Come ho avuto modo di evidenziare durante la mia audizione davanti alle Commissioni competenti della Camera, la valorizzazione del fattore umano è un elemento imprescindibile per la costituenda Agenzia per la Cybersicurezza Nazionale. Nella stessa sede il Sottosegretario Gabrielli ha, per altro, evidenziato che una delle principali difficoltà riscontrate per la partenza del CVCN (Centro di valutazione e Certificazione Nazionale) è stata proprio la difficoltà di reperire sul mercato figure professionali con adeguati profili e con le giuste competenze nonché disposti a lavorare per la pubblica amministrazione.
La limitata capacità di formare figure professionali e la limitata attrattività del settore pubblico
Questo episodio, unitamente alle decine di richieste per profili con competenze cyber che ricevo regolarmente dal mondo imprenditoriale, evidenzia due aspetti: il primo è la limitata capacità di formare figure professionali con queste competenze da parte del mondo universitario e, dall’altro, la limitata attrattività del settore pubblico per figure professionali che possono scegliere fra una pletora di invitanti percorsi e carriere sia in Italia che all’estero.
Per ovviare a questo secondo problema, il D.L. di istituzione della Agenzia di Cybersicurezza prevede uno status per i propri lavorati estremamente competitivo al fine di favorire quella attrattività che, invece, manca nel resto della Pubblica Amministrazione, aspetto questo sicuramente pregevole.
La cyber-hygiene minimale
È necessario, però, agire anche sulla offerta andando a promuovere, incentivare, sollecitare il mondo universitario, e più in generale quello della formazione, perché siano formati sia specialisti nel settore della cyber-security sia venga innalzato il livello minimo di competenze specifiche al fine di poter garantire una cyber-hygiene minimale. Non dobbiamo dimenticarci, infatti, che ancora oggi quasi il 90% degli attacchi cyber è reso possibili da comportamenti non adeguati da parte degli operatori. Nessuna efficace strategia di cyber-security può quindi prescindere da un innalzamento della “cultura della sicurezza”, per usare una locuzione presente nel D.L., sebbene i compiti assegnati all’Agenzia su questo aspetto, come elencati alla lettera v) del comma 1 dell’art .7, appaiono limitati ed andrebbero estesi per coprire oltre che l’altissima formazione (dottorato di ricerca) anche la formazione universitaria e professionale.
L’information sharing è la modalità con la quale le azioni di reazione di un soggetto si tramutano in azioni di prevenzione per un altro
Il cyber space è un dominio estremante pervasivo dove è difficile tracciare perimetri netti e dove le vulnerabilità di un singolo possono riverberarsi sull’intera collettività a causa della presenza di complessi fenomeni di dipendenza ed interdipendenza. Questo impone che le strategie di cyber-security si fondino su un proficuo e costruttivo scambio di informazioni fra i diversi attori coinvolti in quanto soprattutto in questo settore si può affermare, riprendendo la frase usata da un docente del mio Master, che l’information sharing è la modalità con la quale le azioni di reazione di un soggetto si tramutano in azioni di prevenzione per un altro. Da qui la necessità di avere una struttura, come quella delineata dal D.L., formata da competenze di primo piano in grado di dialogare con gli operatori pubblici e privati. Affinché, però, tale dialogo sia efficace e fattibile occorre far crescere le competenze e valorizzare le figure professionali che in ambito privato sovrintendono la gestione degli aspetti di sicurezza. In questi ultimi anni le associazioni di categoria del settore, in primo luogo AIPSA, hanno lavorato molto per evidenziare la necessità che le aziende si dotino di persone con specifiche competenze e professionalità in grado di avere una visione olistica della sicurezza in tutte le sue sfaccettature e come tali porsi quali autorevoli interlocutori nei confronti delle controparti pubbliche. Questo aspetto non appare però ancora adeguatamente coperto da prescrizione legislative con la sola eccezione della figura del Security Liaison Officer presente nella “vecchia” direttiva sulla sicurezza delle infrastrutture critiche.
La proposta: nella PA percorsi di carriera “riservati” a coloro in possesso di tali competenze
Se nel settore privato qualcosa si sta muovendo, in quello pubblico, come si accennava, la situazione è molto più preoccupante…
Continua a leggere l’articolo su Cybersecurity Italia, su cui l’articolo è stato originariamente pubblicato.
