La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
Nella primavera di quest’anno si diffuse un allarme in merito alla scarsezza di competenze di sicurezza informatica in Italia. La notizia si era originata dalle difficoltà della neonata Agenzia per la Cybersicurezza Nazionale (ACN) nel ricevere risposte ai concorsi indetti per assumere personale (il 15 marzo erano scaduti i termini per presentare le candidature per 50 assunzioni a tempo indeterminato e 11 a tempo determinato). Un buon articolo di Guerre di Rete ha riassunto ottimamente la notizia.
Questo articolo vuole ampliare alcune riflessioni emerse dall’articolo.
I REQUISITI PER CANDIDARSI
ACN pose alcuni requisiti di competenza, sicuramente molto elevati. Per esempio, richiedeva un voto di laurea pari o superiore a 105/110. Io non avrei potuto partecipare alla selezione, visto che uscii con 101. Ho conosciuto altre persone, molto competenti, con le giuste capacità analitiche e la passione per la tecnologia, che hanno anche svolto attività lavorativa in parallelo alla frequentazione dell’università. Il voto finale, però, non è tanto elevato quanto richiesto da ACN.
Sembra purtroppo essere tornati al tempo delle barzellette delle aziende che cercavano persone con titoli di studio stupefacenti e 10 o 15 anni di esperienza, per uno stipendio di 20-30 mila euro annui. È vero che organizzazioni come ACN e molte grandi imprese devono porre paletti per una prima selezione, ed è vero che è impossibile stabilire con certezza quando una persona ha buone potenzialità anche senza un voto di laurea molto alto (riproponendo la questione di quando un girino diventa rana) e quindi questi paletti sono criticabili. I risultati delle selezioni, però, dimostrano che sono stati posti troppo in alto.
I MASTER: UN’ “INVENZIONE” NORDAMERICANA
I master sono innanzi tutto un’invenzione nordamericana. In Italia, fino al 2000 circa, eravamo abituati a un percorso di studio che, per arrivare alla conclusione dell’Università, richiedeva 18 anni; attualmente, come in Nord America, ne sono richiesti 16, con una diminuzione della durata della maggioranza dei corsi di laurea da 5 a 3 anni. Questo, quindi, permette di affrontare corsi superiori: master e corsi di laurea magistrale.
I master permettono di acquisire competenze in uno specifico ambito accademico o professionale. Bisogna però prestare attenzione perché esistono master universitari e non universitari, master di primo e di secondo livello.
I master universitari sono spesso promossi da Università e hanno un ambito specifico. Alcuni sono promossi dai dipartimenti di giurisprudenza e si concentrano tanto sul GDPR e poco o niente sulla restante normativa relativa alla sicurezza informatica (eIDAS, CAD, firma digitale e conservazione, D. Lgs. 231 del 2001, computer crime, diritto d’autore e della proprietà industriale, infrastrutture critiche, NIS e perimetro di sicurezza cibernetica, classificazione e segreto di Stato, e-commerce) e a settori specifici (p.e. ISP e banche).
Altri si concentrano sugli standard relativi ai sistemi di gestione e in particolare alla ISO/IEC 27001 (spesso affiancata dalle ISO 9001, ISO/IEC 20000 e ISO 22301), sfiorando i temi legali e cercando di non toccare i temi tecnologici, lasciando ai partecipanti, se lo desiderano, il compito di affrontarli a parte.
I corsi di tipo tecnologico si basano troppo spesso su vecchie tecnologie; in alcuni casi degli anni Settanta. Spesso poi si soffermano, anche giustamente, su aspetti molto tecnici a discapito della normativa applicabile e della parte organizzativa della sicurezza.
ENISA ha avviato il progetto CYBERHEAD – Cybersecurity Higher Education Database, di censimento dei programmi di sicurezza informatica a livello universitario. È importante osservare che anche in questo caso i programmi sono promossi da istituzioni nel campo dell’istruzione generale, non professionale ed essere consapevoli che i master e le lauree magistrali sono solitamente di impronta teorica.
ALTRI PERCORSI POSSIBILI (PER CHI HA GIÀ ESPERIENZA)
Per seguire corsi di sicurezza informatica non è necessario seguire un master: sono disponibili ulteriori corsi professionali più brevi e indirizzati a persone con esperienza. Molti portano all’ottenimento di un certificato di competenze e sono descritti dal Quaderno Clusit 09 “Certificazioni Professionali in Sicurezza Informatica 2.0” (questo quaderno è in fase di aggiornamento).
In alcuni casi, una laurea, affiancata da un certificato professionale di questo tipo potrebbe essere ritenuta una valida alternativa ai master e alle lauree magistrali.
IL RUOLO DELLE AZIENDE
Inutile girarci intorno: le organizzazioni non possono pensare di assumere persone che abbiano appena terminato gli studi e abbiano elevate competenze di sicurezza informatica, tali anche da permetterne l’inserimento senza lunghi affiancamenti. Devono necessariamente formarle internamente (alcune aziende propongo un percorso di stage di due o tre mesi al termine del quale selezionano le persone da assumere). Questo avviene da sempre e l’aumento dell’offerta universitaria non può cambiare le cose.
Le PMI, a loro volta, possono acquisire competenze assumendo persone già preparate dalle grandi imprese o dalle società di consulenza o facendole affiancare da consulenti esperti. In altre parole, è vero che non sono disponibili numerose persone competenti nell’ambito della sicurezza informatica, ma per averle (e conteggiarle) è necessario non considerare solo quelle con i titoli di studio.
Note finali
Grazie a mia nipote Chiara Gasperoni per avermi fornito alcuni spunti.
