Non vi è carenza di competenze in cybersicurezza ?

Non vi è carenza di competenze in cybersicurezza. Ciò che realmente manca è la creatività a livello manageriale
Di Redazione LineaEDP22/10/2021
Lamont Orange, CISO di Netskope, spiega perché la competenza ‘critica’ sulla cybersicurezza supera quella ‘tecnica’

Lamont Orange, CISO di Netskope

Chi legge articoli di tecnologia e business sente dire, ormai da anni, che vi è carenza di competenze in cybersicurezza. Studi e indagini affermano che, data la mancanza di candidati sufficientemente qualificati, milioni di posti di lavoro non potranno essere occupati.
Io non credo che ciò avverrà. Le leggi fondamentali della domanda e dell’offerta si basano sul fatto che ci sarà sempre forza lavoro pronta a ricoprire incarichi ben pagati nel settore della sicurezza. Il problema non è la carenza di personale, bensì il fatto che i CIO e i CISO ignorano i profili dei candidati se non vantano uno specifico elenco di qualifiche. In molti casi, i responsabili delle assunzioni si aspettano che i candidati siano già completamente formati su tutte le tecnologie che le loro aziende utilizzano in quel momento. Questo non solo rende più difficile trovare candidati qualificati, ma riduce anche la diversità in termini di esperienza all’interno dei team di sicurezza che, a sua volta, indebolisce le capacità di gestione della sicurezza dell’azienda e anche il suo pool di talenti.
In Netskope, l’approccio alla ricerca delle figure che ricopriranno ruoli pertinenti alla sicurezza è diverso. Sappiamo, infatti, di poter insegnare le competenze sulla cybersicurezza necessarie a svolgere il lavoro, quindi, contrariamente a quanto accade, sono due le caratteristiche che riteniamo più importanti della mera conoscenza tecnica specifica. La prima è la voglia di imparare sempre di più nel campo della sicurezza, una qualità che suggerisce che il candidato prenderà autonomamente l’iniziativa per migliorare costantemente le proprie competenze. La seconda è il possesso di una gamma di competenze che nessun altro può vantare all’interno del team.
L’eccessiva enfasi sulle competenze tecniche è alla base della carenza di talenti
Pensate ai vantaggi a lungo termine dell’assumere qualcuno con una specifica gamma di competenze sulla sicurezza: quanto varrà quella preparazione fra molti anni? Probabilmente poco.
Anche le tecnologie di sicurezza più basilari sono incredibilmente dinamiche. Nella maggior parte delle aziende, l’infrastruttura IT si trova in un momento di massiccia trasformazione, dai sistemi locali a quelli basati sul cloud. Gli esperti di sicurezza si trovano quindi a dover imparare nuove tecnologie. Oltre a ciò, si trovano a dover adottare una mentalità completamente nuova, che prevede il passaggio dal focus sulla protezione di specifiche parti hardware alla protezione di persone e applicazioni, poiché ora il loro carico di lavoro si muove sempre di più all’esterno della rete aziendale.
Alcuni team di sicurezza trovano difficile gestire tale cambiamento, mentre altri sono felici di dare il via a questa transizione. Tuttavia, man mano che imparano a mettere al sicuro le risorse aziendali in questo nuovo mondo impavido, le capacità tecniche con cui svolgevano il loro lavoro diventano sempre meno rilevanti.
I CISO che pretendono competenze tecniche specifiche nei candidati, gli stessi che poi esprimono disappunto per via della mancanza di profili che soddisfano quei requisiti, sono i veri responsabili delle “lacune di competenza”. La mancanza di una visione ad ampio spettro in fase di assunzione alla lunga torna indietro come un boomerang.
La competenza critica sulla cybersicurezza supera quella tecnica
Un approccio migliore prevede il fatto di prendere in considerazione candidati con poca esperienza sulla sicurezza. Per esempio, se i team di project management o le funzioni di business di un’azienda stanno subendo riorganizzazioni, potrebbero esserci persone con una profonda conoscenza del business che sono alla ricerca di un’opportunità per imparare cose nuove. Con ogni probabilità, la loro competenza non corrisponderà a quella richiesta nella descrizione del posto di lavoro, ma essi potranno apportare una nuova prospettiva che renderà il team di sicurezza ancora più efficiente.
