Il mercato del lavoro ha sperimentato a lungo una carenza di esperti di cybersecurity. Spesso le aziende faticano a trovare gli specialisti della sicurezza informatica di cui hanno bisogno. Il problema sembra riguardare in particolare i professionisti con un’istruzione formale specialistica e l’esperienza necessaria. Per comprendere quanto sia importante per un’azienda poter contare su specialisti con una formazione formale in questo settore e quanto questo tipo di formazione soddisfi le esigenze delle aziende moderne, i nostri colleghi hanno condotto uno studio che ha coinvolto più di mille dipendenti provenienti da 29 paesi in diverse aree geografiche del mondo. Tra gli intervistati c’erano specialisti di vari livelli: da principianti con due anni di esperienza a CIO e manager SOC con esperienza decennale. A giudicare dalle risposte dei partecipanti, l’istruzione classica non sembra restare al passo con le tendenze del settore InfoSec.
Innanzitutto, l’indagine ha mostrato che non tutti gli specialisti hanno un’istruzione superiore: più della metà (53%) del personale InfoSec non ha un’istruzione post-laurea. Inoltre, per quanto riguarda coloro che ce l’hanno, un professionista su due dubita che l’istruzione formale lo aiuti davvero a svolgere le proprie mansioni lavorative.
La cybersecurity è un settore in rapida evoluzione. Il panorama delle minacce sta cambiando così velocemente che anche un paio di mesi di ritardo possono essere critici, mentre possono essere necessari dai quattro ai cinque anni per ottenere un titolo accademico. Durante questo periodo, gli autori degli attacchi possono modernizzare le loro tattiche e i loro metodi, tanto da costringere uno “specialista” InfoSec laureato a leggere rapidamente tutti gli ultimi articoli sulle minacce e sui metodi di difesa in caso di attacco effettivo.
Gli specialisti InfoSec con esperienza reale sostengono che le istituzioni didattiche in ogni caso non forniscono sufficienti conoscenze pratiche e non hanno accesso a tecnologie e attrezzature moderne. Pertanto, per lavorare nel campo InfoSec e combattere le cyberminacce reali, è comunque necessaria una formazione aggiuntiva.
Tutto questo, ovviamente, non significa che i professionisti della cybersecurity con un’istruzione superiore siano meno competenti dei loro colleghi che ne sono privi. In definitiva, la passione e la capacità di migliorare continuamente sono della massima importanza per lo sviluppo professionale. Molti intervistati hanno dichiarato di aver ricevuto più conoscenze teoriche che pratiche nelle istituzioni didattiche tradizionali, ma ritengono che l’istruzione formale sia comunque utile poiché, senza una solida base teorica, l’acquisizione di nuove conoscenze progredirebbe più lentamente. D’altra parte, anche gli specialisti che non hanno una formazione post-laurea o che sono arrivati alla sicurezza informatica da un altro settore IT possono diventare professionisti competenti nella protezione dalle minacce informatiche. Dipende davvero tutto dal singolo.
Come migliorare la situazione del mercato
Affinché il mercato possa attirare un numero sufficiente di esperti di sicurezza informatica, la situazione deve essere equilibrata da entrambe le parti. In primo luogo, per le università è consigliabile prendere in considerazione la collaborazione con società di sicurezza informatica. Ciò consentirebbe loro di fornire agli studenti competenze più pratiche. In secondo luogo, le aziende devono migliorare periodicamente le competenze dei propri dipendenti con l’aiuto di corsi didattici specializzati
È possibile leggere la parte del report dedicata ai problemi didattici in campo InfoSec nella pagina Web del primo capitolo: Background didattico degli attuali esperti di cybersecurity.