Executive Summary
     
    Remove Translation Translation
    Original Text

    Report Conclusions

    Conclusioni rapporto

    In early 2021, the Enterprise Strategy Group (ESG) and the Information Systems Security Association (ISSA) conducted the fifth annual research project focused on the lives and experiences of cybersecurity professionals. This year’s report is based on data from a global survey of 489 cybersecurity professionals.

    All'inizio del 2021, l'Enterprise Strategy Group (ESG) e l'Information Systems Security Association (ISSA) hanno condotto il quinto progetto di ricerca annuale incentrato sulla vita e le esperienze dei professionisti della sicurezza informatica. Il rapporto di quest'anno si basa sui dati di un sondaggio globale condotto su 489 professionisti della sicurezza informatica.

    The cybersecurity skills gap discussion has been going on for over 10 years, and the data gathered for this project confirms that there has been no significant progress toward a solution to this problem during the five years it has been closely researched. The skills crisis has impacted over half (57%) of organizations. The top ramifications of the skills shortage include an increasing workload (62%), unfilled open job requisitions (38%), and high burnout among staff (38%). Further, 95% of respondents state the cybersecurity skills shortage and its associated impacts have not improved over the past few years while 44% say it has only gotten worse.

    La discussione sul divario di competenze in materia di sicurezza informatica è in corso da oltre 10 anni e i dati raccolti per questo progetto confermano che non ci sono stati progressi significativi verso una soluzione a questo problema durante i cinque anni in cui è stato attentamente studiato. La crisi delle competenze ha colpito oltre la metà (57%) delle organizzazioni. Le principali ramificazioni della carenza di competenze includono un carico di lavoro crescente (62%), richieste di lavoro aperte non soddisfatte (38%) e un elevato burnout tra il personale (38%). Inoltre, il 95% degli intervistati afferma che la carenza di competenze in materia di sicurezza informatica e i relativi impatti non sono migliorati negli ultimi anni, mentre il 44% afferma che è solo peggiorata.

    What’s needed to address the cybersecurity skills shortage? A holistic approach of continuous cybersecurity education (starting with public education) and comprehensive career development, mapping, and planning—all with support and integration with the business. This may seem like a big undertaking, but the research also points to one simple change organizations can make: Increase cybersecurity professional compensation. Indeed, 38% of respondents believe that the lack of competitive compensation is the biggest reason the cybersecurity skills shortage is impacting their organization. In summary, it is time for organizations to:

    Cosa è necessario per affrontare la carenza di competenze in materia di sicurezza informatica? Un approccio olistico di formazione continua sulla sicurezza informatica (a partire dall'istruzione pubblica) e sviluppo, mappatura e pianificazione della carriera completi, il tutto con supporto e integrazione con l'azienda. Può sembrare una grande impresa, ma la ricerca indica anche un semplice cambiamento che le organizzazioni possono apportare: aumentare la compensazione professionale della sicurezza informatica. In effetti, il 38% degli intervistati ritiene che la mancanza di compensazione competitiva sia la ragione principale per cui la carenza di competenze in materia di sicurezza informatica sta influenzando la propria organizzazione. In sintesi, è giunto il momento per le organizzazioni di:

    Increase the business value placed on security, including the creation of a culture of security at all levels of the organization.

    Aumentare il valore aziendale attribuito alla sicurezza, inclusa la creazione di una cultura della sicurezza a tutti i livelli dell'organizzazione.

    Offer cybersecurity career advancement opportunities and make a commitment to increased cybersecurity training across the organization.

    Offri opportunità di avanzamento di carriera nella sicurezza informatica e impegnati a migliorare la formazione sulla sicurezza informatica in tutta l'organizzazione.

    Include cybersecurity as part of executive planning and strategy (i.e., with executive management and the board of directors).

    Includere la sicurezza informatica come parte della pianificazione e della strategia esecutiva (ad esempio, con la direzione esecutiva e il consiglio di amministrazione).

    Based upon the data gathered as part of this project, the report additionally concludes:

    Sulla base dei dati raccolti nell'ambito di questo progetto, il rapporto conclude inoltre:

    Cybersecurity professionals depend upon hands-on experience, basic certifications, and networking. Information security professionals agree that standard certifications like a CISSP are a professional requirement. Beyond a few common certifications however, the ESG/ISSA data indicates that career progression is really tied to hands-on experience and taking advantage of professional networks. These are essential for beginning a cybersecurity career, skills development, and finding different job opportunities regardless of expertise or experience levels. Certifications should be used to supplement and not replace more practical education vehicles.

    I professionisti della sicurezza informatica dipendono dall'esperienza pratica, dalle certificazioni di base e dal networking. I professionisti della sicurezza delle informazioni concordano sul fatto che le certificazioni standard come un CISSP sono un requisito professionale. Al di là di alcune certificazioni comuni, tuttavia, i dati ESG/ISSA indicano che la progressione di carriera è realmente legata all'esperienza pratica e all'utilizzo di reti professionali. Questi sono essenziali per iniziare una carriera nella sicurezza informatica, sviluppare competenze e trovare diverse opportunità di lavoro indipendentemente dalle competenze o dai livelli di esperienza. Le certificazioni dovrebbero essere utilizzate per integrare e non sostituire i veicoli educativi più pratici.

