La ricerca di persone competenti cyber security è una sfida non molto semplice per le aziende, sia per la carenza di queste figure che per una certa impreparazione da parte delle stesse aziende. La buona notizia è che comincia a maturare una nuova sensibilità nei confronti della necessità di dotarsi di strutture a presidio della sicurezza e, di conseguenza, tra le aziende si è scatenata una vera e propria “guerra delle risorse”. Di seguito un confronto tra i due diversi approcci scelti per vincerla.
Le aziende alla “guerra delle risorse”
Le più recenti attività che ho svolto in ambito cyber si sono casualmente tutte concentrate sulla ricerca di persone e competenze per strutture che devono ampliare la capacity del loro presidio cyber security oppure per start up che vorrebbero fare della cyber security uno dei loro valori di core business, se non proprio il core business in quanto tale.
Molto di più di quanto accada in ambito, mi si conceda il termine, IT “in generale”, il recupero di competenze cyber security vive un intenso periodo di “guerra delle risorse umane”. E teniamo in considerazione che individuare, selezionare e assumere professionisti, dal junior al CIO/CTO, in ambito IT è ancora oggi una sfida non irrilevante, soprattutto nel nostro paese.
Un professore della facoltà di ingegneria dell’Università di Ferrara mi raccontava la reazione che hanno avuto quando a fine 2017 Yoox ha annunciato il lancio del suo programma triennale di “repaltforming”, che tra le altre cose prevede l’espansione del Data Center di Zola Predosa presso cui nascerà anche l’organizzazione che svilupperà la nuova piattaforma proprietaria applicativa di Yoox a supporto del business. Si parlava di circa 600 assunzioni in tutto, di cui 400 di profilo IT. Il professore mi raccontava di una reazione tra l’attonito e il disperato, perché non sapeva immaginarsi come, pur considerando tutti gli atenei del nostro paese, poter sostenere per tre anni un piano di quel tipo con i numeri attuali di neolaureati e all’interno di un contesto di mercato già ampiamente sotto stress.
Difficile che in ambito cyber security ci siano eventi di queste dimensioni, ma se già rispetto alle necessità è scarsa “l’offerta” di profili IT anche solo di neolaureati o neodiplomati senza esperienza, figuriamoci in ambito cyber security che sorta di dramma stiamo vivendo, stante il fatto che anche gli istituti superiori e le università hanno iniziato a trattare il tema solo da qualche anno.
Strategie di recruiting a confronto
Quali sono le strategie di guerra che ho visto scelte dalle diverse organizzazioni?
Mettiamo a confronto le due principali.
“Prendiamoli da piccoli”
L’idea è quella di anticipare il momento di ingaggio delle persone (in prevalenza junior, ma non solo) rispetto a quello dell’assunzione, precisamente di attivare la relazione al momento di costruzione (o crescita) della conoscenza della materia.
La differenza abnorme tra domanda di persone competenti, a tutti i gradi di seniority, e la disponibilità di risorse sul mercato ha fatto sì che, infatti, alcune grandi organizzazioni (o coloro che hanno ampie disponibilità finanziarie e di investimento) si siano mosse addirittura nella direzione della creazione delle cosiddette Academy, intese come centri di formazione tecnica, che abbiano l’obiettivo di formare in modo adeguato le persone da inserire successivamente all’interno delle proprie strutture organizzative.
L’idea non è male, anzi io personalmente ne sono affascinata e, ogni volta che è possibile, in progetti di questo genere mi ci butto a pesce, entusiasta come una trota che da una vasca d’allevamento, non si sa come, riconquista la libertà.
Ecco sì…se non fosse che per fare un Academy occorre disporre non solo di materiale didattico e relativi strumenti, ma soprattutto di corpo docente adeguato, pertanto anche per questo tipo di progetto la prima prova di sopravvivenza si consuma sul campo di battaglia della guerra delle risorse.
Tale prova di sopravvivenza è spesso superata grazie ad una sorta di cambio dell’obiettivo. Anziché cercare solo insegnanti che in pianta stabile facciano la docenza presso la propria Academy, una buona soluzione è stata quella di rivolgersi ad organizzazioni, già mature, che lavorano sul mercato e che quindi hanno presso di sé sia persone di una certa esperienza che use case e strumenti da usare in aula per accelerare i processi di apprendimento. Meglio ancora se l’azienda è straniera, di cultura e tradizione storicamente legate a temi di difesa tecnologica avanzata. Il problema in questo caso si sposta sul piano del costo e della reale affidabilità del modello operativo dell’Academy, che in questi casi è a mezza via tra un centro privato di formazione ed una pura logica di business, che corre quindi il rischio di sommare le criticità di sostenibilità di entrambi.
