Economia

Sicurezza informatica. Contro gli attacchi servono formazione e professionisti

Maurizio Carucci venerdì 14 aprile 2023

Mancano i professionisti della sicurezza informatica

Le aziende italiane temono soprattutto le minacce informatiche. Gli incidenti, come le interruzioni dell'attività It, gli attacchi o le violazioni dei dati sono in testa ai rischi più importanti a livello globale per il secondo anno consecutivo per l'Allianz Risk Barometer. L’aumento esponenziale degli attacchi che hanno colpito lo scorso anno aziende private e pubbliche con gravi ricadute ha interessato tanti settori, in particolare quello manifatturiero: la sicurezza informatica deve essere sempre più una priorità secondo Ermes-Cybersecurity. Tuttavia le imprese fanno fatica a trovare profili disponibili sul mercato: nel 2022, il 53% delle richieste di personale in ambito It non ha trovato riscontro, con picchi che sono arrivati sino al 59% quando si è trattato di ricercare tecnici e gestori di reti, tecnici di servizi telematici e security Ict. Emerge da un'elaborazione di Formaper, su dati del Sistema Informativo Excelsior Unioncamere-Anpal. Secondo una recente stima Assintec-Assiform in Italia ci sono 89mila posti di lavori vacanti in questo settore e di questi circa 57mila rappresentano opportunità di lavoro accessibili anche per professionisti non laureati. In una situazione dove il mercato del lavoro è caratterizzato da un ampio ricambio, visto che secondo il ministero del Lavoro lo scorso anno 2,2 milioni di persone si sono dimesse volontariamente (+14% sul 2021), il ritmo elevato dell’innovazione tecnologica sta superando le capacità delle organizzazioni di formare e migliorare le competenze dei lavoratori lasciando il 72% dei team informatici con importanti carenze. Tutto questo si riversa su un mercato del lavoro sempre più ristretto generando a tutti gli effetti una vera e propria corsa ai talenti, dove le aziende stanno sperimentando nuove soluzioni per venire incontro alle necessità delle persone garantendo al contempo la stabilità e continuità del business. Alla base del problema c’è un’importante carenza di formazione digitale che riguarda l’Italia: il Bel Paese entro il 2026 dovrà formare più di due milioni di occupati con competenze digitali di base per stare al passo con le necessità del mercato: inoltre, per centrare gli obiettivi Ue del Digital Compass al 2030, l’Italia dovrà (ri)formare con competenze digitali di base più di 20 milioni di persone.​ «È evidente che siamo in un momento storico particolare dove all’interno del settore It c’è una grande rotazione del personale iniziata con il lockdown e ancora non terminata. È un fenomeno che pone una importante sfida di fronte alle aziende, in un Paese in cui vige ancora una cultura aziendale fortemente ancorata al passato», spiega Livia Rossetto, Senior People & Culture Manager di Mia-Platform, tech company 100% italiana con un’età media di soli 29 anni e che nell’ultimo triennio ha assunto oltre 100 sviluppatori. Intanto in Italia gli attacchi sono cresciuti del +169% rispetto all'anno precedente. Secondo quanto emerso dal Rapporto Clusit 2023, il nostro Paese ha avuto un notevole incremento di cyber-attacchi andati a segno nel 2022, arrivando a raggiungere il 7,6% degli attacchi globali (contro il 3,4% del 2021). E, solo negli ultimi 5 anni, la situazione è peggiorata nettamente: confrontando infatti i numeri del 2018 con quelli del 2022, la percentuale di crescita di attacchi rilevati è stata del 60%. L'Italia sembra essere così uno dei Paesi maggiormente attaccati dagli hacker, nel mirino in particolare il settore manifatturiero con il 27%, seguito da quello governativo con il 20% degli attacchi. Questo settore ha conosciuto in questi anni, grazie anche alla spinta della pandemia, una forte digitalizzazione che lo ha reso protagonista di una quarta rivoluzione industriale e teatro di una transizione da una produzione fortemente manuale e analogica ad un’altra sempre più interconnessa. Tuttavia questa transizione ha evidenziato un’arretratezza tecnologica e dei modelli organizzativi che coinvolgono l'intera infrastruttura di sicurezza informatica del Paese. Le aziende, infatti, sono poco consapevoli delle alte probabilità di subire attacchi informatici e i motivi possono essere ricondotti alla mancanza di conoscenza. Ciò che preoccupa maggiormente è il furto d'identità/credenziali per il 69%, la presenza di malware per il 62%, la vulnerabilità dei sistemi per il 58%, gli attacchi di phishing, sempre per il 58% e infine per il 25% l’attacco da siti web malevoli. La necessità di protezione dei nuovi confini e paradigmi digitali deve far ripensare i processi esistenti in un’ottica nuova e connessa con il mondo esterno: la cybersecurity