    Security career success and happiness depends upon strong collaboration. Cybersecurity professionals are happiest when they are asked to participate directly in all IT planning but grow frustrated when they are relegated to a technology administration role and forced to address security needs in later phases of projects. The same is true of the security team’s relationship with business management: They want to participate in business planning, but they are often shut out of meetings and not considered in the development of strategic plans. To improve the relationship between security and IT, survey respondents suggest including security participation in all IT projects from their onset, embedding security professionals within IT functional departments and increasing cybersecurity training for IT staff. To enhance the relationship between security and business management, cybersecurity professionals recommend encouraging cybersecurity participation in business planning, improving cyber-risk identification, and focusing cybersecurity resources on business-critical assets.

    Il successo e la felicità della carriera nella sicurezza dipendono da una forte collaborazione. I professionisti della sicurezza informatica sono più felici quando viene chiesto loro di partecipare direttamente a tutta la pianificazione IT, ma diventano frustrati quando sono relegati a un ruolo di amministrazione tecnologica e costretti a soddisfare le esigenze di sicurezza nelle fasi successive dei progetti. Lo stesso vale per il rapporto del team di sicurezza con la gestione aziendale: vogliono partecipare alla pianificazione aziendale, ma spesso sono esclusi dalle riunioni e non considerati nello sviluppo di piani strategici. Per migliorare la relazione tra sicurezza e IT, gli intervistati suggeriscono di includere la partecipazione della sicurezza a tutti i progetti IT sin dalla loro esordio, incorporare i professionisti della sicurezza nei dipartimenti funzionali IT e aumentare la formazione sulla sicurezza informatica per il personale IT. Per migliorare la relazione tra sicurezza e gestione aziendale, i professionisti della sicurezza informatica raccomandano di incoraggiare la partecipazione della sicurezza informatica alla pianificazione aziendale, migliorare l'identificazione del rischio informatico e concentrare le risorse di sicurezza informatica sugli asset business-critical.

    The cybersecurity training paradox continues and needs attention. For the fifth straight year, the research reveals a cybersecurity training gap: 91% of respondents agree that cybersecurity professionals must keep up with cybersecurity skills or the organizations they work for are at a disadvantage against cyber-adversaries. Despite this need however, 59% of cybersecurity professionals agree that while they try to keep up with cybersecurity skills development, job requirements often get in the way. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note: This training gap is quietly increasing cyber-risks at your organization. To address this directly, CISOs must push the organization, ensuring that ample training time and resources are built into every member of the cybersecurity staff’s schedule on a continual basis.

    Il paradosso della formazione sulla sicurezza informatica continua e richiede attenzione. Per il quinto anno consecutivo, la ricerca rivela un divario di formazione sulla sicurezza informatica: il 91% degli intervistati concorda sul fatto che i professionisti della sicurezza informatica devono tenere il passo con le competenze di sicurezza informatica o le organizzazioni per cui lavorano sono svantaggiate contro gli avversari informatici. Nonostante questa esigenza, tuttavia, il 59% dei professionisti della sicurezza informatica concorda sul fatto che, mentre cerca di tenere il passo con lo sviluppo delle competenze in materia di sicurezza informatica, le esigenze lavorative spesso si mettono in mezzo. ESG e ISSA definiscono questa situazione il paradosso della formazione sulla sicurezza informatica. I CISO prendono nota: questa lacuna di formazione sta aumentando silenziosamente i rischi informatici nella tua organizzazione. Per affrontare direttamente questo problema, i CISO devono spingere l'organizzazione, assicurando che ampi tempi e risorse di formazione siano incorporati continuamente nella pianificazione di ogni membro del personale di sicurezza informatica.

    The cybersecurity skills shortage remains a perpetual problem with no solution in sight. This year, 57% of organizations claim they are impacted by the global cybersecurity skills shortage. While this is a slight improvement from years past, the situation doesn’t appear to be improving. In fact, 44% of survey respondents say that things have gotten worse over the past few years while 51% claim that the situation is about the same as a few years ago. Of those organizations impacted by the cybersecurity skills shortage, the biggest effects include increasing workloads on cybersecurity personnel, new jobs that remain open for weeks or months, high cybersecurity staff burnout and attrition, and an inability to learn or use security technologies to their full potential.

