La mancanza di professionisti di cyber security nel mercato del lavoro globale, il cosiddetto cyber security skills shortage (CSSS), è uno dei problemi maggiormente discussi a livello di politiche nazionali e strategie di reclutamento nel settore privato, come testimoniato dai timori di alcuni governi e di molte aziende. L’anno scorso ho condotto una ricerca finalizzata a rispondere a due domande: cosa sappiamo sul CSSS e quale prova abbiamo della sua esistenza? Cosa stanno facendo i governi per aumentare il numero di professionisti in cyber security? Per rispondere a queste domande ho analizzato circa 50 rapporti e strategie cibernetiche nazionali e ho intervistato 30 esperti nell’ambito di uno studio sul campo condotto presso l’agenzia europea di cyber security, l’Enisa. I risultati della ricerca, supportata dalla Fondazione Global Cyber Security Center, confermano un quadro molto complesso.

UNA PERCEZIONE DIFFUSA

La ricerca evidenzia che c’è sicuramente una diffusione percezione del CSSS. Purtroppo però percezione spesso non equivale a fatti concreti. Infatti, quello che sappiamo sul CSSS si basa su dati empirici imperfetti, che finora hanno contribuito a indirizzare il dibattito pubblico nella direzione sbagliata. Per esempio, quando si leggono i rapporti sul CSSS pubblicati dall’industria, spesso il sistema educativo viene considerato come il responsabile principale del problema. Ma così non è.

LE RAGIONI DEL PROBLEMA

Quando ho analizzato i vari rapporti governativi e ascoltato le opinioni degli esperti, è emerso chiaramente come, sebbene sia vero che il sistema educativo si debba modernizzare, anche i datori di lavoro sono in parte responsabili del problema. Questo poiché raramente offrono posti di lavoro a neolaureati, impedendo così loro di maturare quell’esperienza lavorativa così apprezzata nel settore, o programmi formativi per incrementare la conoscenza e le competenze di sicurezza dei proprio lavoratori. Nonostante le imperfezioni metodologiche delle ricerche finora svolte sul CSSS, però sarebbe irresponsabile dichiarare che il CSSS non esista e non approfondire ulteriormente questa problematica.

UN FENOMENO COMPLESSO

Vari documenti nazionali e le interviste che ho condotto hanno sottolineato come ci siano in questo momento vari problemi nel far incontrare domande e offerta di lavoro nel settore della cyber security, ma purtroppo finora non siano state elaborate delle metriche universalmente accettate per descrivere e comprendere il fenomeno fino in fondo.
Ma se quindi se ci sono problemi nell’assicurare un adeguato numero di professionisti, cosa stanno facendo i governi per tutelarsi? Innanzitutto, vari governi hanno cercato di coinvolgere gli i principali del dibattito, ovvero l’accademia e l’industria. Inoltre, le autorità nazionali hanno investito soprattutto nell’università e in programmi dedicati alla forza lavoro, mentre iniziative più vaghe e meno incisive sono invece state dirette verso la scuola primaria e secondaria e verso percorsi educativi professionalizzanti.

LE POLITICHE DA ADOTTARE

Ciononostante, le politiche promosse da alcuni governi sembrano vittima di quella scarsa comprensione del fenomeno di cui abbiamo parlato sopra. Nello specifico, non si capisce quali iniziative siano volte ad aumentare il numero di professionisti e quali invece siano dedicate ad aumentarne la qualità della conoscenza e preparazione in cyber security. Questo però è un problema rilevante soprattutto se i governi pensano di star incrementando la quantità di professionisti, quando in realtà stanno cercando di aumentare la qualità delle loro competenze. Il risultato sarebbe che avremmo sicuramente più professionisti di cyber sicurezza bravi (che ovviamente è un bene), ma ancora non ne avremmo nella quantità adatta a soddisfare la domanda del mercato del lavoro.

IL RUOLO DELLA RICERCA SCIENTIFICA

Perciò è urgente approfondire il tema del CSSS attraverso ricerca scientifica di prima qualità, in grado di definire con chiarezza i contorni del problema e indicarci quali politiche pubbliche siano più efficaci. In un mondo dove sofisticati attacchi informatici sono in grado di mettere in ginocchio la nostra società, è di primaria importanza che i governi prendano delle misure urgenti per crescere e formare le persone in grado di proteggere i nostri sistemi e dati sensibili.