Cybersecurity: di cosa hanno bisogno le imprese?
Capitale umano, sviluppo tecnologico, finanziamenti e cultura della sicurezza sono i principali elementi su cui puntare per prevenire ed affrontare gli attacchi-cyber, garantendo la cyber resilienza di aziende e amministrazioni pubbliche.
European Cybersecurity Month: i bandi da non perdere per la sicurezza informatica
Nel corso del Mese europeo della sicurezza informatica (ottobre 2022) sono state promosse numerose iniziative di sensibilizzazione e informazione sulla cybersicurezza nell’UE, che hanno posto l'accento su alcuni temi centrali per rafforzare la cybersecurity a livello europeo e nazionale:
- Sostegno agli investimenti: arriva la piattaforma europea per la cybersicurezza
- ACN: l’Italia punta su sviluppo tecnologico e cultura della sicurezza
- Come sviluppare competenze cyber in azienda
Cybersicurezza: una piattaforma europea per sostenere gli investimenti
Tra gli aspetti da evidenziare a livello europeo c’è il gap di investimenti in ambito cyber che l’UE sconta rispetto agli Stati Uniti, come evidenziato dalla Banca europea per gli investimenti (BEI) nel report sull'European Cybersecurity Investment Platform.
Per compensare questo divario la BEI propone la costituzione di un’apposita piattaforma per sostenere gli investimenti delle imprese e startup europee attive nel campo della cybersicurezza.
La piattaforma - che coinvolgerà diversi stakeholder (aziende, investitori, enti pubblici e organizzazioni di supporto) - fornirà una serie di servizi per sviluppare l’ecosistema europeo della cybersicurezza e per fornire assistenza tecnica e supporto finanziario.
Consulta il report della BEI sull'European Cybersecurity Investment Platform
ACN: l’Italia punta su sviluppo tecnologico e cultura della sicurezza
Anche l’Italia sta cercando di recuperare i ritardi accumulati negli anni sul fronte della cybersicurezza, come testimonia la recente nascita dell’Agenzia per la cybersicurezza nazionale (ACN) seguita dall’adozione della strategia nazionale per la cybersecurity.
Come ha ricordato Nunzia Ciardi, vicedirettrice dell’ACN, in occasione del Cybersecurity Summit (18 ottobre 2022), l’Agenzia, nata nel 2021, si aggiunge al panorama delle realtà istituzionali attive nel campo della cyber investigation, della cyber difesa e della cyber intelligence, reinterpretando il tema della cyber resilienza in una visione globale e collettiva.
I compiti essenziali dell’ACN riguardano: la prevenzione e la mitigazione degli incidenti, la collaborazione internazionale accentuata, la crescita delle competenze con collaborazioni interistituzionali, la diffusione di una nuova cultura della sicurezza a tutti i livelli, insieme allo sviluppo di un’autonomia tecnologica europea ed italiana.
Su questi ultimi due aspetti si è soffermato anche Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza Nazionale, durante il Cybersecurity 360 Summit (27 ottobre 2022).
Per rafforzare l’autonomia strategica dell'Italia e diminuire la dipendenza da tecnologie straniere, Baldoni ha annunciato che saranno lanciati - entro la fine dell’anno - i primi i bandi per aiutare le imprese italiane, soprattutto startup, a sviluppare nuove soluzioni cyber.
Per quanto riguarda la cultura della sicurezza, invece, il direttore dell’ACN ha ricordato il lavoro che con il MIUR e le Regioni si sta portando avanti sul territorio per liberare risorse e creare percorsi di formazione rivolti ai giovani.
A questo si aggiunge anche il protocollo siglato a fine ottobre da Confindustria, ACN e Generali per diffondere la cultura della protezione digitale tra le imprese, che - oltre a attività di informazione e formazione - prevede la creazione del Cyber Index PMI, un rapporto per monitorare la consapevolezza in materia di cybersecurity all’interno delle aziendali di piccole e medie dimensioni.
Cybersecurity: come sviluppare le competenze in azienda?
Rispetto agli altri paesi europei in Italia le competenze digitali sono meno diffuse e sviluppate.
Lo ha ricordato - citando i dati del DESI Index 2022 - Gabriele Faggioli, presidente del Clusit (Associazione Italiana per la Sicurezza Informatica), nel corso del webinar 'Dall’Europa all’Italia: la strategia comune per le competenze cyber' organizzato dal competence center Cyber 4.0 (21 ottobre 2022).
Nonostante il gap lato digital skill, un numero crescente di PMI comincia sempre di più ad interessarsi al tema della cybersicurezza in azienda, investendo sul capitale umano.
Ma quali sono le figure professionali su cui puntare?