    La carenza di competenze in materia di sicurezza informatica rimane un problema perpetuo senza alcuna soluzione in vista. Quest'anno, il 57% delle organizzazioni afferma di essere influenzato dalla carenza globale di competenze in materia di sicurezza informatica. Sebbene questo sia un leggero miglioramento rispetto agli anni passati, la situazione non sembra migliorare. In effetti, il 44% degli intervistati afferma che le cose sono peggiorate negli ultimi anni, mentre il 51% afferma che la situazione è più o meno la stessa di qualche anno fa. Di quelle organizzazioni colpite dalla carenza di competenze in materia di sicurezza informatica, gli effetti maggiori includono l'aumento dei carichi di lavoro sul personale addetto alla sicurezza informatica, nuovi posti di lavoro che rimangono aperti per settimane o mesi, un elevato esaurimento e logoramento del personale di sicurezza informatica e l'incapacità di apprendere o utilizzare appieno le tecnologie di sicurezza potenziale.

    Many organizations are making basic mistakes in hiring and recruiting cybersecurity professionals. More than three-quarters (76%) of respondents say it is extremely or somewhat difficult to recruit and hire security professionals. This is certainly related to supply and demand in the cybersecurity professional market, but survey respondents pointed to some organizational causes as well: 38% said their organization doesn’t offer competitive compensation, 29% said their HR department doesn’t understand the skills needed for cybersecurity, and 25% said that job postings at their organization tended to be unrealistic. Alarmingly, 59% of respondents said their organization could be doing more to address the cybersecurity skills shortage.

    Molte organizzazioni commettono errori di base nell'assunzione e nel reclutamento di professionisti della sicurezza informatica. Più di tre quarti (76%) degli intervistati afferma che è estremamente o alquanto difficile reclutare e assumere professionisti della sicurezza. Ciò è certamente correlato all'offerta e alla domanda nel mercato professionale della sicurezza informatica, ma gli intervistati hanno sottolineato anche alcune cause organizzative: il 38% ha affermato che la propria organizzazione non offre compensi competitivi, il 29% ha affermato che il proprio dipartimento risorse umane non comprende le competenze necessarie per la sicurezza informatica, e il 25% ha affermato che le offerte di lavoro nella loro organizzazione tendevano ad essere irrealistiche. In modo allarmante, il 59% degli intervistati ha affermato che la propria organizzazione potrebbe fare di più per affrontare la carenza di competenze in materia di sicurezza informatica.

    Specific cybersecurity experience and skills are in high demand. When asked which types of cybersecurity talent were most difficult to hire, 41% said mid-career professionals (i.e., 4-7 years of experience), and 30% said senior career professionals (i.e., 7+ years of experience). Interestingly, organizations have less trouble finding cybersecurity leaders, probably because they only need a few. Survey respondents were also asked which skill set areas were in the shortest supply. The top three were cloud computing security, security analysis and investigations, and application security.

    L'esperienza e le competenze specifiche in materia di sicurezza informatica sono molto richieste. Alla domanda su quali tipi di talenti della sicurezza informatica fossero più difficili da assumere, il 41% ha dichiarato professionisti a metà carriera (cioè 4-7 anni di esperienza) e il 30% ha dichiarato professionisti senior in carriera (ovvero, oltre 7 anni di esperienza). È interessante notare che le organizzazioni hanno meno difficoltà a trovare i leader della sicurezza informatica, probabilmente perché ne hanno solo bisogno. Agli intervistati è stato anche chiesto quali aree di competenza fossero le più scarse. I primi tre sono stati la sicurezza del cloud computing, l'analisi e le indagini sulla sicurezza e la sicurezza delle applicazioni.

    Cybersecurity job solicitation is frequent and increasing. Seventy percent of cybersecurity professionals are solicited by recruiters to consider another job at least once per month. This “seller’s market” is only gaining momentum: 71% of survey respondents claim that the pace of recruitment solicitation has increased over the past few years.

    La sollecitazione al lavoro nel settore della sicurezza informatica è frequente e in aumento. Il settanta percento dei professionisti della sicurezza informatica viene sollecitato dai reclutatori a prendere in considerazione un altro lavoro almeno una volta al mese. Questo «mercato del venditore» sta solo guadagnando slancio: il 71% degli intervistati afferma che il ritmo delle sollecitazioni di reclutamento è aumentato negli ultimi anni.

    Cybersecurity professionals have recommendations for addressing the skills shortage. Respondents were asked what their organizations could do to address the impact of the cybersecurity skills shortage. Their top suggestions were to increase the organization’s commitment to cybersecurity training, increase compensation levels to make them more competitive, and provide extra incentives like paying for certifications or participation in industry events.

    I professionisti della sicurezza informatica hanno raccomandazioni per affrontare la carenza di competenze. Agli intervistati è stato chiesto cosa potrebbero fare le loro organizzazioni per affrontare l'impatto della carenza di competenze in materia di sicurezza informatica. I loro suggerimenti principali erano di aumentare l'impegno dell'organizzazione nella formazione sulla sicurezza informatica, aumentare i livelli di retribuzione per renderla più competitiva e fornire incentivi extra come il pagamento per le certificazioni o la partecipazione a eventi del settore.