La carenza di forza lavoro nella sicurezza informatica

Il contesto

Per risolvere le problematiche più complesse che le organizzazioni si trovano oggi ad affrontare, l’industria, il governo e le università devono aumentare considerevolmente il numero di professionisti della sicurezza informatica nella forza lavoro. Gli ostacoli all’ingresso nel settore devono essere eliminati mentre vanno aumentate le opportunità di istruzione, per assicurare che le persone talentuose delle più svariate estrazioni abbiano la possibilità di colmare il crescente deficit di talenti in tecnologia delle informazioni e sicurezza informatica. Per poter compensare la mancanza di professionisti qualificati, le soluzioni automatizzate devono diventare più sofisticate.

È un fatto ben documentato che la carenza di forza lavoro nella sicurezza informatica sta compromettendo la capacità delle organizzazioni di gestire la sicurezza delle proprie reti di informazioni sempre più complesse. Lo studio del 2016 "Hacking the Skills Shortage" svolto da McAfee e dal Centro Studi Strategici e Internazionali (CSIS) ha riscontrato che la carenza di competenze non è un problema regionale e neanche nazionale, ma è globale. L’82% degli interpellati di tutto il mondo ha segnalato una mancanza di competenze in sicurezza informatica nella propria organizzazione, mentre il 71% era concorde sul fatto che la scarsità di talenti rende le organizzazioni più vulnerabili agli attacchi.

Si prevede che il problema peggiorerà negli anni a venire. Lo studio Global Information Security Workforce compiuto nel febbraio 2017 da (ISC)2, prevede che entro il 2022 mancheranno 1,8 milioni di addetti. Per rimediare a questa carenza i legislatori devono incoraggiare un segmento maggiore di popolazione a intraprendere gli studi tecnici, in particolare nella sicurezza informatica.

La carenza di competenze in questa materia è particolarmente acuta nel governo federale. Secondo l'ex Chief Information Officer degli Stati Uniti Tony Scott erano stati stimati 10.000 posti nel governo federale per i professionisti informatici, tuttavia non c'erano abbastanza persone qualificate da assumere. Dato il ruolo vitale svolto nella protezione degli Stati Uniti da enti governativi come il Dipartimento della Difesa (DoD) e il Dipartimento della Sicurezza Nazionale (DHS) oltre che dalle agenzie di intelligence, questa lacuna di competenze è inquietante e merita l’attenzione dei legislatori.

Nel maggio 2017 il presidente Donald Trump ha emesso un ordine esecutivo in materia di sicurezza informatica rivolto al segretario al commercio e al segretario alla sicurezza nazionale. L’ordine era di valutare portata e sufficienza delle attività dell’amministrazione per l’istruzione e formazione della futura forza lavoro americana nella sicurezza informatica. Ciò includeva i programmi scolastici e i programmi di formazione e apprendistato, dalla scuola primaria all’istruzione superiore.

L’importanza per McAfee

Assicurare una crescente disponibilità di talentuosi professionisti della sicurezza informatica, a ogni livello, è una delle nostre principali iniziative come azienda. Siamo impegnati a lavorare con le parti interessate dei settori pubblico e privato per colmare a lungo termine le sistemiche lacune di competenze in sicurezza informatica, tramite il sostegno alle relative politiche e alle collaborazioni con scuole e università. Questo ci consente inoltre di stringere forti legami con le comunità in cui operiamo, che a loro volta ci aiutano ad assumere e a mantenere il tipo di talenti di cui abbiamo bisogno per far crescere e prosperare la nostra azienda.

In qualità di impresa leader nella sicurezza informatica, McAfee è impegnata nel fare tutto il possibile, non solo per alleviare la carenza di competenze, ma anche per compensarla. Riteniamo che si debba utilizzare l’automazione intelligente in un ambiente integrato per sostituire le risorse umane che svolgevano attività banali. Ciò migliorerebbe la difesa delle organizzazioni e lo si può realizzare tramite politiche configurate a livello di organizzazione che favoriscano un’automazione intelligente e guidata dal contesto. Le persone potrebbero così concentrarsi su ciò che sanno fare meglio: pensare e agire.