Ho visto anche un, devo dire eccellente, modello alternativo di un gruppo bancario (ahimè) non Italiano che ha fatto leva sulla propria organizzazione interna di presidio cyber security: ha creato di fatto un organismo aziendale a sé stante fermo restando tutto il resto (dalla mission alle attività operative, dall’organizzazione delle persone alla struttura di costi, eccetera) cui ha aggiunto “l’appendice” dell’Ácademy, mettendo così le basi per un virtuosissimo meccanismo di sfruttamento pieno di tutte le capacità interne e di “iniziazione dei piccoli” non solo alla cyber security, ma anche alla propria cultura aziendale.
Non mi sono ancora capitati sott’occhio dei casi di conclamato successo, fatta eccezione per una realtà ancora diversa, ma stavolta italianissima, anzi di più, emiliana. In questo caso si tratta di una Academy costruita per stimolo, ispirazione e partecipazione da parte di un gruppo industriale italiano e realizzata grazie alle capacità di un professore universitario che da diversi anni forma dei neolaureati tramite un percorso specifico con una selezione a monte particolarmente rigida. Alla fine del percorso i ragazzi vengono valutati dalla “committente” per l’inserimento in struttura, pur non escludendo la possibilità per loro di seguire altre strade dopo l’Academy.
Comunque, tra false partenze e successi, io ritengo che questa strategia di acquisizione di competenze da parte delle aziende sia straordinariamente interessante e feconda di opportunità, soprattutto in un paese come il nostro dove lui per primo beneficerebbe di una crescita maggiore e più distributa di questo tipo di competenze, a prescindere dall’azienda che poi ne fa uso nell’immediato.
“La nostra forza è la Tradizione”
La maggior parte degli interlocutori con cui ho lavorato fino ad ora tende comunque ad avviare un percorso più tradizionale, snodato tra rete di conoscenze, ricerche operate dal proprio dipartimento HR di recruiting e/o tramite società specializzate in questo mestiere.
Primo step: Il progetto di ricerca.
Il progetto di ricerca è, solitamente, la risposta operativa alla necessità di dare seguito ad una soluzione organizzativa. Cioè, in linea teorica, anche per la cyber security vale che l’organizzazione prima definisce cosa gli occorre, poi identifica una soluzione organizzativa che soddisfa il bisogno e da questa soluzione poi deduce la lista della spesa per poterla allestire. Da questa lista della spesa, nasce il progetto di ricerca.
Come per tutti i progetti di ricerca, è ovviamente molto diverso cercare alcuni specifici profili per risolvere puntualmente alcune debolezze oppure cercare l’intera cosiddetta “piramide”, ma una cosa ho visto accomunare i progetti di ricerca che mi sono capitati sott’occhio: il caso della cyber security è una sorta di punto di singolarità (nel senso matematico del termine).
Mi spiego.
Sono tutti consapevoli della difficoltà di trovare i profili giusti per le varie aree della cyber, ma se posso muovere (l’oramai attesa) critica costruttiva alle organizzazioni suggerirei a queste ultime, prima di impostare un piano di ricerca e recruiting, di prendersi il tempo per accertarsi di aver ben compreso i vari “mestieri” che compongono l’officina della cyber security (“officina” intesa sia come impianto industriale che come laboratorio composto dalla presenza operante di più personalità artistiche affini, come dice il dizionario): fare analisi forense, monitoraggio, difesa attiva, data protection, intelligence, analisi tecnica di pattern o vettori d’attacco, ecc. ecc. sono attività che non richiedono esattamente lo stesso tipo di conoscenza né lo stesso spettro di attitudini e inclinazioni né lo stesso livello minimo di seniority. In altre parole, anche se un filo più complicato data la novità, come per le altre aree aziendali occorre sapere bene cosa cercare in termini di skill e capacità in ambito cyber security, anche per essere in grado di riconoscerli quando finalmente li si trova. Invece ho riscontrato che quello che normalmente le organizzazioni “sanno e sanno fare” per le altre aree materie, nel caso della cyber spesso non sanno né si preoccupano abbastanza di procurarsi tale conoscenza prima di avviare la ricerca. E vale a tutti i livelli di profili cercati, dall’analista malware al CISO.
L’importanza delle competenze giuste
A me è successo di essere invitata ad un colloquio per un posto di responsabile di ICT Security di una bellissima azienda italiana. Anche se il progetto professionale che ho scelto è diverso e difficilmente avrei valutato una opportunità di quel tipo, lo stesso ho accettato l’invito perché davvero l’azienda era ed è molto interessante da capire e da imparare. E poi, mai dire mai!
In breve, dopo la reciproca introduzione e presentazione abbiamo iniziato a parlare del loro progetto: stavano allestendo la struttura interna a presidio della sicurezza da zero. Prima di allora non se n’erano mai occupati, poi per una serie di ottimi (e mi sa anche un pochino dolorosi) motivi avevano stabilito di dotarsi di un team apposito. Molto giusto e comprensibile.
Poi però il risultato della nostra lunga discussione è stato che in verità non avevano chiaro perché gli occorreva una struttura interna e, ovviamente, non avevano neanche chiaro cosa avrebbe dovuto fare.
