Dall’home banking, agli acquisti online, fino alla gestione di interi processi industriali: oggi l’accesso alla rete è fondamentale, sia in ambito personale che professionale. Tuttavia, questo strumento così potente, oltre ad avere grandissime potenzialità, nasconde anche dei rischi. Quali? Ne abbiamo parlato con il Prof. Paolo Maccarrone, direttore dell’International Master in Cybersecurity Management.

Volendo riassumere i tipi di rischi che corrono oggi le aziende, possiamo dire che sono tipicamente tre: confidenzialità, integrità e disponibilità del dato.

Gli “attacker”, infatti possono avere interesse a impossessarsi dei dati non solo per comunicarli a soggetti terzi (confidenzialità), ma anche a comprometterli o distruggerli (integrità), o a renderli irraggiungibili (disponibilità), tipicamente chiedendo un riscatto in cambio.

Tutti questi rischi sono enormemente cresciuti negli ultimi anni a causa della digitalizzazione, che ha fatto crescere in modo esponenziale il quantitativo di dati scambiati nonché,  della crescente interconnessione, dovuta principalmente a Internet. Basti pensare a un ambito, come quello dei processi operativi di un’azienda, dove l’automazione era gestita da server stand alone. Nessuna connessione, praticamente nessun rischio. Oggi, invece macchinari e impianti di varia natura scambiano continuamente informazioni.  Dati preziosi, che permettono, per esempio, di fare manutenzione predittiva o di riorganizzare i flussi produttivi in tempo reale, ma il cui scambio apre la porta a nuove vulnerabilità che prima non esistevano.

C’è poi un altro aspetto da segnalare. La situazione che stiamo vivendo ha aumentato in modo esponenziale il numero di lavoratori che si connettono ai server aziendali da remoto.
In passato, chi lo faceva non accedeva a dati sensibili, o, se lo faceva, riceveva un minimo di formazione su questi aspetti e spesso utilizzava device aziendali opportunamente configurati.

Nell’ultimo anno e mezzo, tuttavia, a causa della pandemia sempre più lavoratori si trovano a lavorare in remoto, magari spesso su pc personali, non di rado condivisi anche da familiari. L’uso promiscuo dei device personali e una scarsa sensibilizzazione sul tema ha esposto, ed espone tuttora, lavoratori e organizzazioni a notevoli rischi.

Rischi di cui però le aziende sembrano essere ora consapevoli. Questa percezione quali effetti sta avendo sul mercato del lavoro?

Per molti anni abbiamo assistito a una situazione a doppio binario, dove a organizzazioni molto attente al tema, come le grandi imprese – in particolare quelle operanti in alcuni settori, quali quello delle telecomunicazioni e quello dell’energia, le banche e le assicurazioni, se ne contrapponevano altre meno consapevoli dei rischi o comunque meno attive su questo fronte.
Nel corso degli ultimi 2-3 anni la situazione è però cambiata: tutti si sono resi conto della rilevanza della cybersecurity, tanto che il tema è nella top agenda della maggioranza degli amministratori delegati e dei loro stretti collaboratori.
Questo è legato sia all’aumento della frequenza di attacchi di varia natura – dal social engineering alla criptazione dei dati con richiesta di riscatto, al furto di proprietà intellettuale – che al fatto che tali attacchi , come già accennato in precedenza, colpiscono anche i processi operativi “core”, comportando spesso interruzioni delle attività produttive o dell’erogazione dei servizi.
Questa nuova attenzione si riflette, da un lato, in un aumento degli investimenti su questo fronte, dall’altro in alcuni cambiamenti organizzativi, che hanno portato per esempio a far sì che in diverse grandi realtà l’Head of Cybersecurity adesso risponderà direttamente al vertice aziendale, e non più al Chief Information Officer.

Questa crescente importanza e “pervasività” della cybersecurity porta con sé inevitabilmente una ricerca di profili professionali con specifiche competenze sia da parte delle imprese, per potenziare le unità organizzative interne, sia da parte delle società di consulenza, che rivestono spesso un ruolo chiave sia nell’impostazione del sistema di governance della sicurezza, sia nell’implementazione delle contromisure tecnologiche e organizzative. Una crescente domanda che non trova riscontro nell’offerta di mercato, come sottolineato da diversi responsabili delle risorse umane e da diverse società specializzate nel recruiting.

In che modo il MIP sta cercando di colmare questo gap?

L’impegno della nostra Business School su questo fronte non è una novità. Abbiamo infatti già lanciato l’anno scorso un Percorso Executive dedicato a chi ha già maturato dell’esperienza nel settore della cybersecurity e vuole aggiornare e ampliare le proprie competenze per dare un’accelerazione alla propria carriera.

Quest’anno abbiamo però voluto ampliare la nostra offerta formativa con un Master – l’International Master in Cybersecurity Management – pensato per un pubblico junior, appena uscito dall’università.
Il nostro Master nasce ascoltando i bisogni delle aziende, primi tra tutti i nostri educational partner – BIP e SETA – e le società che hanno collaborato in modo stretto alla progettazione come membri dell’advisory board, come Accenture, PwC e Intesa-IBM.
Abbiamo quindi deciso di creare un programma in grado di dare ai partecipanti gli strumenti per poter avere una visione olistica della cybersecurity.
Quello che è infatti emerso dal continuo confronto con le aziende è che una conoscenza tecnica delle vulnerabilità e di come risolverle non è sufficiente. È importante essere consapevoli dell’impatto che queste possono avere sull’intera organizzazione. Ci rivolgiamo quindi a giovani che desiderano una carriera non puramente tecnica, ma che aspirano a ricoprire presto ruoli di responsabilità. Ecco perché nel Master si affrontano anche temi di natura organizzativa e gestionale, e si dedica attenzione anche allo sviluppo delle soft skill.
Alla luce di questo, non dovrebbe quindi stupire che il Master sia aperto anche a profili meno “convenzionali”, come per esempio gli ingegneri gestionali, i laureati in economia aziendale o in discipline scientifiche. O ancora avvocati che si sono specializzati nelle normative relative alla sicurezza informatica e che desiderano approfondire il tema per inserirsi in importanti studi professionali o negli staff legali delle grandi organizzazioni.

Come in molti dei programmi del MIP, la componente esperienziale è fondamentale. Questo si riflette nella composizione della Faculty, caratterizzata dalla presenza di numerosi professionisti che affiancano i docenti di estrazione accademica, nonché nelle metodologie didattiche impiegate. Inoltre, il master prevede un project work finale che sarà svolto in una delle tante imprese che hanno dato la loro disponibilità, durante il quale gli allievi potranno mettere in pratica quanto appreso in aula.

Per concludere, quale consiglio vorrebbe dare ai giovani interessati al mondo della cybersecurity?

Uno molto semplice – almeno in apparenza. Di avere le idee chiare su cosa vogliono fare “da grandi”. Dipingere nella loro mente il percorso che si immaginano per i prossimi 5 o 10 anni. Se il tema li appassiona e hanno aspirazioni manageriali, questo è il percorso giusto per loro.