La cybersicurezza non è un problema ingegneristico isolato in diagrammi di flusso su una lavagna. È un problema aziendale che necessita di una normale comunicazione bilaterale con manager, stakeholder e consiglio di amministrazione. Questo spiega perché anche ad alcuni CISO manca il background tecnico. Inoltre, persino la policy di sicurezza meglio congegnata al mondo è utile solamente se i dipendenti di tutti i livelli dell’organizzazione si impegnano ad aderirvi.
Per esempio, gli esperti di marketing possono migliorare significativamente l’efficacia degli esperti di sicurezza. Ritengo che qualsiasi team di cybersicurezza dovrebbe avere al suo interno una figura dalle eccellenti doti comunicative, che trasmetta l’importanza della sicurezza anche ai meno tecnici. Sulla base di questa prospettiva meno tradizionale, i team di sicurezza possono aumentare di molto il controllo sulla conformità aziendale globale.
Allo stesso modo, tanto gli analisti economici che finanziari possono apportare competenze complementari a un team di sicurezza. Infatti, la disponibilità di esperienza in pianificazione e modellazione può aumentare notevolmente la consapevolezza delle possibili ramificazioni delle diverse prospettive d’azione, contribuendo con un diverso modo di pensare e arricchendo così l’approccio alla sicurezza e la sua efficacia. Assumere questo tipo di figure dovrebbe consentire di rispondere a domande come: “Se facciamo X, quante difficoltà avremo con gli utenti finali?” e “L’approccio Y migliorerà realmente la protezione dei nostri dati o creerà lacune modificando il comportamento degli utenti?”
A cosa fare attenzione durante la fase di assunzione
In fase di assunzione, una delle priorità principali del team di sicurezza Netskope consiste nell’aumentare la diversità delle nostre competenze di gruppo. I responsabili delle assunzioni cercano candidati che comprendano realmente quali sono le forze motrici del nostro business e la cui conoscenza oltre la cybersicurezza possa integrare la nostra gamma di capacità esistenti. Cerchiamo persone che siano in grado di trasformare le cyber-sfide in soluzioni aziendali.
Ovviamente, la passione per la sicurezza è fondamentale. Ai candidati provenienti dai settori marketing o commerciale chiediamo sempre cosa fanno nel loro tempo libero. Quali tecnologie usano sui loro computer portatili. Se, durante il tempo libero, hanno acquisito speciali competenze tecniche o se magari hanno inventato qualcosa per facilitarsi la vita. È sempre sorprendente scoprire che qualcuno è uscito dalla propria materia di specializzazione per risolvere un problema tecnologico. Le persone che dimostrano quel livello di interesse nella cybersicurezza possono essere formate su tecnologie specifiche, nel modo in cui vogliamo che esse le usino.
Applicando questa prospettiva ad ampio raggio per le assunzioni in ambito di cybersicurezza, aumentiamo la diversità nel team. Inoltre, cerchiamo tale varietà non solo nelle competenze, ma anche nelle età e nei gruppi demografici. Un team con talenti e backgound eterogenei guarderà ai problemi di sicurezza da molte più angolazioni rispetto a un gruppo omogeneo. Infatti, la diversità è uno dei valori chiave in tutta Netskope. Dal CEO ai dipendenti in prima linea, crediamo che l’azienda avrà più successo e sarà più resiliente come organizzazione se includeremo più persone con una più vasta gamma di prospettive.
Senza dimenticare, poi, che la diversità è il passaggio finale della trasformazione digitale. Le aziende avranno una migliore opportunità di completare tale transizione e mantenere al sicuro le risorse nel cloud se trasformeranno anche il team stesso.
Testo a cura di Lamont Orange, CISO di Netskope

ARTICOLO LINEA EDP