Le aziende, dicono gli esperti di cybersicurezza, si dividono in due tipi: quelle che sono state violate e quelle che ancora non lo sanno. Un aiuto importante potrebbe venire proprio da questi esperti, che però sono pochi, troppo pochi per rispondere ai problemi diventati endemici della sicurezza digitale, causati da un ambiente connesso sempre più insicuro e dalla digitalizzazione. Senza personale preparato ed esperto in questa disciplina il rischio concreto per moltissime aziende è di pagare il prezzo delle violazioni e delle ulteriori sanzioni. Anche se il vero problema è un altro: gli esperti sono troppo pochi, non bastano.
Secondo il report di una organizzazione non profit, Isc, nel mondo ci sono 2,93 milioni di richieste di esperti di sicurezza che non trovano soddisfazioni semplicemente perché il mercato è oramai saturato. Non ci sono più esperti senior in cerca di lavoro: sono già stati tutti presi. E senza questi esperti le organizzazioni non hanno la capacità di avviare i controlli giusti, di sviluppare i processi di sicurezza adeguati per rendersi conto di un cyberattacco e reagire o prevenirlo.
Facciamo un passo indietro. Solo nella prima metà del 2018 oltre quattro miliardi di informazioni personali sono stati compromessi a causa di violazioni malevole di banche dati e database.
Questo ha avuto un prezzo pesante: secondo uno studio del 2018 condotto da Ibm e dal Ponemon Institute, la violazione dei dati è costata alle aziende in media 3,86 milioni di dollari. Secondo lo studio le violazioni su larga scala possono arrivare a costare 350 milioni di dollari alle aziende.
In tale contesto, le aziende sono ansiose di assumere esperti di cybersecurity per proteggersi dai rischi. Il problema, come abbiamo detto, è che non ci sono abbastanza persone che possono ricoprire questi ruoli.
La domanda di professionisti della sicurezza qualificati è una delle maggiori sfide per l’industria della sicurezza informatica di oggi, con 2,93 milioni di posizioni aperte in tutto il mondo, secondo l’organizzazione di sicurezza senza scopo di lucro Isc.
Senza personale di sicurezza addestrato, le organizzazioni non hanno la capacità di implementare i controlli giusti o sviluppare specifici processi di sicurezza per rilevare e prevenire attacchi informatici.
Secondo Jon Oltsik, analista senior della società di ricerca informatica Enterprise Strategy Group, gli attuali dipendenti esperti di sicurezza affrontano la sfida di un settore in continua evoluzione: “Dico sempre che i professionisti della cybersicurezza sono come i medici, nel senso che devono trascorrere molto tempo a studiare le ultime ricerche e le informazioni sulle minacce”.
Dieci anni fa, le organizzazioni lasciavano le responsabilità della cybersicurezza al personale IT genericamente inteso. Era l’epoca in cui gli attacchi informatici venivano condotti da “dilettanti che lo fanno per divertimento”, come spiega Heather Ricciuto, leader di sensibilizzazione di Ibm Security.
Con l’introduzione di dispositivi Internet come i sistemi basati su cloud, le aziende sono state esposte agli attacchi su una gamma crescente di fronti.
Man mano che questo cambiamento ha avuto luogo – e gli attacchi sono cresciuti come sofisticazione – le organizzazioni hanno capito di aver bisogno di aiuto. La corsa ai talenti della cybersecurity ha impoverito il mercato e la quantità di nuovi specialisti provenienti da scuole e programmi di formazione non ha tenuto il passo, ha detto Oltsik in una intervista Cnbc. “C’è – ha aggiunto – più richiesta di personale e non c’è abbastanza gente che venga formata sufficientemente in fretta”.
La mancanza di risorse a livello educativo è un fattore significativo alla scarsità, hanno detto gli esperti di Ibm. Mentre le competenze tecniche sono le più richieste dai datori di lavoro, molte scuole mancano di insegnanti qualificati o di materiale didattico in materia di sicurezza informatica, privando gli studenti dell’opportunità di acquisire le competenze critiche richieste ai professionisti della sicurezza informatica oggi.
Per anni, la cybersecurity non era un’area di studio comune e non c’erano molti programmi focalizzati su di essa, ha spiegato Ricciuto. Infatti, un sondaggio condotto nel 2016 da Raytheon ha rilevato che il 62% degli studenti provenienti da 12 paesi aveva dichiarato che una carriera nel campo della sicurezza informatica non era mai stata menzionata dal loro tutor o docente di orientamento.
La mancanza di personale per la sicurezza informatica può anche aumentare il rischio di errori degli altri dipendenti – che è stato a lungo considerato uno dei maggiori rischi informatici per le imprese.
“Quello che sentiamo dagli esperti – dice Cassy Lalan, portavoce di Ibm Security – è che l’uomo è l’anello più debole nella sicurezza informatica. Gli esseri umani non sono perfetti e possono essere facilmente ingannati”. Cioè, gli esperti dicono che il modo più semplice per gli hacker di accedere ai sistemi di un’azienda è dall’interno, attraverso dipendenti non addestrati a procedure di sicurezza adeguate.
Senza il livello appropriato di formazione sulle competenze in materia di sicurezza informatica, i dipendenti non tecnici sono più vulnerabili alle cosiddette tattiche di ingegneria sociale, come le e-mail di phishing, che sfruttano l’ignoranza e la negligenza. Ciò consente agli hacker di ottenere un punto d’appoggio iniziale nel sistema di dati di un’azienda.
“Quando – dice Oltsik – il team per la sicurezza informatica è impegnato a spegnere gli incendi, non ha abbastanza tempo per sviluppare corsi di formazione, lavorare con unità aziendali o educare i dipendenti”.
Alla fine, dicono gli esperti, la soluzione ai problemi di sicurezza informatica delle aziende vuol dire trovare un modo per reclutare più professionisti più qualificati. Ricciuto aggiunge che le società dovrebbero concentrarsi sull’apertura dell’ambito dell’istruzione e dell’assunzione di esperti di cybersecurity: la chiave è concentrarsi sulle competenze e non sui soli gradi.
“Ad esempio, Ibm – dice Ricciuto – è alla ricerca di persone con background non tradizionali per la sicurezza. Abbiamo un numero di persone con background in musica, scienze politiche che potreste pensare non siano collegate alla tecnologia – ma hanno una prospettiva completamente diversa”.
Le persone che hanno davvero successo in questo settore hanno una combinazione di conoscenze e abilità tecniche, dice Ricciuto. Sia l’industria della sicurezza informatica che i governi nazionali dovranno essere intenzionali nei loro sforzi per sviluppare il pool di talenti, secondo l’esperto di Ibm.
“Onestamente – conclude Ricciuto – siamo tutti a rischio. Che si parli di una grande impresa o di un individuo, il rischio non è limitato a una particolare classe di rischi. È importante per le industrie, i governi, le Ong lavorare insieme perché nessuno può farcela da solo”.