Autore: Redazione SecurityOpenLab
Le minacce informatiche sono in costante incremento e gli attaccanti, sfruttando l'onda della pandemia e dello smart working, stanno sviluppando nuove tecniche di attacco come la cosiddetta "Triple Extortion" (criptaggio dei dati, furto di informazioni e attacchi denial-of-service distribuiti). Di conseguenza, i team di sicurezza devono poter fronteggiare le minacce sempre più sofisticate, partendo dal fatto che la base di una buona difesa è mantenere un buon equilibrio tra persone, processi e tecnologie, dove il tema degli skill interni rimane ancora l’anello debole.
In particolare, il livello di maturità del team di sicurezza dipende da svariati fattori, come la complessità e la diversità dell'ecosistema digitale, ma è possibile delinearne i principali profili. Il primo è l’Asset manager: una figura non strettamente "security", ma chiamata a ricavare informazioni di fondamentale importanza per ottenere un inventario accurato e aggiornato delle risorse IT, scoprire eventuali gap di sicurezza e rimediare velocemente ai gap identificati.
Segue poi il Security Analyst. Questi rappresenta il primo livello di difesa, con competenze di base/intermedie, ma allo stesso tempo trasversali; si dedica al triage e all’analisi degli eventi di sicurezza. Il Security Engineer si occupa invece del mantenimento e dell’affinamento degli strumenti di sicurezza, con conoscenza sia degli strumenti stessi sia delle sistemistiche. Il Security Specialist è una figura specializzata in uno o più ambiti di sicurezza che si occupa di analisi e progetti specifici di sviluppo e miglioramento, mentre il Security Architect ha esperienza progettuale in più ambiti di sicurezza ed è responsabile di delineare le strategie di sicurezza per i sistemi e gli strumenti di sicurezza.
Il Security Manager è la figura di riferimento, specializzata in uno o più ambiti di sicurezza, responsabile della gestione e del coordinamento del team, dei processi e delle procedure. Infine, il Risk manager è una figura trasversale, responsabile dell'analisi e valutazione dei rischi che possono influenzare l'azienda e il suo business. L'output è importante ai fini di delineare la strategia di sicurezza dell'azienda e permette di garantire la giusta priorità ed efficienza agli investimenti in ambito sicurezza.
A seconda della complessità e della maturità del team, potrebbero assumere rilievo altre figure quali l’Incident Handler, responsabile dell'esecuzione dei processi di risposta a un incidente, e il Threat Intelligence Analyst, responsabile della raccolta e della correlazione di informazioni di intelligence utili non solo in fase di prevenzione di un attacco, ma anche nel momento in cui l'attacco stesso si verifica.
Le aziende devono periodicamente valutare le capacità dei propri team di sicurezza in base alle skill richieste e all'analisi dei rischi, adattando in base ai gap rilevati il proprio programma di assunzioni e formazione.
Le tecnologie cambiano a ritmo sempre veloce. È quindi importante sviluppare nuove conoscenze e competenze, ma lo è altrettanto mantenerle e aggiornarle in modo costante. Da parte delle aziende è di fondamentale valore istituire e mantenere un programma continuo di formazione, che sia allineato con le esigenze interne e con l’evoluzione delle tecnologie, riservando un’opportuna pianificazione e un congruo budget allo stesso.
A livello individuale, è importante il punto di partenza, ovvero quanto appreso grazie alla formazione accademica in tema di sistemi informatici/informativi e di sicurezza informatica, perché consente di comprendere le basi e assimilare concetti e terminologie, ma è ugualmente importante anche l'esperienza maturata, che permette di costruire nel tempo la propria base di conoscenze.
Attraverso l'azienda (o talvolta in self-study), le competenze possono essere sviluppate in diverso modo. Innanzitutto, grazie al training on the job, cioè la formazione sul campo: il processo di formazione avviene attraverso l'affiancamento di personale esperto in relazione a specifici processi e/o mansioni. Particolarmente utili si dimostrano il product-specific training, cioè la formazione specifica sulle tecnologie presenti in azienda, costantemente e ciclicamente aggiornata, e il cross-training, ovvero una serie di sessioni formative specifiche tenute dal personale interno e finalizzate a una condivisione della conoscenza.
Rilevanti, infine anche le certificazioni di settore: è possibile incrementare e attestare le proprie conoscenze e competenze attraverso certificazioni riconosciute a livello internazionale, siano esse trasversali sulla sicurezza (es. CompTIA Security+, CISSP), relative a specifici ruoli (es. GIAC GCIH, GPEN) o specifiche su particolari vendor (es. CISCO CCNA, Fortinet NSE4).
Considerata la forte carenza di risorse con skill in ambito cybersecurity, un tema direttamente collegato allo sviluppo delle competenze è quello di riuscire a trattenere e incentivare le risorse, affinché le stesse non si lascino tentare da eventuali offerte di altre aziende. Creare un ambiente collaborativo, riconoscere, valorizzare e sviluppare il talento della risorsa, fornire una chiara visione sul percorso di carriera e praticare una job rotation strutturata possono aiutare a minimizzare il turnover delle persone.