Come ho avuto modo di evidenziare durante la mia audizione davanti alle Commissioni competenti della Camera, la valorizzazione del fattore umano è un elemento imprescindibile per la costituenda Agenzia per la Cybersicurezza Nazionale. Nella stessa sede il Sottosegretario Gabrielli ha, per altro, evidenziato che una delle principali difficoltà riscontrate per la partenza del CVCN (Centro di valutazione e Certificazione Nazionale) è stata proprio la difficoltà di reperire sul mercato figure professionali con adeguati profili e con le giuste competenze nonché disposti a lavorare per la pubblica amministrazione.
Agenzia di Cybersicurezza: la limitata capacità di formare figure professionali e la limitata attrattività del settore pubblico
Questo episodio, unitamente alle decine di richieste per profili con competenze cyber che ricevo regolarmente dal mondo imprenditoriale, evidenzia due aspetti: il primo è la limitata capacità di formare figure professionali con queste competenze da parte del mondo universitario e, dall’altro, la limitata attrattività del settore pubblico per figure professionali che possono scegliere fra una pletora di invitanti percorsi e carriere sia in Italia che all’estero.
Per ovviare a questo secondo problema, il D.L. di istituzione della Agenzia di Cybersicurezza prevede uno status per i propri lavorati estremamente competitivo al fine di favorire quella attrattività che, invece, manca nel resto della Pubblica Amministrazione, aspetto questo sicuramente pregevole.
La cyber-hygiene minimale
È necessario, però, agire anche sulla offerta andando a promuovere, incentivare, sollecitare il mondo universitario, e più in generale quello della formazione, perché siano formati sia specialisti nel settore della cyber-security sia venga innalzato il livello minimo di competenze specifiche al fine di poter garantire una cyber-hygiene minimale. Non dobbiamo dimenticarci, infatti, che ancora oggi quasi il 90% degli attacchi cyber è reso possibili da comportamenti non adeguati da parte degli operatori. Nessuna efficace strategia di cyber-security può quindi prescindere da un innalzamento della “cultura della sicurezza”, per usare una locuzione presente nel D.L., sebbene i compiti assegnati all’Agenzia su questo aspetto, come elencati alla lettera v) del comma 1 dell’art .7, appaiono limitati ed andrebbero estesi per coprire oltre che l’altissima formazione (dottorato di ricerca) anche la formazione universitaria e professionale.
L’information sharing è la modalità con la quale le azioni di reazione di un soggetto si tramutano in azioni di prevenzione per un altro
Il cyber space è un dominio estremante pervasivo dove è difficile tracciare perimetri netti e dove le vulnerabilità di un singolo possono riverberarsi sull’intera collettività a causa della presenza di complessi fenomeni di dipendenza ed interdipendenza. Questo impone che le strategie di cyber-security si fondino su un proficuo e costruttivo scambio di informazioni fra i diversi attori coinvolti in quanto soprattutto in questo settore si può affermare, riprendendo la frase usata da un docente del mio Master, che l’information sharing è la modalità con la quale le azioni di reazione di un soggetto si tramutano in azioni di prevenzione per un altro. Da qui la necessità di avere una struttura, come quella delineata dal D.L., formata da competenze di primo piano in grado di dialogare con gli operatori pubblici e privati. Affinché, però, tale dialogo sia efficace e fattibile occorre far crescere le competenze e valorizzare le figure professionali che in ambito privato sovrintendono la gestione degli aspetti di sicurezza. In questi ultimi anni le associazioni di categoria del settore, in primo luogo AIPSA, hanno lavorato molto per evidenziare la necessità che le aziende si dotino di persone con specifiche competenze e professionalità in grado di avere una visione olistica della sicurezza in tutte le sue sfaccettature e come tali porsi quali autorevoli interlocutori nei confronti delle controparti pubbliche. Questo aspetto non appare però ancora adeguatamente coperto da prescrizione legislative con la sola eccezione della figura del Security Liaison Officer presente nella “vecchia” direttiva sulla sicurezza delle infrastrutture critiche.
La proposta: nella PA percorsi di carriera “riservati” a coloro in possesso di tali competenze
Se nel settore privato qualcosa si sta muovendo, in quello pubblico, come si accennava, la situazione è molto più preoccupante. Non solo la cultura media in tema di cyber-security è modesta, ma è estremamente bassa l’attrattività della pubblica amministrazione rispetto a figure dotate di tali competenze. Elemento questo che travalica il tema security per essere un aspetto trasversale a tutto il tema della digitalizzazione. È fondamentale innestare all’interno del tessuto delle amministrazioni pubbliche figure con competenze professionali in grado di valorizzare lo strumento digitale al fine di poterlo gestire nel migliore dei modi. Operazione questa complessa anche a causa dei meccanismi di evoluzione di carriera nel pubblico che tendono a favorire le competenze trasversali, in primo luogo quelle ammnistrative e giuridiche, a discapito delle competenze tecniche. Sebbene io sia sempre stato contrario ai “recinti” ed ai percorsi differenziati, potrebbe essere il momento di iniziare ad ipotizzare l’introduzione dei ruoli tecnici, sulla falsa riga di quanto già si fa nel settore delle forze dell’ordine, che prevedano una crescita professionale legata alle competenze specifiche e quindi percorsi di carriera “riservati” a coloro in possesso di tali competenze.
Con il 90% dei prodotti di cyber security impiegato dalla Pubblica Amministrazione e dalle aziende nazionali acquisito da fornitori esteri non attiriamo i talenti nostrani
Se con la legge di istituzione del Perimetro nazionale di sicurezza cibernetica si era posto uno specifico e quasi esclusivo focus sul tema della tecnologia quale punto di partenza per affrontare la cyber security in Italia, con il D.L. di istituzione dell’Agenzia si bilancia quella visione iniziando a porre, in parallelo al tema tecnologico, anche quello del fattore umano. I due aspetti devono però camminare all’unisono. Fintanto che il 90% dei prodotti di cyber security impiegato dalla Pubblica Amministrazione e dalle aziende nazionali è acquisito da fornitori esteri, la nostra industria non avrà quella capacità di attrarre i talenti nostrani (che quindi tenderanno ad andare all’estero) ed inoltre la nostra conoscenza, come sistema Paese, dei meccanismi della cyber security sarà sempre limitata e di “seconda mano”.
In Italia abbiamo un settore della ricerca ed alcune eccellenze che se messe a sistema possono iniziare a creare una massa adeguata di competenze
Ciononostante abbiamo un settore della ricerca ed alcune eccellenze che se messe a sistema possono iniziare a creare una massa adeguata di competenze, esigenze ed opportunità tali da divenire un volano per l’intero settore. Da questo punto di vista è fondamentale, come per altro previsto dalla lettera 4) dell’art. 7 del D.L., il ruolo dell’Agenzia che deve diventare elemento di aggregazione dei diversi soggetti non tanto per la creazione di ulteriori sovrastrutture organizzative, quanto piuttosto affinché crei un humus fertile che consenta un osmotico scambio di idee, iniziative ed attività.