Punti salienti

I vantaggiosi scambi reciproci fra i settori pubblico e privato

Dobbiamo sviluppare approcci creativi per consentire ai settori pubblico e privato di condividere i talenti, in particolare durante significativi eventi legati alla sicurezza informatica. Quest’ultima è un’area in rapido cambiamento: ciò che è valido oggi potrebbe essere già superato domani. Sappiamo che gli avversari innovano e cambiano rotta costantemente, spesso reagendo alle nuove capacità difensive sviluppate dal settore privato. È irrealistico pensare che i professionisti informatici del governo siano in grado di tenere il passo con un ambiente in così rapida evoluzione, senza l’assistenza del settore privato. Per loro, in particolare gli analisti o coloro i quali si stanno formando come analisti, dobbiamo progettare un meccanismo di passaggio continuo dal settore pubblico al privato e viceversa, in modo che le competenze delle organizzazioni governative si aggiornino continuamente.

Un modo per realizzarlo sarebbe la collaborazione fra DHS da un lato e aziende e altre organizzazioni come le università dall’altro, al fine di creare un gruppo di professionisti della sicurezza informatica, operatori, analisti e ricercatori. dotati delle credenziali per muoversi liberamente fra gli impieghi nei settori pubblico e privato. Tali professionisti, in particolare quelli del settore privato, potrebbero essere sempre pronti ad aiutare sia l’entità colpita sia il governo nella risposta tempestiva a una grave violazione. Da parte loro i professionisti, sia del governo che del settore privato, trarrebbero vantaggio da periodiche rotazioni nei posti di lavoro, ad es. di due-tre settimane all’anno. Questo tipo di scambio reciproco agevolerebbe la condivisione delle migliori pratiche da parte di tutti in merito a tecnologia, processi aziendali e gestione del personale. Nel proprio piano per la ridefinizione delle assunzioni e del mantenimento del personale di sicurezza informatica il DHS dovrebbe includere un gruppo flessibile pubblico-privato di professionisti certificati. Se il DHS non è pronto ad agire, il Congresso dovrebbe creare una commissione di esperti dei settori pubblico e privato per studiare il modo in cui si potrebbe formare e gestire un gruppo flessibile di professionisti della sicurezza informatica. Proprio come la Guardia Nazionale, un approccio di assunzione flessibile potrebbe diventare un modello di eccellenza per colmare la lacuna delle competenze.

 

Ampliare il programma CyberCorps

Il programma CyberCorps Scholarship for Service (SFS) della National Science Foundation (NSF) è concepito per aumentare e rafforzare il gruppo di specialisti di garanzia delle informazioni federali che proteggono i sistemi e le reti del governo. A tutt’oggi l’impegno governativo a sostegno del programma SFS è stato notevole, con una spesa di 45 milioni di dollari nel 2015, di 50 milioni nel 2016, di 70 milioni nel 2017 e di 40 milioni nella richiesta di bilancio dell’amministrazione per l’anno fiscale 2018. Un investimento di 40 milioni di dollari si ripaga con il completamento del programma di borse di studio da parte di oltre 1.500 studenti. Date le dimensioni e la scala del deficit di competenze informatiche, i legislatori devono aumentare significativamente l’entità del programma. Un investimento di 180 milioni di dollari supporterebbe circa 6.400 borse, alleviando a breve termine la carenza di competenze informatiche.

 

Creare un programma per i community college

I community college tendono ad attirare studenti molto diversi, dai neodiplomati ai veterani di guerra e altri adulti in possesso di un’esperienza professionale che perseguono un cambio di carriera. Tramite investimenti pubblici e privati, i community college potrebbero aprire dei corsi di studio sovvenzionati incentrati sulle discipline di IT e sicurezza informatica. Gli studenti interessati verrebbero formati sia dalle facoltà del collegio sia da professionisti del settore privato fino a conseguire un certificato biennale in sicurezza informatica, che sarebbe trasferibile alle scuole quadriennali oppure consentirebbe agli studenti di entrare immediatamente nel mondo del lavoro. Come nel programma CyberCorps, al termine dei corsi gli studenti verrebbero inseriti in posizioni federali, nelle quali passerebbero lo stesso periodo di tempo delle borse di studio, ma lavorando in un posto governativo sicuro. Tale programma non dovrebbe sostituire ma piuttosto integrare l’esistente e molto apprezzato programma CyberCorps SFS.

