competenze

Professioni cyber security, come cambieranno dopo il nuovo perimetro nazionale

Nuove esigenze di mercato nell’ambito della cyber security e della sicurezza delle informazioni si traducono nella necessità di identificare competenze specifiche. Occorre muoversi su due piani: la messa a sistema delle competenze esistenti e l’individuazione di altri ambiti di specializzazione. Ecco le aree chiave

15 Ott 2019
Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant

Golden Power

Le disposizioni europee e la realizzazione, nel nostro Paese, del perimetro nazionale di sicurezza cibernetica hanno contribuito ad accelerare il processo di sviluppo di competenze e di professioni in grado di approcciarsi al tema della cyber security in materia trasversale.

In generale, inoltre, il processo di armonizzazione del mercato ICT europeo relativo alle certificazioni ha la possibilità di facilitare la circolazione di professionisti esperti in ambito cyber e del relativo know-how multidisciplinare, nonché di definire veri e propri standard europei in ambito di certificazioni informatiche.

Diversi gli ambiti strategici nei quali potranno svilupparsi specifiche figure professionali. Vediamo quali sono e qual è il contesto di mercato entro il quale matureranno.

Il quadro legislativo

La necessità di includere nella dimensione normativa l’ambito della cyber security e della sicurezza delle informazioni è stata colta dal legislatore europeo già all’interno di numerosi riferimenti tra cui il GDPR, la Direttiva NIS e il Cyber Security Act. In particolare, quest’ultima disposizione pone l’attenzione sulla necessità di sviluppare un sistema comune a livello europeo di certificazioni di prodotti e servizi che permetta di rendere omogeneo il mercato ICT.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Sulla base degli sforzi intrapresi a livello europeo, il nostro Paese ha adottato una serie di misure atte a garantire la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale.

In questo senso, il 21 settembre 2019 è stato approvato il Decreto n. 105/2019 che istituisce il Perimetro di sicurezza nazionale cibernetica. All’interno di tale perimetro vengono compresi non solo entità pubbliche, ma anche soggetti privati che possono configurarsi come attori strategici la cui protezione è essenziale per il funzionamento del sistema-Paese. A tal proposito, i soggetti interessati – che saranno nominati entro quattro mesi dalla data di entrata in vigore della legge di conversione del Decreto – sono tenuti ad applicare idonee misure di sicurezza tecniche e organizzative.

In aggiunta a tali aspetti, è previsto che il Centro di Valutazione e Certificazione Nazionale (CVCN) svolga, nell’ambito dell’approvvigionamento di prodotti, servizi di tecnologie dell’informazione e della comunicazione ICT, le seguenti attività:

  • contribuire all’elaborazione delle misure di sicurezza, per ciò che concerne l’affidamento di forniture di beni, sistemi e servizi ICT;
  • valutare il rischio e verificare le condizioni di sicurezza e l’assenza di vulnerabilità note, dettando, se del caso, prescrizioni di utilizzo al committente;
  • elaborare e adottare schemi di certificazione cibernetica, adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

Ambiti di competenze e profili professionali

Alla luce del contesto normativo illustrato e delle relative disposizioni attuative emergono nuove esigenze di mercato che si traducono nella necessità di identificare competenze specifiche. Occorre muoversi su due piani, tra loro complementari: è necessario, da un lato, mettere a sistema le competenze esistenti e, dall’altro, individuare ulteriori ambiti di specializzazione che siano funzionali alle diverse attività richieste a tutti gli attori coinvolti – sia quelli che fanno parte del perimetro di sicurezza nazionale cibernetica, sia quelli dell’architettura cyber del nostro Paese.

Le competenze necessarie potrebbero definire degli ambiti strategici per il prossimo futuro all’interno dei quali sviluppare specifiche figure professionali. Tali competenze, dunque, potrebbero supportare le necessità delle seguenti aree:

  • Cyber governance: in questa area, tra le tante cose, sono necessarie competenze nelle attività di Assessment e Gap Analysis rispetto a requisiti previsti da standard, normative e best practice di settore. In particolare, le Linee guida per gli OSE sono basate sul Framework Nazionale di Cybersecurity: è plausibile che tale strumento di supporto venga utilizzato dagli altri attori che fanno parte del perimetro nazionale raggiungendo, allo stesso tempo, lo scopo iniziale del Framework stesso, ovvero la creazione di un linguaggio comune sulle pratiche di cyber security. Tale attività, spesso svolta da consulenti esterni, necessita di figure con competenze trasversali al mondo della sicurezza: dalla conoscenza dei framework e degli standard alla capacità di individuare le più efficaci attività di remediation;
  • Analisi e gestione degli eventi di sicurezza: in questa area, in coerenza con il peso che le normative nazionali e internazionali assegnano in particolare agli “incidenti di sicurezza” (Data breach, Data loss, Data leak), è opportuno direzionare gli sforzi verso l’efficacia dell’intero processo, che parte dalla prevenzione/identificazione degli eventi fino alla gestione e alla comunicazione degli stessi. In questo senso, le competenze necessarie afferiscono, a titolo di esempio, alla cyber threat intelligence (raccolta, analisi, attribution, reportistica), alla realizzazione di policy e procedure di incident management (detection, analysis, classification, response, eradication, recovery, closing, notification, lesson learned) e al supporto per la realizzazione e gestione di Security Operation Center (SOC) garantendo capacità di rilevazione e analisi degli eventi. Considerata l’eterogeneità delle competenze, è opportuno che siano individuate figure ben precise tra cui: analisti e consulenti in tema di cyber security, analisti di un SOC, esperti Data protection (ad esempio DPO);
  • Attività di supporto per le certificazioni di prodotto: il ruolo che nel nostro Paese ha assunto il CVCN presso il MiSE, anche in relazione alla sicurezza dei componenti IT dell’intera catena di fornitura, presuppone lo sviluppo di competenze in grado, da un lato, di contribuire fattivamente all’individuazione di schemi certificativi o all’analisi e alla valutazione delle eventuali vulnerabilità dei prodotti e, dall’altro, di monitorare l’intero processo di procurement ICT. Inoltre, tale approccio è in linea con gli obiettivi di una sicurezza e protezione dei dati definite sin dalla progettazione e per impostazione predefinita (security e privacy by design e by default). In questo senso, tra le figure professionali necessarie vi sono le seguenti: auditor, operatori presso i laboratori accreditati, specialisti in attività di Vulnerability Assessment/Penetration Test, sviluppatori, tecnici e progettisti;
  • Attività di supporto per le certificazioni di processo: in relazione al tema della cyber security e della sicurezza delle informazioni, il tema delle certificazioni di processo costituisce un obiettivo a cui tendere per organizzazioni pubbliche e private. Inoltre, accade che tali certificazioni – in primis quelle della famiglia delle 27000 – rappresentino dei requisiti fondamentali per la supply chain al fine di consentire alle realtà che forniscono prodotti o servizi di partecipare a bandi di gara. Le figure professionali per tale ambito sono i consulenti, gli auditor e gli esperti di dominio del mondo IT in grado di fornire le più idonee soluzioni tecnologiche da implementare;
  • Attività di analisi forense: a seguito di un incidente di sicurezza, si procede all’analisi dello stesso al fine di individuare la catena degli eventi. Una corretta analisi forense è necessaria per cercare di comprende alcuni aspetti fondamentali tra cui i seguenti: asset colpiti direttamente o indirettamente, impatto sull’organizzazione, eventuali attori ostili, tecniche e modalità di attacco, target dell’attacco, profili di responsabilità, ambiti di miglioramento delle procedure di sicurezza esistenti. In questo senso, tra le figure professionali necessarie vi sono gli esperti di Digital forensic, analisti di cyber security e figure con conoscenze giuridiche.

Previste  nuove assunzioni

Va sottolineato che nel Decreto 105/2019 sia stato prevista l’assunzione di nuovo personale (presso il Ministero dello sviluppo economico l’assunzione a tempo indeterminato di un contingente massimo di 77 unità di personale, nel limite di spesa di euro 3.005.000 annui a decorrere dal 2020, e presso la Presidenza del Consiglio dei ministri l’assunzione di un contingente massimo di 10 unità di personale non dirigenziale nel limite di spesa di 640.000 annui a decorrere dall’anno 2020).

Infine, va ricordato il ruolo dei Centri di competenza che, istituiti in seno alle Università, costituiscono un incubatore di professioni e di competenze, utili a sviluppare specializzazioni eterogenee per il mantenimento della sicurezza del nostro Paese.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati