Ci sono 2,93 milioni di richieste di esperti in sicurezza informatica, ma il mercato è saturo: non ci sono più professionisti del settore in cerca di un’occupazione.

Una ricerca di (Isc)², organizzazione senza scopo di lucro specializzata in formazione per professionisti della sicurezza informatica, rivela che sarebbero 2,93 milioni le richieste da parte delle aziende di figure esperte in cybersecurity.

Queste richieste, purtroppo, non trovano una risposta da parte del mercato del lavoro: gli esperti di sicurezza informatica sono praticamente “terminati”, tutti già assunti, e non ci sono nuove leve da poter inserire in organico. Senza gli esperti in materia, tuttavia, le organizzazioni non hanno la capacità di avviare i giusti controlli o di sviluppare i processi di sicurezza adeguati a prevenire un cyberattacco o per reagire ad esso, se già avvenuto.

Lo scenario passato e quello futuro

Solo nella prima metà del 2018 oltre 4 miliardi di informazioni personali sono state compromesse a causa di violazioni malevole di banche dati e database. Questo ha avuto un prezzo pesante: secondo uno studio del 2018 condotto da Ibm e dal Ponemon Institute, la violazione dei dati è costata alle aziende in media 3,86 milioni di dollari. Secondo lo studio, le violazioni su larga scala possono arrivare a costare 350 milioni di dollari alle aziende.

Dieci anni fa, le organizzazioni lasciavano le responsabilità della sicurezza informatica al personale IT genericamente inteso. Era l’epoca in cui gli attacchi informatici venivano condotti da “dilettanti che lo facevano per divertimento”, come spiega Heather Ricciuto, leader di sensibilizzazione di Ibm Security.

Oggi, con l’introduzione dei sistemi basati sul cloud, le aziende sono state esposte agli attacchi su una gamma crescente di fronti. Man mano che questo cambiamento ha avuto luogo e gli attacchi sono cresciuti come sofisticazione, le organizzazioni hanno capito di aver bisogno di aiuto.

Non c’è educazione alla cybersecurity

La corsa ai talenti della cybersecurity ha impoverito il mercato e la quantità di nuovi specialisti provenienti da scuole e programmi di formazione non ha tenuto il passo. La mancanza di risorse a livello educativo è un fattore significativo: mentre le competenze tecniche sono le più richieste dai datori di lavoro, molte scuole mancano di insegnanti qualificati o di materiale didattico in materia di sicurezza informatica, privando gli studenti dell’opportunità di acquisire le competenze critiche richieste ai professionisti della sicurezza informatica oggi.

La mancanza di personale per la sicurezza informatica può anche aumentare il rischio di errori degli altri dipendenti. “Quello che sentiamo dagli esperti – dice Cassy Lalan, portavoce di Ibm Security – è che l’uomo è l’anello più debole nella sicurezza informatica. Gli esseri umani non sono perfetti e possono essere facilmente ingannati”. Cioè, gli esperti dicono che il modo più semplice per gli hacker di accedere ai sistemi di un’azienda è dall’interno, attraverso dipendenti non addestrati a procedure di sicurezza adeguate.

Senza il livello appropriato di formazione sulle competenze in materia di sicurezza informatica, i dipendenti non tecnici sono più vulnerabili alle cosiddette tattiche di ingegneria sociale, come le e-mail di phishing, che sfruttano l’ignoranza e la negligenza. Ciò consente agli hacker di ottenere un punto d’appoggio iniziale nel sistema di dati di un’azienda.

La soluzione ai problemi di sicurezza informatica delle aziende sta tutta nel trovare un modo per reclutare più professionisti più qualificati, o formare le risorse che sono già in azienda attraverso corsi di formazione qualificati!