La sicurezza informatica è un tema sempre più cruciale per la sopravvivenza delle imprese. Su questo non c’è alcun dubbio, come hanno messo in luce i casi Wannacry e Petya. Dunque diventa sempre più decisivo affidarsi a dei professionisti della sicurezza in grado di affrontare il cybercrime e le sue minacce a 360 gradi, senza affidarsi ai generalisti dell’IT. Ma chi sono queste persone? Come e dove si formano? Digital4Trade ha fatto qualche domanda a Claudio Telmon, consulente nel campo della sicurezza da quasi quindici anni e membro del Comitato Direttivo del Clusit.
Indice degli argomenti
Professionisti trasversali ma anche specialisti
Il primo punto da sottolineare è che la sicurezza IT è di per sé un tema estremamente trasversale, che dà modo di affrontare problemi molto diversi tra loro: dalla gestione del rischio a quella dei sistemi, passando per la sicurezza software e i penetration test. Dunque fondamentalmente ci sono alcuni professionisti specializzati su alcune nicchie specifiche e altri che invece sono in grado di affrontare la protezione dei sistemi informativi a 360 gradi. In entrambi i casi, però, per acquisire le competenze necessarie è possibile seguire due tipi di percorsi: il primo prevede un cammino istituzionalizzato, che passa innanzitutto dall’acquisizione di una laurea triennale o magistrale informatica. Successivamente è possibile iscriversi a uno dei tanti master o corsi di specializzazione ormai presenti in diverse università italiane, come ad esempio la Cyber Academy dell’Ateneo di Modena Reggio Emilia. Accanto a questo percorso c’è sempre la possibilità di imparare “all’antica “il mestiere: il caso tipico è quello di una figura professionale che già lavora nell’IT e decide di dedicarsi di sua iniziativa all’approfondimento di queste tematiche, magari frequentando uno dei tanti corsi di formazione disponibili che generalmente riescono a fornire una visione prospettiva sulle tematiche della sicurezza.
Retribuzioni in crescita ma…
«Al di là però della formazione in aula e in laboratorio, per affrontare la sicurezza bisogna avere una prospettiva soprattutto pratica sui problemi. Bisogna avere un’idea concreta dei mezzi che il cybercrime ha a disposizione per i suoi attacchi, da quelli che si diffondono via mail ai veri e propri attacchi fisici, dando per scontato che quando ci si trova a operare in una specifica realtà aziendale bisogna anche essere pronti a scendere a dei compromessi», evidenzia Telmon. Quel che è certo è che, negli ultimi anni la richiesta di professionisti della sicurezza è in evidente aumento. Anzi, la domanda è maggiore della disponibilità di queste figure, complice anche la maggiore cultura favorita da casi come quello di Wannacry e da normative come quella del GDPR. Inoltre l’accresciuta dipendenza delle aziende dai sistemi informativi rende di per sé il tema più critico. Tutto questo rende appetibile anche da un punto di vista economico questa professione: «Qualcosa sta cominciando a muoversi anche dal punto di vista delle tariffe, che stanno lentamente tendendo verso l’alto. Quanto guadagna in Italia un professionista della sicurezza? Più o meno fattura una volta e mezzo quanto un comune professionista IT. Occorre però precisare che le aziende che assumono direttamente gli esperti di security sono poche, anche perché spesso non si ha bisogno di una figura di questo tipo in maniera continuativa. Dunque si tratta perlopiù di figure che lavorano in proprio. E spesso c’è moltissima differenza tra quanto un’azienda spende per proteggersi dal cybercrime e quello che alla fine viene in tasca agli esperti».
Il ruolo delle certificazioni nella sicurezza IT
In questa fase in cui il mercato della sicurezza va espandendosi, un modo efficace per distinguersi sul mercato è quello di investire su una certificazione internazionale. Il semplice svolgimento di un esame costa qualche centinaio di euro, mentre la frequentazione di un corso propedeutico è più dispendiosa (in genere qualche migliaio di euro). In materia di competenze sull’organizzazione della sicurezza delle informazioni il punto di riferimento è la Lead auditor ISO/IEC 27001, che è spesso richiesta per la partecipazione a numerosi bandi di gara. In materia di competenze organizzative e tecnologiche c’è la CISSP – Certified Information Systems Security Professional, che attesta la conoscenza ad ampio spettro dei principi di progettazione e gestione dei sistemi di sicurezza informatica. Una terza certificazione spendibile sul mercato è la CIFI (Certified Information Forensics Investigator), che è stata sviluppata per esperti nel campo dell’information forensic con esperienza pratica nello svolgimento di indagini in supporto alle forze dell’ordine o nella partecipazione a un team aziendale.