non deve essere considerata come un’opzione, ma un’esigenza connaturata al business stesso e alla sua continuità. Definire un dipartimento It o avvalersi di specialisti per costruire l’architettura di sicurezza dell’azienda costituisce la prima grande sfida delle aziende manifatturiere. La conferma arriva anche da uno studio Confesercenti-Swg. Il 26% delle imprese italiane ha avuto problemi relativi alla sicurezza informatica. Su un campione del 5% delle pmi tra i dieci e i 50 dipendenti, il 52% degli intervistati ha detto che potenzierà i sistemi di difesa destinando nel 2023 risorse per la messa in sicurezza dei propri dati, per un investimento complessivo di quasi 470 milioni di euro. Nei prossimi tre anni - secondo la ricerca - le spese per la difesa informatica delle imprese nel loro complesso ammonteranno a dieci miliardi di euro. La progressiva digitalizzazione del terziario - si legge nello studio - ha portato la quasi totalità delle imprese intervistate (il 97%) ad adottare uno o più sistemi informatici: il 90% ha un sistema di posta elettronica gestito internamente, il 73% ha un sito web, mentre il 61% si avvale di un software o piattaforma gestionale interna. Un ulteriore 35% mette a disposizione dei clienti una rete wi-fi pubblica, mentre il 28% gestisce un portale di e-commerce. Il 49% delle pmi ritiene di dover fare di più per garantire la sicurezza dei propri dati e dell'attività, mentre una quota appena superiore - il 52% - prevede di destinare risorse a questo fine nell'anno in corso, con una spesa media di 4.800 euro per impresa, per un totale di oltre 470milioni. Solo il 50%, però, ha già individuato un fornitore di servizi a cui affidarsi. Nonostante gli investimenti in sicurezza informatica in Italia siano cresciuti a 1,55 miliardi di euro nel 2021, un milione e 653mila piccole e medie imprese (40%) non sono assicurate. Se da un lato le grandi aziende stanno aumentando il proprio budget per la sicurezza informatica, dall'altro le pmi non hanno la medesima possibilità, rendendo così l'intero Paese più vulnerabile. Da una recente ricerca Axitea relativa al biennio 2021-2022, emerge che il 78% delle imprese italiane ha deciso di mantenere costante il budget di investimenti stanziato per la cybersecurity, mentre il 19% ha previsto di aumentarlo. Tuttavia i responsabili aziendali fanno ancora fatica a comprendere l'importanza della cybersecurity come abilitatore di business. Il dato emerge da Risk & reward: reconciling the conflicted views of business leaders on the value of cybersecurity, l'ultimo studio di Trend micro. Il 64% dei decisori aziendali intervistati ha dichiarato di voler aumentare gli investimenti nella cybersecurity già da quest'anno. Tuttavia, la ricerca rivela anche delle criticità nella comprensione da parte del campione della relazione tra sicurezza informatica e altre parti dell'organizzazione. La metà dei responsabili aziendali (51%) afferma che la sicurezza informatica è un costo necessario, ma non contribuisce agli utili, mentre il 48% sostiene che il suo valore si limita alla prevenzione di attacchi/minacce. Un quinto (38%), vede addirittura la sicurezza come una barriera piuttosto che come un abilitatore di business. L'81% teme che la mancanza di un'adeguata infrastruttura di sicurezza informatica possa influire sulla capacità di fare business e il 19% ammette che questo è già successo. Il 71% del campione ha infatti ammesso di aver ricevuto domande sulla propria postura di sicurezza in fase di negoziazione con potenziali clienti e fornitori e il 78% ha affermato che la richiesta di queste informazioni è sempre più frequente. Nonostante i potenziali clienti o i fornitori attribuiscano importanza alla sicurezza in fase di negoziazione, solo il 57% dei responsabili aziendali percepisce una connessione forte o molto forte tra cybersecurity e acquisizione/soddisfazione del cliente. L'acquisizione di talenti è un'altra area in cui esistono evidenti lacune nella comprensione da parte dei decisori di business dell'interconnessione tra la sicurezza informatica e il resto dell'azienda. Quasi tre quarti (71%) degli intervistati ha affermato che la possibilità di lavorare da qualsiasi luogo è diventata vitale nella battaglia per l'acquisizione dei talenti. Solo due quinti del campione comprende la forte connessione tra sicurezza informatica e permanenza dei dipendenti (42%) o attrazione dei talenti (43%). Questo nonostante il campione riconosca l'impatto della cybersecurity sull'esperienza dei dipendenti. Secondo uno studio di Pwc, il crescente interesse delle aziende per la cybersecurity, dovuto all'aumento dell'uso delle tecnologie digitali e al panorama delle minacce in continua evoluzione, ha già portato a miglioramenti nella sicurezza informatica.

