La sicurezza informatica s'impara anche da piccoli - Kaspersky

La sicurezza informatica è una delle sfide più cruciali e dinamiche dei nostri giorni. Per i cittadini, ma soprattutto per le imprese. Da qui la domanda crescente di professionisti specializzati in cybersecurity. Per fronteggiare il rischio di attacchi informatici volti ad accedere, modificare o distruggere informazioni sensibili, interrompere l’operatività o richiedere un riscatto, le aziende manifestano la necessità di affidarsi a un esperto in sicurezza informatica che svolga il ruolo di “guardiano” del mondo digitale. Addestrato per identificare, prevenire e rispondere a qualsiasi minaccia informatica, il cybersecurity specialist è, dunque, una figura chiave nell’attuale panorama digitale e lavora a stretto contatto con tutti i reparti aziendali. La professione si declina in una duplice attività, che coniuga l’arte di difendere e di attaccare. Da un lato è responsabile della protezione degli asset informatici di un’azienda a livello difensivo: monitora l’ambiente It, con l’obiettivo di rilevare eventuali indicatori di compromissione e attività sospette, e neutralizza le minacce in tempo reale, seguendo procedure specifiche per limitare i danni. Allo stesso tempo, grazie alle approfondite competenze in ambito di tecniche di hacking, è incaricato di simulare attacchi reali, per identificare eventuali punti deboli nel sistema e nelle procedure di sicurezza aziendali.

«Nell’era dell’information technology è sempre più cruciale avere all’interno della propria realtà aziendale figure professionali con skill specifiche in ambito di sicurezza informatica - spiega Valerio Momoni, amministratore delegato di 24ORE Business School -. Ogni impresa, indipendentemente dal settore in cui opera, ha bisogno di esperti in cybersecurity. E grazie alla collaborazione attiva con migliaia di aziende, siamo in grado di mettere a fuoco i trend del mercato per identificare le professioni del futuro e quelle emergenti già oggi. E sicuramente stiamo assistendo a una crescita esponenziale della domanda di specialisti in Sicurezza Informatica, per cui si aprono interessanti opportunità di carriera».

Gli attacchi alle aziende e la carenza di personale

Secondo una stima di Assintec-Assiform in Italia ci sono 89mila posti di lavori vacanti nel settore della tecnologia e di questi circa 57mila rappresentano opportunità di lavoro accessibili anche per professionisti non laureati. A fronte di un aumento della frequenza e della complessità degli attacchi e di una maggior richiesta di professionisti da parte delle aziende, il numero di figure specializzate che soddisfano i requisiti in termini di competenze e livello di esperienza sta diminuendo. Alcuni studi condotti da società di cybersecurity e organizzazioni internazionali evidenziano la mancanza di professionisti del comparto. Secondo una ricerca condotta sulla forza lavoro nel campo della cybersecurity infatti emerge un divario di quasi quattro milioni di lavoratori in tutto il mondo nel 2022. Kaspersky ha realizzato la ricerca The portrait of modern information security professional per valutare lo stato attuale del mercato del lavoro e analizzare le cause della mancanza di competenze nel campo della cybersecurity, che ha coinvolto più di 1.000 professionisti provenienti da Apac (Asia-Pacifico), Europa, regione Meta (Medio Oriente), Nord America e dall’America Latina. Lo studio rileva che in Europa il 31% delle aziende intervistate considera i propri team di cybersecurity “un po’” o “significativamente” sotto organico. A livello mondiale, la Russia ha registrato la maggiore carenza di personale, seguita da America Latina, Apac e Meta.

I ruoli di Information Security Research e Malware Analysis sono quelli che registrano in Europa una maggiore carenza di personale e secondo il 47% delle aziende sono anche i più difficili da assegnare. L’Europa è il Paese con la maggiore richiesta per questi ruoli, seguita da Russia e America Latina. In Europa le posizioni di Threat Intelligence e Security Research (43%), Security Assessment (40%) e Security Operation Center (37%) sono leggermente meno carenti di personale, mentre il minor numero di posti disponibili, nonostante sia un ruolo ancora molto richiesto, è quello di Network Security (36%). A livello mondiale la carenza di esperti in Security Operation Center è particolarmente evidente in Apac, mentre quella di analisti di Security Assessment e Network Security riguarda soprattutto l’area Meta.