 

Istruzione primaria e secondaria

È fondamentale diffondere presso gli studenti delle scuole primarie e secondarie la nozione della sicurezza informatica come carriera entusiasmante e dall’impatto molto positivo sulla società. Dati recenti di Microsoft indicano che le ragazze europee cominciano a interessarsi alle discipline STEM intorno agli 11 anni di età, ma l’interesse comincia ad affievolirsi intorno ai 15. Ciò dimostra la necessità sia di interagire con le ragazze sia di ispirarle durante tale critico periodo.

Dobbiamo incrementare le assunzioni di insegnanti, ma è anche importante ricordare che la sicurezza informatica è un campo di studi specifico, che richiede uno specifico metodo di insegnamento. I professionisti del settore vantano esperienze ricche ed eterogenee che rendono più interessanti le conversazioni su come svolgere questo lavoro in modo efficace. Inoltre possono dare eccellenti suggerimenti basati sull’esperienza pratica sul campo.

 

Aumentare notevolmente la diversità

La professione della sicurezza informatica si distingue per beneficiare notevolmente dalla diversità in molti settori. Secondo il report Women in Cybersecurity realizzato dal Centro per la Formazione e la Sicurezza Informatica e dal Forum delle Donne su Sicurezza delle Informazioni, Gestione dei Rischi e Privacy la percentuale di donne in questo campo è solo l’11% in tutto il mondo. Nel Nord America le donne costituiscono solo il 14% dei professionisti in sicurezza informatica. La percentuale è ancora inferiore per gli afroamericani negli Stati Uniti, pari al 3% degli analisti della sicurezza delle informazioni, secondo l’Ufficio delle Statistiche sull’Impiego. La formazione e assunzione di un maggior numero di donne e persone di colore allevierebbe la carenza delle competenze. Un punto interessante è che quelli che la società considera tradizionalmente tratti “femminili” sono molto utili nella sicurezza informatica: collaborazione, lavoro di gruppo e creatività, per citarne alcuni.

Inoltre, spiegando in che modo il lavoro della sicurezza informatica aiuta le persone possiamo suscitare l’interesse di un maggior numero di donne e attirare più individui dalla mentalità filantropica. Per esempio, il numero di donne laureate in ingegneria è più alto in bioingegneria e ambiente, campi che gli studenti considerano come un aiuto all’umanità. La sicurezza informatica è chiaramente un campo che ambisce a proteggere e dare più potere alla gente. Presentandolo in modo efficace, potrebbe attingere a un ambiente ricco di ragazze e donne dalle grandi capacità, che potrebbero colmare quel deficit crescente di un milione e mezzo di persone.

 

Automatizzare le funzioni di routine

Un’ultima strategia a lungo termine per affrontare il deficit di competenze in sicurezza informatica è quella di supportare sistemi sempre più automatizzati, in particolare incorporando nelle tecnologie avanzate l’apprendimento macchina e l’intelligenza artificiale. Un’architettura automatizzata allevia la carenza di competenze riducendo le attività banali per il personale di IT e sicurezza informatica, che così può concentrarsi esclusivamente sui compiti di remediation che richiedono l’analisi e l’intervento umani. L’affidamento su soluzioni automatizzate e sempre più sofisticate è un approccio al contempo efficiente e necessario. Anche se la tecnologia sta rapidamente migliorando siamo ancora lontani dal colmare la lacuna di competenze informatiche. Dobbiamo lavorare simultaneamente su entrambi gli imperativi: formare un maggior numero di professionisti della sicurezza informatica e rendere più sofisticati i loro ruoli automatizzando le attività di routine.