La formazione su misura per imparare le buone pratiche

In risposta a questo scenario, Sababa Security lancia Sababa Awareness Program, con l’obiettivo di migliorare il livello di consapevolezza degli utenti finali verso le minacce informatiche. Competenze generali di cybersecurity e la conoscenza di argomenti specifici di sicurezza rilevanti per ogni area di competenza aiutano infatti i dipendenti ad acquisire un “comportamento digitale” più sicuro e consapevole sul lavoro, ma non solo. I cyber criminali sono soliti sfruttare l’emotività degli utenti che messi sotto pressione dall’urgenza, dalla gerarchia e richieste di aiuto, abbassano il livello di attenzione, inducendoli a compiere azioni che risultano essere pericolose per la sicurezza aziendale. Il programma, personalizzabile in base alle esigenze del cliente, si sviluppa tramite attività integrate e ricorrenti di formazione e verifica del livello raggiunto con contenuti formativi costantemente aggiornati sia in termini di argomenti sia di formato, in modo da mantenere alto il livello di interesse e il coinvolgimento degli utenti. Il programma prevede contenuti in diverse lingue standard o personalizzabili (Italiano, inglese, spagnolo e francese ma anche, ad esempio, portoghese o uzbeko), la distribuzione di campagne di phishing per verificare costantemente il livello di attenzione e consapevolezza e una formazione differenziata per funzione aziendale e obbiettivi, sia in termini di contenuti che di metodi di erogazione. E per dare risposte concrete a questo fabbisogno Formaper attiva il corso di Esperto di sicurezza delle reti e dei sistemi informatici per le imprese, in collaborazione con Tim. Rivolto a giovani e adulti da inserire o reinserire nel mercato del lavoro, il percorso formativo intende formare 20 specialisti che saranno in grado di prevenire, riconoscere e gestire gli attacchi informatici aziendali. Questa figura potrà operare come risorsa interna in imprese appartenenti a qualsiasi settore o all’interno di aziende fornitrici di servizi informatici o di consulenza. Il corso ha la durata complessiva di 300 ore, di cui 260 ore on line e 40 ore in presenza a Milano, avrà inizio il 2 maggio e terminerà il 14 luglio. Seguiranno colloqui con imprese finalizzati all’inserimento lavorativo. Candidature aperte fino al 17 aprile 2023. Tutte le informazioni a questo link: Corso esperto sicurezza reti - Formaper. Da segnalare anche che dal 21 al 23 aprile si svolgerà Puglia Women Code, pensato per studentesse e professioniste che intendono intraprendere una carriera nei settori dell’informatica, del digitale e dello sviluppo web. Tra i partner dell’iniziativa anche aulab, la coding factory italiana nata in Puglia, che metterà a disposizione la propria esperienza e cinque borse di studio per i corsi della sua Hackademy. Per iscriversi: https://www.eventbrite.it/e/biglietti-puglia-women-code-558041586407. Infine tornano i Sapienza Career Days, con una giornata dedicata all'incontro tra aziende e laureandi e laureati delle Facoltà Stem: Ingegneria dell’informazione, informatica e statistica, Architettura, Ingegneria civile e industriale, Scienze Matematiche, fisiche e naturali. L'appuntamento è per il 18 maggio dalle 9.30 alle 17.30 presso la Citta universitaria - Piazzale Aldo Moro, 5 - Roma.