Se si considerano i fabbisogni di cybersecurity nei vari settori a livello mondiale, il settore governativo segnala la più alta richiesta di professionisti della cybersecurity e ammette che quasi la metà (46%) dei ruoli richiesti non sono coperti. I settori telco&media (39%) sono carenti di personale, seguiti da retail & wholesale e sanità con il 37% di ruoli vacanti. I settori che registrano il minor numero di posti liberi in ambito InfoSec sono l'It (31%) e i servizi finanziari (27%), ma è allarmante che le cifre si aggirino comunque intorno a un terzo.

«Per ridurre la carenza di professionisti qualificati, le aziende offrono stipendi elevati, migliori condizioni di lavoro e programmi di bonus, investendo anche in iniziative di formazione. Tuttavia, i risultati della ricerca mostrano che queste misure non sono sempre sufficienti. Il tasso di crescita del mercato IT nazionale in alcune regioni in via di sviluppo sta cambiando così rapidamente che il settore del lavoro non è in grado di preparare e formare specialisti idonei, dotati delle conoscenze e delle competenze necessarie, in tempi così stretti. Al contrario, le aree con economie sviluppate e aziende mature non registrano una carenza così marcata, poiché i loro tassi sono inferiori alla media del mercato», commenta Vladimir Dashchenko, Security Evangelist, Ics Cert, Kaspersky.

Mentre soltanto il 7% delle aziende italiane ritiene di essere in grado di difendersi da un attacco informatico, a livello globale la percentuale sale del 15%. Sono questi i dati che emergono dal Cybersecurity Readiness Index 2023, un dettagliato rapporto realizzato per la prima volta da Cisco per misurare la preparazione e la resilienza delle aziende nei confronti della criminalità informatica. Per realizzare il Cisco Cybersecurity Readiness Index sono stati presi come criteri di misurazione cinque pillar, che costituiscono la principale linea di difesa di un’azienda: Identità, Dispositivi, Sicurezza della rete, Carichi di lavoro applicativi, Dati. Ciascuno di essi comprende a sua volta 19 diverse soluzioni. L’indagine inoltre è stata condotta su un campione di 6.700 professionisti provenienti da 27 Paesi, fra cui l’Italia, che operano nell’ambito della cybersecurity: ad essi è stato chiesto di indicare quali sono le soluzioni finora adottate e qual è il loro attuale status. Al termine dell’indagine le aziende sono state classificate in quattro gradi di preparazione: Principiante, Formativo, Progressivo, Maturo. Il 75% degli intervistati si aspetta inoltre nei prossimi 12-24 mesi un’interruzione della propria attività a causa di un attacco informatico, mentre il 31% ha dichiarato di averne subito uno nel corso dell’ultimo anno. Essere impreparati, infine, può costare caro: il 25% delle aziende colpite ha dovuto spendere almeno 500.000 dollari per riprendere il controllo della propria attività. Per questo l’87% degli intervistati prevede di aumentare il proprio budget per la sicurezza di almeno il 10% nei prossimi 12 mesi.

La classifica delle professioni più difficili da trovare

Indeed - sito per chi cerca e offre lavoro - stila la classifica delle posizioni che rimangono scoperte per due mesi o più. Più del 75% degli annunci di ricerca per posizioni di Security Engineer rimane aperto per oltre 60 giorni. Simile la situazione per le ricerche di Cybersecurity Engineer (72%). L’evoluzione tecnologica porta a un aumento esponenziale dei dati digitali e delle informazioni sensibili che vengono condivise on line. Questo rende le organizzazioni più vulnerabili a cyber attacchi, hacking e furti di dati. Per proteggersi, le aziende hanno bisogno di professionisti altamente qualificati in grado di garantire la sicurezza delle loro reti e dei loro sistemi. Le altre posizioni legate al mondo Ict che figurano in classifica vanno dal Digital Sales Account, in quarta posizione, al Firmware Engineer, settimo classificato. E poi ancora Sviluppatore Java (11°), Ingegnere elettronico (12°) e Sviluppatore Front End (13°), con rispettivamente il 59%, 58% e 55% di annunci che rimangono aperti per oltre 60 giorni. Dati che indicano chiaramente che c'è una forte domanda di professionisti It nel mercato del lavoro italiano. Tuttavia, sembra che ci sia una carenza di candidati qualificati in grado di colmare questo divario, rendendo queste posizioni difficili da coprire.

Il supporto arriva anche dalle Università

C'è bisogno, però, di una formazione continua su questi temi. Professionisti, manager e consulenti che già operano nel settore devono acquisire competenze specifiche per mettere a punto strategie di sicurezza in grado di permeare tutta l’attività aziendale, prevenendo e gestendo il rischio di attacchi informatici. Gli interessati, oltre alle attitudini personali e ai percorsi di laurea, devono avvalersi di percorsi di studio dedicati e di alto profilo. Le pmi italiane hanno urgente bisogno di proteggersi dai cyberattacchi. Ma le loro piccole dimensioni e la mancanza di cultura dei rischi informatici costituiscono un limite all’adeguamento alle tecnologie e allo sviluppo di sistemi di protezione. Arriva dalle Università un contributo alla formazione di questa nuova cultura: è questo il senso del workshop Strumenti per migliorare la cyber posture delle Pmi promosso dall’Academy dell’Università Campus Bio-Medico di Roma nell’ambito della Facoltà di Ingegneria. Un appuntamento con il quale l’Ateneo romano ha dato simbolicamente il via alla prima edizione del master di I livello in Cybersecurity management che ha già fatto il “tutto esaurito”. Il corso di formazione avanzata intende rispondere alla necessità di protezione delle strutture informatiche di aziende, enti e pubbliche amministrazioni ed è organizzato partendo dalle indicazioni dell'Ecsf-European Cybersecurity Skills Framework.

Lo scenario attuale vede le piccole e medie Imprese italiane in una posizione molto sfidante, particolarmente esposte a rischi informatici in grado di arrecare gravi danni alla struttura produttiva fino alla chiusura dell’attività. I dati degli studi più recenti effettuati nel settore dicono che l'80% delle aziende italiane colpite da attacchi informatici sono piccole o medie. Se si guarda al numero complessivo di attacchi si scopre che nei primi sei mesi del 2023 quelli andati a buon fine sono cresciuti di oltre il 40% rispetto allo stesso periodo del 2022, con un tasso di incremento che in Italia è stato quattro volte superiore a quello globale trasformando l’Italia in un obiettivo centrale per i pirati informatici: oggi il nostro Paese colleziona da solo il 9,6% del totale mondiale di attacchi andati a segno (Report Swascan di Tinexta). 

Sul versante delle imprese, invece, la consapevolezza di questi rischi risulta del tutto inadeguata: l’83% delle pmi italiane ritiene di essere immune dagli attacchi informatici (Ipsos per Certego 2023) e il 72% degli intervistati non ha mai svolto attività di formazione sui rischi informatici e il 43% non ha identificato un responsabile della sicurezza informatica (Grenke Italia condotta da Cerved Group con Clio Security).

Mentre è in partenza il prossimo 18 aprile, il master in Cybersecurity e Data Protection di 24ORE Business School, che può essere seguito on line, anche in modalità asincrona, rendendolo compatibile con la gestione dell’attività lavorativa già in essere.

