Conclusioni rapporto

All'inizio del 2021, l'Enterprise Strategy Group (ESG) e l'Information Systems Security Association (ISSA) hanno condotto il quinto progetto di ricerca annuale incentrato sulla vita e le esperienze dei professionisti della sicurezza informatica. Il rapporto di quest'anno si basa sui dati di un sondaggio globale condotto su 489 professionisti della sicurezza informatica.

La discussione sul divario di competenze in materia di sicurezza informatica è in corso da oltre 10 anni e i dati raccolti per questo progetto confermano che non ci sono stati progressi significativi verso una soluzione a questo problema durante i cinque anni in cui è stato attentamente studiato. La crisi delle competenze ha colpito oltre la metà (57%) delle organizzazioni. Le principali ramificazioni della carenza di competenze includono un carico di lavoro crescente (62%), richieste di lavoro aperte non soddisfatte (38%) e un elevato burnout tra il personale (38%). Inoltre, il 95% degli intervistati afferma che la carenza di competenze in materia di sicurezza informatica e i relativi impatti non sono migliorati negli ultimi anni, mentre il 44% afferma che è solo peggiorata.

Cosa è necessario per affrontare la carenza di competenze in materia di sicurezza informatica? Un approccio olistico di formazione continua sulla sicurezza informatica (a partire dall'istruzione pubblica) e sviluppo, mappatura e pianificazione della carriera completi, il tutto con supporto e integrazione con l'azienda. Può sembrare una grande impresa, ma la ricerca indica anche un semplice cambiamento che le organizzazioni possono apportare: aumentare la compensazione professionale della sicurezza informatica. In effetti, il 38% degli intervistati ritiene che la mancanza di compensazione competitiva sia la ragione principale per cui la carenza di competenze in materia di sicurezza informatica sta influenzando la propria organizzazione. In sintesi, è giunto il momento per le organizzazioni di:

Aumentare il valore aziendale attribuito alla sicurezza, inclusa la creazione di una cultura della sicurezza a tutti i livelli dell'organizzazione.

Offri opportunità di avanzamento di carriera nella sicurezza informatica e impegnati a migliorare la formazione sulla sicurezza informatica in tutta l'organizzazione.

Includere la sicurezza informatica come parte della pianificazione e della strategia esecutiva (ad esempio, con la direzione esecutiva e il consiglio di amministrazione).

Sulla base dei dati raccolti nell'ambito di questo progetto, il rapporto conclude inoltre:

I professionisti della sicurezza informatica dipendono dall'esperienza pratica, dalle certificazioni di base e dal networking. I professionisti della sicurezza delle informazioni concordano sul fatto che le certificazioni standard come un CISSP sono un requisito professionale. Al di là di alcune certificazioni comuni, tuttavia, i dati ESG/ISSA indicano che la progressione di carriera è realmente legata all'esperienza pratica e all'utilizzo di reti professionali. Questi sono essenziali per iniziare una carriera nella sicurezza informatica, sviluppare competenze e trovare diverse opportunità di lavoro indipendentemente dalle competenze o dai livelli di esperienza. Le certificazioni dovrebbero essere utilizzate per integrare e non sostituire i veicoli educativi più pratici.

Il successo e la felicità della carriera nella sicurezza dipendono da una forte collaborazione. I professionisti della sicurezza informatica sono più felici quando viene chiesto loro di partecipare direttamente a tutta la pianificazione IT, ma diventano frustrati quando sono relegati a un ruolo di amministrazione tecnologica e costretti a soddisfare le esigenze di sicurezza nelle fasi successive dei progetti. Lo stesso vale per il rapporto del team di sicurezza con la gestione aziendale: vogliono partecipare alla pianificazione aziendale, ma spesso sono esclusi dalle riunioni e non considerati nello sviluppo di piani strategici. Per migliorare la relazione tra sicurezza e IT, gli intervistati suggeriscono di includere la partecipazione della sicurezza a tutti i progetti IT sin dalla loro esordio, incorporare i professionisti della sicurezza nei dipartimenti funzionali IT e aumentare la formazione sulla sicurezza informatica per il personale IT. Per migliorare la relazione tra sicurezza e gestione aziendale, i professionisti della sicurezza informatica raccomandano di incoraggiare la partecipazione della sicurezza informatica alla pianificazione aziendale, migliorare l'identificazione del rischio informatico e concentrare le risorse di sicurezza informatica sugli asset business-critical.

