Nel complesso ecosistema digitale le minacce informatiche in costante crescita si rivelano sempre più insidiose e si contrappongono alla sempre maggiore carenza di figure professionali impegnate nel loro contrasto.
Così nel settembre dello scorso anno, l'ENISA (l'Agenzia Europea per la cybersicurezza) ha elaborato il Quadro europeo delle competenze in materia di cybersicurezza (l'European Cybersecurity Skills Framework - ECSF) contenente le linee guida per la formazione e individuando 12 figure professionali tipiche del settore.
Il problema della cybersecurity in azienda
Il problema della sicurezza delle infrastrutture informatiche aziendali cresce in criticità e rilevanza, poiché la dipendenza delle organizzazioni dai sistemi informatici per le loro attività quotidiane le rende sempre più esposte. La perdita o l'accesso non autorizzato ai dati sensibili dell'azienda può causare gravi danni finanziari, reputazionali e legali. Nei primi sei mesi del 2022 gli attacchi informatici definiti gravi sono stati il 45% del totale, e quelli a impatto definito critico sono stati circa un terzo del totale. In questo contesto, il fattore umano continua a emergere come la vera debolezza, non solo per mancanza di figure professionali specifiche ma anche per la scarsa attenzione e consapevolezza di tutti gli operatori.
Il quadro elaborato dall'Unione Europea va ben oltre alla sensibilizzazione dei dipendenti sulle buone pratiche di sicurezza informatica, definendo le competenze necessarie ad affrontare i cyber criminali e le relative figure professionali.
Le figure professionali definite nell'European Cybersecurity Skills Framework
L'ECSF riunisce tutti i ruoli degli operatori impegnati nella sicurezza informatica in 12 profili professionali con proprie responsabilità e competenza ma interdipendenti tra loro, pensati per operare in sinergia. Una scelta che è scaturita da due anni di lavoro di analisi, comprensione e dialogo con tutti gli attori coinvolti.
Ecco l'elenco:
- il CISO (Chief Information Security Officer);
- il Cyber Incident Responder;
- il Cyber Legal, Policy and Compliance Officer;
- il Cyber Threat Intelligence Specialist;
- il Cybersecurity Architect;
- il Cybersecurity Auditor;
- il Cybersecurity Educator, dedicato alla sensibilizzazione in materia;
- il Cybersecurity Implementer;
- il Cybersecurity Researcher;
- il Cybersecurity Risk Manager;
- il Digital Forensics Investigator;
- il Penetration Tester, colui che si occupa di effettuare Penetration Test.
Il Cybersecurity Educator
Se è vero che molti di questi profili sono già piuttosto conosciuti, emerge la figure del Cybersecurity Educator, la cui specificità è proprio quella di incrementare le conoscenze e la competenze in materia di cybersecurity. Si occupa pertanto di promuovere e realizzare quella cultur della cybersecurity tra il personale dipendente tanto auspicata per ridurre l'errore umano che gioca ancora un ruolo così importante negli attacchi che vanno a buon fine.
Nello specifico, il Cybersecurity Educator deve cogliere le esigenze di formazione e sensibilizzazione progettando programmi su misura, definendo strategie di formazione continua, verifica e simulazioni delle competenze del personale, motivandolo e incoraggiandolo nell'acquisizione delle conoscenze necessarie a trattare con sicurezza il dato informatico.
Nel documento ENISA si possono trovare i dettagli di ogni figura individuata