Microsoft Italia assieme a Fondazione Mondo Digitale attivano un nuovo percorso di formazione gratuita in cybersecurity, con l’obiettivo di promuovere la diffusione di competenze in ambito sicurezza informatica. L’iniziativa rientra nel progetto più ampio di Ambizione Italia per la cybersecurity, programma formativo a più livelli che si propone, da un lato, di formare esperti in cybersicurezza, figure professionali sempre più ricercate nel mercato del lavoro, dall’altro di accrescere anche nelle scuole e tra i cittadini la consapevolezza sui temi di privacy e security affinché tutti possano cogliere le opportunità del digitale in modo responsabile. Avviato a giugno 2022, Ambizione Italia per la cybersicurezza ha raggiunto in meno di due anni 9mila persone tra professionisti, studenti e cittadini. Dall’uso di password efficaci a una panoramica dei principali rischi on line fino a nozioni e accorgimenti per effettuare transazioni online sicure, il corso si compone di video-pillole di pochi minuti accessibili sulla piattaforma della Fondazione Mondo Digitale per aiutare i cittadini a padroneggiare con consapevolezza le operazioni che si svolgono quotidianamente on line all’indirizzo: mondodigitale.org/formazione/offerta-formativa/il-videocorso-di-ambizione-italia-la-cybersecurity.

Aipsa: «Servono maggiori sgravi fiscali»

In qualsiasi abitazione ci sono almeno 20 dispositivi connessi alla rete internet: dal pc agli smartphone e tablet, ma anche sistemi di allarme, di videosorveglianza, elettrodomestici, apparati elettromedicali e molto altro. Non c’è alcun dubbio che le competenze necessarie alla realizzazione di una rete internet sicura e performante siano quindi molto più vaste e complesse. E non c’è dubbio che l’offerta di posti di lavoro nel mondo delle reti informatiche sia enorme. Sistemisti, analisti di cybersecurity, installatori di impianti wifi sono figure ricercatissime dalle aziende, in questo periodo storico. Ma come può un giovane (o anche un meno giovane) acquisire le competenze necessarie a ricoprire con successo uno di questi ruoli? «Il percorso formativo scolastico, meglio se universitario, rappresenta sicuramente un punto di partenza, con studi in ingegneria informatica o ingegneria delle telecomunicazioni. A questo si devono però poi aggiungere corsi di specializzazione, per ottenere alcune certificazioni, rilasciate da enti indipendenti o da costruttori di hardware, che rappresentano lo standard su cui poi andare a costruire le figure professionali necessarie. Per iniziare è sicuramente necessario conseguire una certificazione sulle reti informatiche, fra di esse vale la pena di ricordare la famosa Ccna, erogata da Cisco, oppure la CompTIA Network+. In questi percorsi di studio si apprende la teoria delle reti necessaria a costruire la propria figura professionale e questi percorsi di studio, virtualmente, possono essere intrapresi da chiunque anche se privo di qualsiasi conoscenza preliminare», sottolinea Federico Bertamino, esperto di reti informatiche e cybersecurity.

In questo senso va però sottolineato che spesso e volentieri questi corsi presuppongono già un certo “agio” con la materia informatica per cui non sarebbe male affidarsi inizialmente ad istituti di formazione che possano anche fornire una certa assistenza agli studi, come quelli forniti da Altatensione. Dopo l’ottenimento delle certificazioni indicate, il futuro sistemista dovrà scegliere su cosa specializzarsi: potrebbe intraprendere i percorsi di certificazione di un determinato Vendor (ad esempio proseguendo con le certificazioni Cisco o con quelle Mikrotik) oppure intraprendere la via della Cybersecurity. In questo ultimo caso, sicuramente le certificazioni CompTIA rappresentano la scelta più saggia, visto che sono riconosciute in oltre 130 Paesi nel mondo. Sono percorsi di studio complessi, ma apprezzati da tutte le aziende in quanto “neutrali”. Si apprendono infatti concetti che poi possono essere declinati su qualsiasi sistema di sicurezza informatico e il superamento degli esami, CompTIA certifica un ottimo livello di comprensione e di preparazione dell’allievo, dal momento che sono molto complessi.