Il paradosso della formazione sulla sicurezza informatica continua e richiede attenzione. Per il quinto anno consecutivo, la ricerca rivela un divario di formazione sulla sicurezza informatica: il 91% degli intervistati concorda sul fatto che i professionisti della sicurezza informatica devono tenere il passo con le competenze di sicurezza informatica o le organizzazioni per cui lavorano sono svantaggiate contro gli avversari informatici. Nonostante questa esigenza, tuttavia, il 59% dei professionisti della sicurezza informatica concorda sul fatto che, mentre cerca di tenere il passo con lo sviluppo delle competenze in materia di sicurezza informatica, le esigenze lavorative spesso si mettono in mezzo. ESG e ISSA definiscono questa situazione il paradosso della formazione sulla sicurezza informatica. I CISO prendono nota: questa lacuna di formazione sta aumentando silenziosamente i rischi informatici nella tua organizzazione. Per affrontare direttamente questo problema, i CISO devono spingere l'organizzazione, assicurando che ampi tempi e risorse di formazione siano incorporati continuamente nella pianificazione di ogni membro del personale di sicurezza informatica.

La carenza di competenze in materia di sicurezza informatica rimane un problema perpetuo senza alcuna soluzione in vista. Quest'anno, il 57% delle organizzazioni afferma di essere influenzato dalla carenza globale di competenze in materia di sicurezza informatica. Sebbene questo sia un leggero miglioramento rispetto agli anni passati, la situazione non sembra migliorare. In effetti, il 44% degli intervistati afferma che le cose sono peggiorate negli ultimi anni, mentre il 51% afferma che la situazione è più o meno la stessa di qualche anno fa. Di quelle organizzazioni colpite dalla carenza di competenze in materia di sicurezza informatica, gli effetti maggiori includono l'aumento dei carichi di lavoro sul personale addetto alla sicurezza informatica, nuovi posti di lavoro che rimangono aperti per settimane o mesi, un elevato esaurimento e logoramento del personale di sicurezza informatica e l'incapacità di apprendere o utilizzare appieno le tecnologie di sicurezza potenziale.

Molte organizzazioni commettono errori di base nell'assunzione e nel reclutamento di professionisti della sicurezza informatica. Più di tre quarti (76%) degli intervistati afferma che è estremamente o alquanto difficile reclutare e assumere professionisti della sicurezza. Ciò è certamente correlato all'offerta e alla domanda nel mercato professionale della sicurezza informatica, ma gli intervistati hanno sottolineato anche alcune cause organizzative: il 38% ha affermato che la propria organizzazione non offre compensi competitivi, il 29% ha affermato che il proprio dipartimento risorse umane non comprende le competenze necessarie per la sicurezza informatica, e il 25% ha affermato che le offerte di lavoro nella loro organizzazione tendevano ad essere irrealistiche. In modo allarmante, il 59% degli intervistati ha affermato che la propria organizzazione potrebbe fare di più per affrontare la carenza di competenze in materia di sicurezza informatica.

L'esperienza e le competenze specifiche in materia di sicurezza informatica sono molto richieste. Alla domanda su quali tipi di talenti della sicurezza informatica fossero più difficili da assumere, il 41% ha dichiarato professionisti a metà carriera (cioè 4-7 anni di esperienza) e il 30% ha dichiarato professionisti senior in carriera (ovvero, oltre 7 anni di esperienza). È interessante notare che le organizzazioni hanno meno difficoltà a trovare i leader della sicurezza informatica, probabilmente perché ne hanno solo bisogno. Agli intervistati è stato anche chiesto quali aree di competenza fossero le più scarse. I primi tre sono stati la sicurezza del cloud computing, l'analisi e le indagini sulla sicurezza e la sicurezza delle applicazioni.

La sollecitazione al lavoro nel settore della sicurezza informatica è frequente e in aumento. Il settanta percento dei professionisti della sicurezza informatica viene sollecitato dai reclutatori a prendere in considerazione un altro lavoro almeno una volta al mese. Questo «mercato del venditore» sta solo guadagnando slancio: il 71% degli intervistati afferma che il ritmo delle sollecitazioni di reclutamento è aumentato negli ultimi anni.

I professionisti della sicurezza informatica hanno raccomandazioni per affrontare la carenza di competenze. Agli intervistati è stato chiesto cosa potrebbero fare le loro organizzazioni per affrontare l'impatto della carenza di competenze in materia di sicurezza informatica. I loro suggerimenti principali erano di aumentare l'impegno dell'organizzazione nella formazione sulla sicurezza informatica, aumentare i livelli di retribuzione per renderla più competitiva e fornire incentivi extra come il pagamento per le certificazioni o la partecipazione a eventi del settore.