyber che già lavoravano nel settore o che erano a inizio carriera.
Pertanto, è possibile ipotizzare che un elevato ricorso ad addetti senza un’esperienza pregressa in cybersicurezza testimoni una significativa criticità nel rinvenire personale competente sul mercato del lavoro. A conferma di quanto detto, tra le principali sfide segnalate dalle imprese europee vi è la difficoltà a trovare candidati qualificati (45%), seguita dalla mancanza di candidati (44%) e – con un deciso distacco – da un’insufficiente conoscenza sui ruoli connessi alla cybersicurezza (22%).
Per di più, il grafico riportato di seguito mostra come le aziende italiane abbiano mediamente una maggiore necessità di personale qualificato (espresso in Full-Time Equivalent) rispetto a quelle europee. Nonostante ciò, a prevalere è la quota di rispondenti che ha dichiarato di non avere bisogno al momento di ulteriori figure specializzate in cybersicurezza (87% in UE e 77% in Italia). Le motivazioni possono essere ricondotte, quantomeno parzialmente, a quanto espresso nella precedente figura, in particolar modo al budget a disposizione, alla necessità di una formazione continua, così come a uno sviluppo tecnologico piuttosto sostenuto, per cui si preferisce utilizzare le risorse già a disposizione internamente al fine di ottimizzare i costi.
Ad ogni modo, le imprese italiane intervistate che erogano formazione in cybersicurezza ai propri dipendenti prediligono insistere sull’awareness (78%), seguita dalla conoscenza del quadro delle minacce (79%) e dalle policy (52%). Inoltre, si evidenziano alcune discrepanze significative tra i soggetti italiani ed europei in tema di incident response e reporting (34% Italia vs 46% UE), così come sul cloud management (18% vs 36%) e in tema di cyber crisis management (41% vs 33%).
Negli ultimi 12 mesi, la maggior parte delle imprese italiane ha performato meglio in termini di coinvolgimento dei dipendenti a iniziative di awareness e formazione in cybersecurity. Infatti, il 47% ha coinvolto con successo tutti i dipendenti dell’organizzazione rispetto al 38% registrato in media tra quelle europee. Tuttavia, appare preoccupante che una fetta importante, corrispondente al 35% tra le italiane e al 40% tra le europee, coinvolge meno della metà dei dipendenti in questo tipo di iniziative, il che richiama tutti gli stakeholders coinvolti a porre una più incisiva e urgente attenzione sul tema, soprattutto nei confronti di quei soggetti maggiormente esposti ad attacchi e incidenti di natura cibernetica – tra cui certamente le PMI – anche in considerazione dei potenziali effetti negativi che possono espandersi verso le realtà più strutturate e strategiche.
L’EDUCAZIONE PRIMARIA E SECONDARIA IN CYBERSICUREZZA
Il 29 maggio scorso l’ENISA ha pubblicato il report “Cybersecurity education maturity assessment” nell’ambito del quale ha valutato lo stato dell’arte in 13 Stati Membri, ivi compresa l’Italia, con riguardo all’implementazione di framework normativi, policy, strategie e iniziative operative per favorire l’educazione primaria e secondaria nel campo della cybersicurezza. I risultati ottenuti mostrano come, in media, i Paesi UE abbiano raggiunto un livello di maturità del 66%, avendo già posto in essere una serie di iniziative dedicate all’educazione in cybersecurity. Tuttavia, si registra anche un’ampia eterogeneità in merito alla tipologia di approccio adottato, preferendo l’attuazione di azioni concrete prettamente a livello decentralizzato, le quali risultano in una fase prematura in termini di implementazione.
Nel report vengono evidenziate anche delle buone pratiche poste in essere nei singoli Stati Membri, al fine di favorire un più efficace coordinamento e scambio di informazioni nell’Unione. Ad esempio, per l’Italia è richiamato il programma promosso dal Cybersecurity National Lab “CyberHighSchools”, che attualmente coinvolge più di 500 scuole sul territorio, fornendo corsi di livello base e avanzato col supporto di docenti universitari e incentivando gli studenti delle scuole superiori a partecipare alle olimpiadi italiane della cybersicurezza (OliCyber), le quali hanno superato i 4.000 partecipanti nell’edizione 2023. Inoltre, tale iniziativa comprende alcune attività dedicate specificamente alle studentesse che non possiedono un background di studi scientifici, allo scopo di ridurre il gender gap nel settore della cybersicurezza.
Ulteriori iniziative di questo tipo, messe in campo da soggetti pubblici e/o privati, sono riportate – senza pretese di esaustività – nei capitoli 5 e 6 dell’ultimo rapporto annuale dell’Osservatorio sulla Cibersicurezza di I-Com “La sfida della cibersicurezza per un’Italia sempre più digitale. Politiche, competenze, regole”.
CONCLUSIONI
Dal quadro sin qui esposto emerge chiaramente come l’Unione Europea e l’Italia si stiano impegnando particolarmente per migliorare la propria postura di cybersicurezza, insistendo in maniera sempre più incisiva sulla formazione del fattore umano, anche grazie all’impulso fornito dalle numerose misure legislative varate negli ultimi anni. La partita sul futuro della cybersecurity, come più volte evidenziato, si gioca sulla messa a terra di simili iniziative in maniera sostanziale e quanto più capillare possibile. Fa ben sperare che nelle recenti conclusioni del Consiglio dell’Unione (“Council Conclusions on the Future of Cybersecurity: implement and protect together”) sia piuttosto marcata la necessità di sostenere lo sviluppo di competenze al fine di colmare lo skills gap in quest’ambito, incoraggiando in tal senso la cooperazione tra tutti gli stakeholders, ivi inclusi il settore pubblico, privato e il mondo dell’accademia.