«Sicuramente il primo step in questa direzione è la certificazione Security+, a cui poi è possibile far seguire la CySa+ e la Pentest+ - precisa Bertamino -. Quest’ultima, soprattutto se non si hanno già esperienze di Cybersecurity, può richiedere fino ad un anno di studio serio per essere conseguita. Altrettanto ricercate dal mondo del lavoro sono infine le figure esperte di server e di sistemi operativi. Partendo sempre da una certificazione di reti quale Ccna o Network+ (base imprescindibile per qualsiasi professionista nel mondo delle reti informatiche) si potrebbe a quel punto investire su studi riguardanti i sistemi operativi Windows e Linux, che sono la base di qualsiasi infrastruttura informatica. Nessuno studio tuttavia potrà mai sostituire la pratica. Queste competenze, infatti, sono le fondamenta su cui il professionista dovrà aver poi l’umiltà di costruire la propria esperienza. E l’unico modo per farlo è lavorare, possibilmente a fianco di colleghi più esperti, nella risoluzione di problemi quotidiani».

Invece per Alessandro Manfredini, presidente di Aipsa, l’associazione dei Security manager delle aziende private, «le fragilità riscontrate nei sistemi informatici di alcune aziende sanitarie ci riportano inevitabilmente a riflettere sulla cura che deve essere riservata alla sicurezza cibernetica. Se oggi vogliamo colmare le lacune che ci espongono a importanti interruzioni di servizi di pubblico interesse, occorre un concreto cambio di passo, occorre ad esempio approvare in tempi rapidi una norma che preveda maggiori sgravi fiscali per gli investimenti in cybersecurity. Parallelamente si dovrà dare applicazione immediata all’articolo 9 del nuovo Codice degli appalti che prevede una premialità, in sede di gara pubblica, per proteggere i sistemi con livelli di sicurezza adeguata alle minacce e alle infiltrazioni esterne e aggiornamenti costanti dei software di protezione».

«Non è la prima volta che la sanità viene presa di mira da cyber criminali - aggiunge Manfredini – e questo denota un problema strutturale nella protezione dei dati di milioni di italiani. È chiaro che il rischio zero, come ripetiamo sempre noi professionisti del settore, non esiste, ma esistono progetti e programmi in grado di ridurre le esposizioni dei sistemi informatici. Occorrono però investimenti. Un’occasione è stata persa con la bocciatura di un emendamento al Pnrr che prevedeva di destinare una quota crescente di risorse, in ogni gara pubblica, proprio agli investimenti in cybersicurezza. Ora però possiamo agire rendendo obbligatorio per ogni gestore di servizio pubblico, la destinazione di una percentuale fissa dei suoi flussi cassa, proprio alla creazione e al mantenimento di una infrastruttura informatica sicura».

La sicurezza s'impara anche divertendosi

Oggi la maggior parte dei bambini accede o possiede uno smartphone o un table e l'età in cui iniziano a familiarizzare con il mondo digitale e la tecnologia continua ad abbassarsi. È quindi fondamentale che i genitori siano informati sulle ultime minacce alla sicurezza informatica che coinvolgono i più piccoli e che gli insegnino come evitare i potenziali pericoli. In occasione del Safer Internet Day, Kaspersky approfondisce alcune delle principali tendenze della cybersecurity che i genitori dovrebbero conoscere e fornisce alcuni suggerimenti su come tutelare le attività online dei propri figli.

Inoltre, Kaspersky presenta l’iniziativa L’alfabeto della cybersecurity di Kaspersky, un libro sviluppato dagli esperti dell’azienda, e illustrato con i simpatici disegni della mascotte Midori, per aiutare i genitori a spiegare in modo semplice i concetti chiave della sicurezza It. Sfogliando le pagine del libro, i bambini avranno l’opportunità di conoscere le nuove tecnologie, imparare le principali regole di sicurezza informatica e scopriranno come evitare le minacce online e riconosceranno i trucchi dei truffatori.