Quindi non avevano idea di cosa chiedere in termini di contenuti né di come fare per capire se di fronte avevano la persona giusta o no. Forse erano della scuola di pensiero che un buon manager è tale anche se non sa niente della materia di cui la sua struttura si occupa, chissà.
Ad ogni modo, al di là del fatto che io non sono di quella scuola di pensiero, questo approccio applicato in sicurezza è pericolosissimo.
La loro idea di partire cercando il capo non era sbagliata, anzi, vista la loro inesperienza, selezionare prima il/la capobranco e poi far costituire a lui/lei il branco medesimo è il risultato di una buona suggestione. Però almeno il/la capobranco occorre saperlo riconoscere, se non se ne ha la capacità, è possibile farsi supportare da qualcuno che lo sa fare!
Se non mi sbaglio alla fine assunsero una persona dal profilo ed esperienza di tipo legale, forse hanno modificato in corso d’opera il loro progetto organizzativo, ma questa è un’altra storia.
So what?
Anche se sembra scontato: il progetto di ricerca va sostenuto con competenze specifiche che abilitino un buon risultato della ricerca medesima, per cui per tutte le organizzazioni che con la materia hanno poca famigliarità, sembra davvero necessario raccomandare di farsi supportare da esperti che limitino la possibilità di fare errori o perdere/far perdere tempo. Ci sono sul mercato varie possibilità, dal singolo advisor alle società che operano in ambito cyber security e offrono anche questo tipo di supporto così come, più tradizionalemente, società di ricerca che hanno maturato esperienza anche in questo comparto per cui sono certamente preparate.
Secondo step: il profilo di costo delle risorse
Mentre è relativamente facile convincere l’azienda che il presidio cyber security ha necessità di persone ad alta specializzazione tecnica e con determinate peculiarità, subito dopo è tutto da rifare quando si tocca il tema del costo per profilo di competenza e seniority.
La prossimità della cyber con il mondo ben più vasto dell’IT fa sì che venga dato per scontato che a parità di parole chiave e di numero di anni di esperienza, il tipo di negoziazione sia del tutto simile e anche i valori in gioco del tutto analoghi.
Ora, non sostengo certo che in termini di stipendio o di compenso in generale le persone che lavorano in ambito cyber security debbano necessariamente guadagnare di più, ma è ovvio che quando si è in regime di risorse scarse per accaparrarsele occorre essere disposti a qualcosa in più rispetto a chi come noi è in competizione per le stesse risorse.
Di fronte a questa quasi ovvia evidenza, vedo un apprezzabile tentativo di rilanciare di un 10/15% senza però un evidente razionale sottostante se non che le persone dicono subito di no alla prima offerta.
Quindi?
Quindi io suggerisco attenta riflessione nel momento in cui si stabilisce quanto occorre essere disposti a pagare per delle risorse competenti in ambito cyber security. Attenta significa che se da un lato è più che sensato tentare di avere un benchmark di riferimento, dall’altro è opportuno che tale benchmark sia solido e non preso da un comparto che “ci somiglia”. E se non c’è altra possibilità che ragionare per analogie, occorre mettere da subito in cantiere (cioè a budget) una buona percentuale di contingency che consenta di aggiustare il tiro in modo tempestivo, se non già di tirare da subito in modo congruo: è sempre un segnale non scevro da ambiguità quello che una azienda dà quando fa un’offerta che immediatamente migliora se il candidato tentenna o rifiuta.
Ma dell’offerta nel suo complesso, a mio modo di vedere non è l’aspetto economico quello più importante.
Ovviamente il denaro è un elemento molto rilevante sia per l’azienda che per la persona, ma finalmente vedo maturare la proposizione da parte delle aziende verso un modello più consono al popolo della sicurezza.
Oltre al tema del compenso, vedo sempre più spesso la volontà di arricchire il contesto di offerta con elementi che sono importanti per “una persona che fa sicurezza”.
Mi riferisco sia agli aspetti valoriali, proposti come motivazione di base per maturare la volontà autentica di proteggere l’azienda ed i suoi asset (volontà che talvolta deve essere ferrea per non cedere di fronte a determinati ostacoli), sia agli aspetti di contesto come la possibilità di accedere a fonti di conoscenza o strumenti particolarmente sofisticati, di essere affiancati o seguiti da persone altamente competenti e specializzate e più in generale dalla capacità dell’azienda di sostenere e stimolare la crescita della conoscenza delle persone…e magari della loro identità di esperti di cyber security.
La morale che sembra emergere dal confronto di queste due diverse strategie per vincere la guerra delle risorse penso possa essere riassunta in questa la chiosa finale: quale che sia la strategia che ci diamo, tra le armi da prevedere per accaparrarci persone competenti in cyber security, suggerisco dotarsi di quella della comprensione dei bisogni e desideri di questa nuova genìa, che punta alla crescita della conoscenza, alla specializzazione (talvolta quasi elitaria) e sembra acquisire, man mano che il tempo passa, una identità specifica e molto forte che va riconosciuta.