competenze

Professioni cyber security, come cambieranno dopo il nuovo perimetro nazionale

Nuove esigenze di mercato nell’ambito della cyber security e della sicurezza delle informazioni si traducono nella necessità di identificare competenze specifiche. Occorre muoversi su due piani: la messa a sistema delle competenze esistenti e l’individuazione di altri ambiti di specializzazione. Ecco le aree chiave

15 Ott 2019
Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant


Le disposizioni europee e la realizzazione, nel nostro Paese, del perimetro nazionale di sicurezza cibernetica hanno contribuito ad accelerare il processo di sviluppo di competenze e di professioni in grado di approcciarsi al tema della cyber security in materia trasversale.

In generale, inoltre, il processo di armonizzazione del mercato ICT europeo relativo alle certificazioni ha la possibilità di facilitare la circolazione di professionisti esperti in ambito cyber e del relativo know-how multidisciplinare, nonché di definire veri e propri standard europei in ambito di certificazioni informatiche.

Diversi gli ambiti strategici nei quali potranno svilupparsi specifiche figure professionali. Vediamo quali sono e qual è il contesto di mercato entro il quale matureranno.

Il quadro legislativo

La necessità di includere nella dimensione normativa l’ambito della cyber security e della sicurezza delle informazioni è stata colta dal legislatore europeo già all’interno di numerosi riferimenti tra cui il GDPR, la Direttiva NIS e il Cyber Security Act. In particolare, quest’ultima disposizione pone l’attenzione sulla necessità di sviluppare un sistema comune a livello europeo di certificazioni di prodotti e servizi che permetta di rendere omogeneo il mercato ICT.

Sulla base degli sforzi intrapresi a livello europeo, il nostro Paese ha adottato una serie di misure atte a garantire la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale.

In questo senso, il 21 settembre 2019 è stato approvato il Decreto n. 105/2019 che istituisce il Perimetro di sicurezza nazionale cibernetica. All’interno di tale perimetro vengono compresi non solo entità pubbliche, ma anche soggetti privati che possono configurarsi come attori strategici la cui protezione è essenziale per il funzionamento del sistema-Paese. A tal proposito, i soggetti interessati – che saranno nominati entro quattro mesi dalla data di entrata in vigore della legge di conversione del Decreto – sono tenuti ad applicare idonee misure di sicurezza tecniche e organizzative.

WHITEPAPER
Procurement: i 5 trend del cambiamento post emergenza
Acquisti/Procurement

In aggiunta a tali aspetti, è previsto che il Centro di Valutazione e Certificazione Nazionale (CVCN) svolga, nell’ambito dell’approvvigionamento di prodotti, servizi di tecnologie dell’informazione e della comunicazione ICT, le seguenti attività:

  • contribuire all’elaborazione delle misure di sicurezza, per ciò che concerne l’affidamento di forniture di beni, sistemi e servizi ICT;
  • valutare il rischio e verificare le condizioni di sicurezza e l’assenza di vulnerabilità note, dettando, se del caso, prescrizioni di utilizzo al committente;
  • elaborare e adottare schemi di certificazione cibernetica, adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

Ambiti di competenze e profili professionali

Alla luce del contesto normativo illustrato e delle relative disposizioni attuative emergono nuove esigenze di mercato che si traducono nella necessità di identificare competenze specifiche. Occorre muoversi su due piani, tra loro complementari: è necessario, da un lato, mettere a sistema le competenze esistenti e, dall’altro, individuare ulteriori ambiti di specializzazione che siano funzionali alle diverse attività richieste a tutti gli attori coinvolti – sia quelli che fanno parte del perimetro di sicurezza nazionale cibernetica, sia quelli dell’architettura cyber del nostro Paese.

Le competenze necessarie potrebbero definire degli ambiti strategici per il prossimo futuro all’interno dei quali sviluppare specifiche figure professionali. Tali competenze, dunque, potrebbero supportare le necessità delle seguenti aree:

  • Cyber governance: in questa area, tra le tante cose, sono necessarie competenze nelle attività di Assessment e Gap Analysis rispetto a requisiti previsti da standard, normative e best practice di settore. In particolare, le Linee guida per gli OSE sono basate sul Framework Nazionale di Cybersecurity: è plausibile che tale strumento di supporto venga utilizzato dagli altri attori che fanno parte del perimetro nazionale raggiungendo, allo stesso tempo, lo scopo iniziale del Framework stesso, ovvero la creazione di un linguaggio comune sulle pratiche di cyber security. Tale attività, spesso svolta da consulenti esterni, necessita di figure con competenze trasversali al mondo della sicurezza: dalla conoscenza dei framework e degli standard alla capacità di individuare le più efficaci attività di remediation;
  • Analisi e gestione degli eventi di sicurezza: in questa area, in coerenza con il peso che le normative nazionali e internazionali assegnano in particolare agli “incidenti di sicurezza” (Data breach, Data loss, Data leak), è opportuno direzionare gli sforzi verso l’efficacia dell’intero processo, che parte dalla prevenzione/identificazione degli eventi fino alla gestione e alla comunicazione degli stessi. In questo senso, le competenze necessarie afferiscono, a titolo di esempio, alla cyber threat intelligence (raccolta, analisi, attribution, reportistica), alla realizzazione di policy e procedure di incident management (detection, analysis, classification, response, eradication, recovery, closing, notification, lesson learned) e al supporto per la realizzazione e gestione di Security Operation Center (SOC) garantendo capacità di rilevazione e analisi degli eventi. Considerata l’eterogeneità delle competenze, è opportuno che siano individuate figure ben precise tra cui: analisti e consulenti in tema di cyber security, analisti di un SOC, esperti Data protection (ad esempio DPO);
  • Attività di supporto per le certificazioni di prodotto: il ruolo che nel nostro Paese ha assunto il CVCN presso il MiSE, anche in relazione alla sicurezza dei componenti IT dell’intera catena di fornitura, presuppone lo sviluppo di competenze in grado, da un lato, di contribuire fattivamente all’individuazione di schemi certificativi o all’analisi e alla valutazione delle eventuali vulnerabilità dei prodotti e, dall’altro, di monitorare l’intero processo di procurement ICT. Inoltre, tale approccio è in linea con gli obiettivi di una sicurezza e protezione dei dati definite sin dalla progettazione e per impostazione predefinita (security e privacy by design e by default). In questo senso, tra le figure professionali necessarie vi sono le seguenti: auditor, operatori presso i laboratori accreditati, specialisti in attività di Vulnerability Assessment/Penetration Test, sviluppatori, tecnici e progettisti;
  • Attività di supporto per le certificazioni di processo: in relazione al tema della cyber security e della sicurezza delle informazioni, il tema delle certificazioni di processo costituisce un obiettivo a cui tendere per organizzazioni pubbliche e private. Inoltre, accade che tali certificazioni – in primis quelle della famiglia delle 27000 – rappresentino dei requisiti fondamentali per la supply chain al fine di consentire alle realtà che forniscono prodotti o servizi di partecipare a bandi di gara. Le figure professionali per tale ambito sono i consulenti, gli auditor e gli esperti di dominio del mondo IT in grado di fornire le più idonee soluzioni tecnologiche da implementare;
  • Attività di analisi forense: a seguito di un incidente di sicurezza, si procede all’analisi dello stesso al fine di individuare la catena degli eventi. Una corretta analisi forense è necessaria per cercare di comprende alcuni aspetti fondamentali tra cui i seguenti: asset colpiti direttamente o indirettamente, impatto sull’organizzazione, eventuali attori ostili, tecniche e modalità di attacco, target dell’attacco, profili di responsabilità, ambiti di miglioramento delle procedure di sicurezza esistenti. In questo senso, tra le figure professionali necessarie vi sono gli esperti di Digital forensic, analisti di cyber security e figure con conoscenze giuridiche.

Previste  nuove assunzioni

Va sottolineato che nel Decreto 105/2019 sia stato prevista l’assunzione di nuovo personale (presso il Ministero dello sviluppo economico l’assunzione a tempo indeterminato di un contingente massimo di 77 unità di personale, nel limite di spesa di euro 3.005.000 annui a decorrere dal 2020, e presso la Presidenza del Consiglio dei ministri l’assunzione di un contingente massimo di 10 unità di personale non dirigenziale nel limite di spesa di 640.000 annui a decorrere dall’anno 2020).

Infine, va ricordato il ruolo dei Centri di competenza che, istituiti in seno alle Università, costituiscono un incubatore di professioni e di competenze, utili a sviluppare specializzazioni eterogenee per il mantenimento della sicurezza del nostro Paese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4