“Cadere nella trappola di un attacco informatico non è un’eventualità remota, e nessuno può sentirsi completamente al sicuro. La minaccia potrebbe essere davanti ai nostri occhi e potremmo non accorgercene. E se pure si investisse molto in strumenti tecnologici avanzati, questi sarebbero meno efficaci se i singoli dipendenti, all’interno di un’azienda, non fossero consapevoli e si comportassero in modo superficiale. Il problema riguarda le grandi aziende, che però hanno più propensione a investire in tutti gli ambiti della cybersecurity, e – soprattutto – le pmi, che invece hanno di solito un approccio meno proattivo, e quindi corrono i rischi più alti, in termini di esposizione maggiore e di competenze meno strutturate”. A parlare è Marco Gadaleta, director della School tech di Talent Garden, che identifica proprio nelle piccole e medie imprese uno degli “anelli deboli” della sicurezza informatica in Italia e in Europa. Proprio per aiutare le aziende più giovani e meno strutturate a colmare questo gap e affrontare i rischi con consapevolezza Talent Garden darà il via il 26 giugno al master “Cybersecurity & data protection”, giunto quest’anno alla sua terza edizione.
La carenza di competenze
“Con la crescente digitalizzazione dei processi le organizzazioni affrontano minacce sempre più sofisticate, che richiedono competenze specifiche – sottolinea Vincenzo Turturro, learning manager della School tech di Talent Garden e cybersecurity expert – Il rischio è quello di subire una perdita di dati, ma anche danni reputazionali ed economici da cui in alcuni casi risulta particolarmente difficile riprendersi. Per questo è necessario investire in formazione e sviluppo di professionisti. Per affrontare al meglio queste sfide, più in generale, è necessario promuovere l’interesse per le carriere nella sicurezza informatica, con un coordinamento efficace tra il mondo accademico, le principali aziende e le istituzioni”.
Lo scenario in Italia
In questo scenario l’Italia, che ha proprio nelle pmi la spina dorsale del proprio sistema economico, è ancora indietro rispetto al contesto globale, ed è importante recuperare questo ritardo soprattutto se si considera il fatto che gli attacchi informatici sono in crescita – anche a causa di una situazione geopolitica caratterizzata da diversi conflitti tra Stati – e sono sempre più sofisticati e quindi difficili da identificare. La prima leva su cui agire è quella della consapevolezza, per sensibilizzare i singoli le realtà più piccole, a partire dalle startup.
“La principale differenza tra le grandi aziende e le pmi in questo campo riguarda l’approccio – spiega Turturro – Nel primo caso è sempre più proattivo, e si basa quindi sulla prevenzione e l’identificazione delle vulnerabilità prima che possano essere sfruttate a fini malevoli. Nel secondo, invece, ci si limita soltanto a reagire agli attacchi. In altre parole, si aspetta di essere vittime di un’offensiva hacker prima di iniziare a investire. Ma l’approccio reattivo non sempre garantisce la sopravvivenza: la maggior parte delle pmi che viene attaccata – prosegue l’esperto – fa fatica a riprendersi, perché spesso i danni economici sono troppo grandi”.
Le emergenze principali
A preoccupare gli addetti ai lavori, insieme alla carenza di competenze, c’è l’aumento costante degli attacchi e la loro crescente complessità, che arriva a mettere nel mirino anche la sicurezza pubblica e quindi le infrastrutture critiche dei Paesi. A questo si aggiunge il tema della conformità normativa, che può mettere in difficoltà le realtà aziendali più piccole, come nel caso delle norme sul trattamento dei dati fissate dal Gdpr, il regolamento europeo sulla data protection. “Per gestire al meglio la situazione – spiega Turturro – c’è da investire in tecnologie avanzate ma anche da puntare sulla formazione e sullo sviluppo delle competenze, orientandosi alla collaborazione e alla condivisione delle informazioni tra enti governativi e aziende per evidenziare le best practice”.
Talent Garden e la formazione sulla cybersecurity
Con il master “Cybersecurity & Data protection”, un corso avanzato di 6 settimane che fa parte del progetto europeo “Sme4DD – Training Smes for digital decade” Talent Garden si pone l’obiettivo di formare persone che siano in grado di gestire gli aspetti della sicurezza informatica a livello procedurale su governance, risk management e compliance.
“L’obiettivo è di creare competenze trasversali per gestire nelle aziende più piccole i diversi aspetti della sicurezza informatica – sottolinea Turturro – Lo facciamo insieme alle pmi, perché in fase di assessment chiediamo a chi partecipa di proporre i loro use case, per allineare il percorso formativo in modo che risulti il più possibile utile dal punto di vista pratico. In più – prosegue – ci consultiamo con altre pmi a livello europeo, per avere una prospettiva più ampia”.
“I feedback che riceviamo dalle aziende che hanno finora partecipato ai nostri corsi ci portano a capire che queste esperienze di formazione hanno spesso raggiunto l’obiettivo di rendere le organizzazioni consapevoli dello scenario in cui si muovono, e spesso hanno innescato un miglioramento delle prospettive lavorative dei partecipanti”, sottolinea Gadaleta.
La sicurezza offensiva
Per la fine dell’estate – a completamento dell’offerta sulla sicurezza informatica – Talent Garden ha in programma di partire con la seconda edizione del master sulla sicurezza offensiva per la formazione dei cybersecurity analyst: “In questo caso – conclude Turturro – ci rivolgiamo persone che puntano allo skilling. Vogliamo dare ai partecipanti competenze molto avanzate e specifiche, con approcci teorici e pratici che permettono una comprensione approfondita dei temi. Gli sbocchi lavorativi, in questo caso, sono ruoli come penetration tester, security analyst o ethical hacker”.