Un primo quadro di riferimento lo ha tracciato l’Agenzia UE per la cybersicurezza (ENISA) con l’European Cybersecurity Skills Framework (ECSF), che individua 12 profili professionali (con le rispettive competenze) da cui partire per sviluppare programmi di formazione ad hoc.
Spetta poi ai singoli Stati membri decidere come applicare il framework europeo, ha sottolineato Fabio Di Franco dell’ENISA.
A questo si aggiunge anche il Cybersecurity Higher Education Database (CyberHEAD), una mappa online che raccoglie i corsi universitari sulle tematiche cyber attivati nei vari paesi europei.
Il lavoro svolto dall’ENISA è estremamente interessante perché individua anche il “body of knowledge” del settore, che permette di comprendere meglio lo spettro di conoscenze e competenze da sviluppare, ha proseguito Paolo Atzeni dell’ACN, Struttura di Missione Capacità e Competenze.
Per ridurre skill gap e skill shortage in ambito cyber, l’Agenzia per la cybersicurezza nazionale sta realizzando una serie di attività con l’obiettivo di aumentare le competenze e il personale qualificato in vari contesti e a tutti i livelli.
Tra le misure in corso, ha ricordato Atzeni, ci sono le attività di sensibilizzazione e orientamento rivolte ai più giovani, come le cyber challenge organizzate dal Consorzio Interuniversitario Nazionale per l'Informatica (CINI). A queste si aggiungono le azioni per la formazione, sia professionale - attraverso gli istituti tecnici superiori (ITS) - che accademica, con percorsi di laurea triennale e magistrale.
Lato formazione professionale, l’ACN ha siglato all’inizio di ottobre un accordo di collaborazione con il MIUR per dar vita ad una “rete di coordinamento nazionale degli ITS Academy per la transizione digitale che promuoverà lo sviluppo di percorsi formativi dedicati alla digitalizzazione e alla sicurezza informatica dei processi delle imprese private e della PA”.
L’accordo, che coinvolge anche diverse regioni italiane e imprese, dà seguito agli impegni che l’Italia ha preso nell’ambito del Piano nazionale di ripresa e resilienza (PNRR), con la riforma degli ITS e investimenti ad hoc per sostenere la nascita di nuove professionalità.
Lato formazione accademica, invece, l’ACN sta aiutando il sistema universitario a mappare i corsi esistenti, sull’onda del CyberHEAD dell'ENISA.
Un aspetto importante riguarda anche la certificazione dei percorsi formativi, che l’ACN vorrebbe introdurre sia per gli ITS che per i corsi universitari, per dare un segnale di qualità e di rispetto dei requisiti e obiettivi che si vogliono raggiungere.
Per quanto riguarda la definizione dei percorsi formativi, secondo Atzeni, l’era dei programmi ministeriali è finita, perché si rischia di perdere contenuti innovativi su temi che per loro natura sono dinamici ed in evoluzione. E’ giunto il momento di adottare un nuovo approccio, più corale, che vede lavorare insieme università, imprese, ITS, enti locali ed istituzioni per definire obiettivi condivisi e verificabili, senza la pretesa di normare troppo dall’esterno.
Tra le realtà di formazione nate di recente sul territorio c’è l’Accademia Cybersicurezza Lazio (ACL), la Scuola di Alta Formazione dedicata alla sicurezza informatica, realizzata grazie all’accordo tra la Regione Lazio e l’Agenzia per la Cybersicurezza Nazionale.
L’iniziativa - cofinanziata dal FSE+ Lazio 2021-2027 - nasce per rispondere ai cyber attacchi che hanno colpito la Regione Lazio e contribuire allo sviluppo di nuove professionalità.
Per sviluppare l’offerta formativa ci siamo ispirati al quadro dell’ENISA, ha spiegato Alessandra Tomai, dirigente area programmazione dell'offerta formativa e di orientamento della Regione Lazio, illustrando i corsi in partenza, gratuiti e accessibili tramite bando.
All’inizio di ottobre si è chiuso il primo bando per l’ingresso di 20 studenti under 25 che frequenteranno un percorso formativo per Cybersecurity Technician, che prevede inoltre un tirocinio curriculare di 150 ore presso enti pubblici o privati.
Per il 2023 sono previsti ulteriori percorsi formativi, al fine di allargare il ventaglio delle proposte dell'Accademia e formare ulteriori figure professionali, tra cui Cybersecurity risk manager, Cybersecurity architect e Cyber threat intelligence specialist. L'obiettivo è quello di portare a 80 il numero dei posti disponibili per gli studenti interessati.
Digital Europe, PNRR e voucher 4.0. Come finanziare le competenze digitali?
Photo credit Cottonbro studio via Pexels