Nell’ultimo anno quasi il 90% delle organizzazioni ha subito una violazione che può essere in parte attribuita alla mancanza di competenze cyber
La carenza di competenze in materia di cybersecurity sta avendo un impatto negativo evidente sulle organizzazioni di tutto il mondo, in particolare sulla loro capacità di prevenire e di gestire i data breach e le violazioni delle infrastrutture IT. Questo è il messaggio chiave che viene dal 2024 Cybersecurity Skills Gap di Fortinet, una analisi condotta su un campione di oltre 1.850 decision maker in ambito IT e cybersecurity provenienti da 29 Paesi, compresa l’Italia.
Il primo elemento specifico di spicco che si trae da report Fortinet è che le aziende attribuiscono sempre più violazioni alla mancanza di competenze cyber. Nell’ultimo anno, l’87% del campione ha dichiarato di aver subito una violazione che può essere parzialmente attribuita alla mancanza di competenze, rispetto all’84% del report 2023 e all’80% dell’anno precedente. Un bel peso, soprattutto se si considera che i data breach costano sempre di più: più del 50% degli intervistati indica che le violazioni sono costate alle loro organizzazioni più di 1 milione di dollari in termini di mancati ricavi, multe e altre spese, rispetto al 48% del report 2023 e al 38% dell’anno precedente.
Parallelamente si muove un altro fenomeno di rilevo per l'evoluzione delle imprese. L'importanza crescente della cybersecurity aziendale, anche per effetto dell'inasprimento delle normative collegate, fa sì che gli incidenti oggi abbiano un impatto diretto - e spiacevole - sul topo management. Il report Fortinet rivela che i leader aziendali sono sempre più chiamati a rispondere degli incidenti informatici: il 51% degli intervistati ha dichiarato come - a seguito di un attacco informatico - i direttori o i dirigenti abbiano dovuto pagare multe, andare in prigione, perdere la propria posizione o il proprio lavoro.
Non stupisce quindi che oggi sempre più Consigli di Amministrazione considerino la cybersecurity un imperativo aziendale. Il 72% degli intervistati ha infatti dichiarato che nel 2023 i loro Consigli di Amministrazione erano più concentrati sulla sicurezza rispetto all’anno precedente. Il 97% degli intervistati afferma inoltre che il proprio CdA considera la cybersecurity una priorità aziendale.
Se c'è da colmare una mancanza di competenze che ha impatti sempre più gravi, cosa possono fare - e stanno facendo - le imprese? Di sicuro guardano alle certificazioni di cybersecurity com sempre più attenzione e interesse. I leader aziendali cioé, secondo le risultanze dello studio Fortinet, vedono le certificazioni come una convalida delle conoscenze in materia di cybersecurity e puntano su di esse come mezzo per migliorare la "security posture" aziendale. Come conseguenza, oltre il 90% dei manager intervistati ha dichiarato di prediligere l’assunzione di candidati in possesso di certificazioni e l’89% ha dichiarato che investirebbe per far ottenere ai dipendenti certificazioni in ambito cybersecurity.
D'altro canto, si sa che colmare lo skill gap non è facile. E infatti oltre il 70% degli intervistati ha dichiarato che è difficile trovare candidati che possiedano certificazioni in ambito tecnologico. Anche per questo la tendenza è spesso diversificare i pool di reclutamento per includere candidati le cui credenziali non rientrano nel background tradizionale - come una laurea specifica in cybersecurity o in un ambito correlato - con l’obiettivo di attrarre nuovi talenti e coprire i ruoli aperti.
Più in generale, spiega Fortinet, le organizzazioni si stanno concentrando su un triplice approccio alla cybersecurity che agisce combinando formazione, consapevolezza e tecnologia. Di certo bisogna aiutare i team IT e che operano nella cybersecurity a ottenere competenze vitali in materia di sicurezza, investendo in formazione e certificazioni. Serve poi coltivare personale di prima linea che sia consapevole della sicurezza informatica e che possa contribuire a rendere l’organizzazione più sicura come prima linea di difesa. Infine, ovviamente, servono soluzioni di security efficaci per garantire una solida postura di sicurezza.
“Le evidenze del report mettono in luce l’urgenza di colmare quanto prima il gap esistente. Il primo baluardo conto la criminalità informatica è infatti sempre la formazione che è fondamentale non solo all’interno delle aziende, ma è necessaria per stimolare a tutti i livelli un apprendimento continuo. Dati i tassi di disoccupazione che abbiamo in Italia, in particolare quella giovanile, e con la carenza di risorse sempre più evidente nel settore della cybersecurity, la formazione non è solo una necessità ma anche un’opportunità e un’occasione per ripensare l’ecosistema a tutti i livelli” afferma Massimo Palermo, VP & Country Manager, Italia e Malta di Fortinet.