I professionisti della cybersecurity dell'ISC2 hanno dato il loro ritratto della cybersecurity nelle imprese. E non c'è da stare allegri.
Autore: f.p.
I professionisti della cybersecurity si trovano, nel loro lavoro, ad affrontare pressioni sempre più forti - dalle minacce esterne allo skill shortage interno - e proprio questo clima di lavoro non certo ideale ha impatti negativi sulla loro capacità di difendere le infrastrutture IT. È una conclusione che vale un po' ovunque nel mondo e che rappresenta la sintesi di spicco di una analisi - il Cybersecurity Workforce Study - condotta a livello globale da ISC2, la principale associazione di professionisti della cybersecurity, con oltre 600 mila membri.
Nell'approfondire lo scenario di come lavorano, e di come vorrebbero lavorare, i professionisti della cybersecurity, ISC2 mette innanzitutto in evidenza un problema di risorse. È vero che nell'ultimo anno la forza lavoro nel campo della cybersecurity è cresciuta dell'8,7%, ma il divario tra il numero di lavoratori necessari e quelli disponibili ha continuato a crescere, con un aumento del 12,6% rispetto all'anno precedente.
In cifre, la forza lavoro mondiale della cybersecurity conta qualcosa come 5,5 milioni di addetti (1,3 in Europa). Il gap stimato è notevole: secondo ISC2 mancano 4 milioni di professionisti in tutto il mondo, di cui 350 mila in Europa. La gran parte di questo gap (2,7 milioni) è legata alla regione Asia-Pacifico, piuttosto indietro sul percorso della cybersecurity.
Non è un bene che questa situazione di "workforce gap" venga aggravata da tagli e ridimensionamenti di budget. Il 47% del campione analizzato ha dovuto affrontare eventi negativi come licenziamenti, tagli al budget e blocco delle assunzioni o delle promozioni. Il 31% prevede ulteriori tagli nel prossimo anno. In parte queste valutazioni sono influenzate dal fatto che l'analisi è sbilanciata verso gli Stati Uniti, dove tagli e ricollocamenti sono più frequenti, ma la sensazione generale è che la cybersecurity paghi più del dovuto le incertezze dei mercati.
Ridurre gli investimenti in cybersecurity infatti non fa bene alle imprese. Il 67% degli intervistati ha dichiarato che la propria azienda non ha abbastanza personale di cybersecurity per prevenire e risolvere i problemi di sicurezza. E il 92% riferisce di non avere a disposizione tutte le competenze che servirebbero, in particolare quando si tratta degli ambiti considerati oggi più importanti: cloud security, AI/ML, implementazione di architetture Zero Trust, penetration testing, application security.
Acquisire queste competenze chiave aiuterebbe a mitigare l'impatto negativo della carenza di personale, secondo il 58% del campione intervistato. In sostanza, meglio avere meno personale più skillato che avere molte persone ma poco preparate sui temi chiave della cybersecurity. Questo è ancora più importante, sottolinea ISC2, perché il panorama delle minacce non sta affatto migliorando. Il 75% dei professionisti della sicurezza considera l'attuale panorama come il più impegnativo degli ultimi cinque anni e solo il 52% ritiene che la propria organizzazione disponga degli strumenti e delle risorse necessarie per rispondere alle minacce informatiche dei prossimi due o tre anni.
Non stupisce quindi che la quota di professionisti della cybersecurity che si dichiara molto o in qualche modo soddisfatta del proprio lavoro sia in calo, anche se di poco. Nell'analisi ISC2 di quest'anno si ferma al 70%, quattro punti percentuali in meno rispetto al 2022. Un calo dovuto, principalmente, al fatto che tagli e licenziamenti comportano un sovraccarico di lavoro per il personale che resta in azienda.
Le percentuali dei professionisti che indicano di lavorare in condizioni tutt'altro che ideali sono elevate. La "top 5" dei principali problemi da affrontare comprende non avere abbastanza tempo per una corretta gestione dei rischi (50% di citazioni), il fatto che processi e procedure non vengono correttamente portati avanti (45%), avere sistemi mal configurati (38%), impiegare troppo tempo per il patching dei sistemi critici (38%), non riuscire a mantenersi al passo con il panorama delle minacce attive (35%).
Da tutto questo derivano insoddisfazione, frustrazione, perdita di fiducia. Un cocktail negativo che oggi è un grosso rischio, anche perché la criminalità cyber è pronta ad approfittarne. Il 71% del campione ISC2 indica che l'incertezza economica aumenta il rischio di avere insider malintenzionati. Tanto che molti (il 39% del campione) professionisti della cybersecurity sono stati contattati da qualcuno che li voleva coinvolgere in azioni criminali, o conoscono qualcuno a cui è successo.
Prevedibilmente, per le aziende che hanno subito licenziamenti nel settore della cybersecurity aumenta di molto (di tre volte) la probabilità che i dipendenti siano "invitati" ad agire come insider malintenzionati. Un problema da sempre, oggi ancora più sentito dalle aziende: è il secondo più grave sperimentato nell'ultimo anno secondo il campone ISC2, con il 38% di citazioni e secondo solo allo skill shortage (45%).
Se si guarda invece al futuro, le preoccupazioni sono un po' diverse. Le sfide principali che i professionisti della cybersecurity prevedono di dover affrontare nei prossimi due anni riguardano i rischi introdotti dalle tecnologie emergenti (blockchain, AI, VR, quantum computing, automazione... rischi citati dal 45% del campione), l'onnipresente skill shortage (43%), il doversi tenere al passo con le normative sempre in evoluzione (38%), i cyber attacchi legati a conflitti bellici reali (36%), le insider threat (35%).
Un mercato delle soluzioni di cybersecurity che cerca di tenere il passo con lo scenario delle minacce ha però diverse frecce al suo arco. Le tecnologie che, secondo i professionisti della cybersecurity, avranno il maggiore impatto positivo nel prossimo futuro sono l'automazione applicata alla sicurezza (40% di citazioni), Zero Trust (34%), i miglioramenti in campo AI (30%), il Risk-based Vulnerability Management (29%), l'autenticazione senza password (22%).