Molto probabilmente siete consapevoli dell'equazione sbilanciata tra domanda e offerta della forza lavoro nel comparto della sicurezza informatica, un fatto ancor più grave se si considerano le miriadi di pericolose minacce che incombono sulle organizzazioni di ogni dimensione.
Qualche numero
Il Cybersecurity Workforce Study 2019 dell'organizzazione di certificazione della sicurezza ISC^2 , ha evidenziato che la carenza globale di professionisti della sicurezza informatica ha superato i 4 milioni lo scorso anno, passando dai 2,9 milioni nel 2018 e dai 1,8 milioni nel 2017. Solo negli Stati Uniti, lo scorso anno il divario è stato di quasi 500.000 unità. Per soddisfare la domanda globale, il numero di lavoratori qualificati nel settore della sicurezza dovrebbe aumentare del 145%.
Vale la pena notare che alcuni continenti sono di gran lunga migliori di altri. Secondo lo studio dello scorso anno di ISC^2 , l’Asia Pacifica registra il maggior divario di forza lavoro (64%), seguita da America Latina (15%), Nord America (14%) ed Europa (7%).
Quest'anno la pandemia di COVID-19 ha alzato ulteriormente la posta in gioco, spingendo la trasformazione digitale in overdrive e rendendo il lavoro da casa la nuova normalità. Gli attacchi hanno continuato ad aumentare in numero e gravità, la pressione sugli attuali addetti alla sicurezza informatica è aumentata, come anche la domanda di soluzioni e servizi di sicurezza. In questo contesto, la carenza di forza lavoro non diminuirà. Al contrario, la domanda continuerà a superare l'offerta.
Vale la pena conseguire un diploma (o una certificazione) in sicurezza informatica?
Una domanda che spesso sorge spontanea è se sia possibile ottenere un lavoro nell’ambito della sicurezza informatica senza una laurea in questo campo o in uno correlato. Secondo l'ISC^2, i professionisti della sicurezza hanno in genere una laurea o un titolo di studio superiore, e gran parte di loro è laureata in informatica o in scienze informatiche.
D'altra parte, il 12 per cento è entrato nel campo della sicurezza informatica con "solo" un diploma di scuola superiore. Non è una sorpresa, però: mentre sempre più istituzioni accademiche in tutto il mondo offrono corsi di laurea in sicurezza informatica, ce ne sono ancora molti che non hanno ancora lanciato tali programmi. Di conseguenza, molti esperti del settore sono autodidatti e/o si sono preparati per la loro carriera attraverso corsi e certificazioni non accademiche.
A QUESTO PROPOSITO: Una guida per principianti per iniziare in InfoSec
Infatti, il possesso di una certificazione sulla sicurezza informatica sta diventando sempre più utile, e i professionisti della sicurezza hanno in media quattro “riconoscimenti” di questo tipo che dimostrano le loro conoscenze, abilità e capacità. Ed è anche il motivo per cui percepiscono stipendi più alti (71.000 dollari in media all'anno) rispetto ai colleghi addetti alla sicurezza che non dispongono di tali titoli (55.000 dollari). Il divario è ancora più marcato negli Stati Uniti e nell'Asia-Pacifico.
In aggiunta, un altro sondaggio di (ISC)2 tra i professionisti della sicurezza ha rilevato che gli stipendi competitivi non erano il fattore principale nella scelta del proprio percorso lavorativo. Molti altri fattori- soprattutto la possibilità di lavorare un ambiente "in cui le loro opinioni sono prese sul serio" e dove possono "proteggere le persone e i loro dati" - si sono rivelati ancora più importanti. Nel nuovo studio, l'84 per cento degli intervistati ha dichiarato di trovarsi dove si aspettava di essere nella propria carriera. Considerato l’alto livello di soddisfazione sul lavoro, le cose sembrano funzionare bene per i professionisti della sicurezza.
L’importanza dei Bug Bounty
I programmi Bug Bounty, in cui gli hacker etici ricevono ricompense finanziarie per la segnalazione di vulnerabilità di sicurezza nei sistemi informatici delle organizzazioni, sono stati un modo importante per aumentare l'interesse nel settore soprattutto tra i giovani. Secondo l'Hacker Report 2020 della piattaforma di bug bounty HackerOne, ben 850 white hats si aggiungono ogni giorno a una comunità di già ben 600.000 persone.
Questi programmi sono risultati utili anche nello scoraggiare la criminalità informatica e far sì che le persone, soprattutto gli adolescenti, passino "dal lato oscuro alla luce". Spinti dalla prospettiva di ricevere attenzioni e riconoscimenti dai loro pari, molte persone diventano criminali informatici in età molto giovane, senza rendersi pienamente conto delle conseguenze delle loro azioni.
Sebbene i bug bounty o programmi simili non costituiscano affatto la soluzione per il crescente talent crunch, le organizzazioni possono certamente beneficiare dell'aiuto di hacker etici. Infatti, attingere a questo pool di talenti può aiutare le organizzazioni ad arginare la carenza di personale competente.
Porte aperte
Per concludere ecco forse un altro dato interessante da tenere in considerazione. L'indagine di (ISC)2 ha rilevato che solo per il 42% degli intervistati il primo impiego dopo la formazione è stato nel comparto della sicurezza informatica. In altre parole, questo settore è particolarmente ricettivo per coloro che cercano di reinventarsi come professionisti della sicurezza.