Dalla A di autenticazione fino alla Z di ZIP file passando dalla L di login e dalla O di oversharing, scoprire il significato dei principali concetti di sicurezza informatica diventa un gioco da ragazzi.

Secondo la ricerca Tempi Digitali realizzata da Save The Children, in Italia per il 58% dei bambini tra 6 e 10 anni e il 71% tra 11 e 14 i videogame sono il passatempo preferito, esponendoli a possibili attacchi da parte dei criminali informatici. Ad esempio, nel 2022, le soluzioni di sicurezza Kaspersky hanno rilevato più di 7 milioni di attacchi ai popolari giochi per bambini, con un aumento del 57% dei tentativi rispetto all'anno precedente.

Ciò che desta ancora più preoccupazione è che i bambini sempre più spesso comunicano con estranei sulle piattaforme di gioco. In alcuni giochi, le chat vocali e di testo non moderate costituiscono una parte significativa dell'esperienza e con un numero sempre maggiore di giovani online, i criminali possono instaurare virtualmente un rapporto di fiducia, attirandoli con regali o promesse di amicizia. Una volta ottenuta la fiducia, riescono a ottenere informazioni personali, invitandoli ad aprire un link di phishing, che scarica un file dannoso sul dispositivo travestito da mod di gioco per Minecraft o Fortnite. Le modalità di interazione nel mondo gaming sono sempre più numerose e includono le chat vocali e i giochi AR e VR. Sia la cybersicurezza che le minacce di natura sociale rimangono un problema importante e i genitori devono rimanere vigili sul comportamento dei figli, instaurando una comunicazione aperta e installando soluzioni di sicurezza affidabili sul dispositivo.

Oltre al gaming, anche il download delle app dagli store ufficiali può essere fonte di pericolo per i più piccoli: dal 2020 al 2022 i ricercatori di Kaspersky hanno, infatti, stimato che sono state scaricate di 4,8 milioni di app infette, che iscrivevano gli utenti a loro insaputa a servizi a pagamento. Questi dati dimostrano la crescente tendenza da parte dei più giovani a cercare alternative alle app ufficiali se non sono disponibili nel proprio Paese, con il rischio di imbattersi nelle versioni dannose presenti anche negli app store ufficiali. Ecco perché è fondamentale che bambini e genitori comprendano i fondamenti della sicurezza informatica. Ad esempio, è importante prestare attenzione alle autorizzazioni richieste da un'applicazione al momento dell'installazione: una semplice calcolatrice non dovrebbe richiedere l’accesso alla posizione o all'elenco dei contatti.

Una corretta educazione digitale dei più piccoli diventa fondamentale man mano che i bambini crescono e sviluppano una maggiore consapevolezza di sé, inclusa quella del proprio spazio personale, della privacy e dei dati sensibili, sia offline che online. Per questo motivo i genitori devono essere in grado di discutere dell'esperienza online dei propri figli e dell'importanza delle app di parental control per la sicurezza online nel rispetto dello spazio personale del bambino. Ciò comporta la definizione di confini e aspettative chiare, discutendo con il bambino le ragioni dell'utilizzo dell'app.

«Abituare i più piccoli a essere critici e prudenti online è fondamentale. È compito dei genitori insegnare loro le basi della sicurezza informatica per non cadere nella trappola dei cyber criminali, come ad esempio quali sono le minacce possono verificarsi durante il gioco e come proteggere correttamente i dati personali. Favorire un dialogo aperto e non noioso è sicuramente una modalità ‘educativa’ efficace e il nostro libro “L’Alfabeto della Cybersecurity di Kaspersky” nasce con questo obiettivo: aiutare i genitori a spiegare in modo semplice e divertente i concetti di base della sicurezza informatica», conclude Cesare D’Angelo, General Manager Italy & Mediterranean di Kaspersky.