Paradosso cybersecurity in azienda: si investe in tecnologie, ma non in competenze

La sicurezza informatica interessa la maggioranza delle aziende, ma solo una piccolissima parte si considera già all’avanguardia in materia di cybersecurity. Lo ha messo in evidenza una ricerca curata da Grafton, brand globale di Gi Group Holding specializzato nel Professional Recruitment. Intitolata “Il paradosso della cybersecurity. Competenze emergenti, vulnerabilità strutturali e nuovi modelli organizzativi”, è stata realizzata tramite interviste online CAWI, somministrate a cinque target coinvolti a diverso titolo nella gestione della cybersecurity.

Accanto a decision maker aziendali e professionisti HR operanti in aziende dotate di una funzione ICT strutturata, sono stati coinvolti nell’indagine anche un gruppo di lavoratori in un modulo dedicato al phishing e un gruppo di esperti di cybersecurity. Su tutti i dati, salta all’occhio un 83% di imprese che considera la sicurezza informatica una priorità e la presenza della quasi totalità dei decision maker che ritiene che una violazione possa compromettere gravemente la reputazione aziendale. La percentuale di chi si considera davvero in grado di affrontare le minacce informatiche si ferma invece solo al 16% delle aziende intervistate.

I numeri sopra illustrati non bastano tuttavia a cogliere appieno la complessità dello scenario se non ci si sofferma sulle singole aree di vulnerabilità. La prima è proprio il fattore umano, come sottolineato dagli specialisti IT, che parlano di un 61% di incidenti di cybersecurity causati da errori umani. Tra questi ultimi spiccano distrazione, negligenza o comportamenti non corretti. Un ulteriore 50% è invece collegato alla scarsa formazione dei dipendenti sui rischi digitali.

Le persone non sarebbero in altri termini adeguatamente preparati a gestire tecnicamente gli attacchi informatici nella loro quotidianità lavorativa. Secondo l’indagine, quasi 1 lavoratore su 2 (46%) non sarebbe infatti capace di individuare correttamente i segnali più evidenti di phishing, che è una delle minacce informatiche più diffuse. Questa percentuale scende al 34% tra gli under 34, mentre sale al 49% tra gli over 45.

Anche il punto di vista dei decision maker è in linea: il 41% ritiene che l’errore umano incida in modo significativo sulla sicurezza informatica aziendale, confermando come la dimensione comportamentale rappresenti oggi uno dei principali punti di esposizione al rischio. Tuttavia, il 78% valuta la preparazione dei dipendenti sul tema del phishing come solo parziale, evidenziando una diffusa consapevolezza delle carenze formative interne. Proprio da questa consapevolezza emerge una seconda contraddizione.

Nonostante i dati sopra riportati, in molte aziende italiane si sta vivendo il seguente paradosso: si investe nella tecnologia, ma non nelle competenze. Secondo i decision maker, il 56% delle risorse destinate alla cybersecurity verrebbe infatti impiegato per l’acquisto di tecnologie, mentre quote molto più contenute sarebbero dedicate alla formazione del personale (18%) o all’assunzione di nuovi specialisti (10%). I soli investimenti in tecnologie non possono evidentemente bastare se non si presta attenzione anche alla crescita delle competenze umane.

E del resto, sempre i dati raccolti mostrano l’interesse ad essere formati in queste materie almeno da parte dei lavoratori: la totalità degli intervistati (97%) ritiene importante la formazione in ambito cybersecurity, segnalando una forte apertura verso percorsi di sviluppo, percepiti non come un’imposizione dall’alto, ma come un’esigenza concreta e condivisa.

A rendere ancora più complesso il quadro è la crescente carenza di professionisti qualificati. Il mercato del lavoro faticherebbe infatti a soddisfare la domanda di competenze specialistiche, al punto che oltre l’85% delle funzioni HR considera complessa la ricerca di profili ICT. Nel merito, l’indagine di Grafton parla della combinazione di diversi fattori che ostacolano questo genere di recruiting.

Innanzitutto, nella carenza di profili ICT incide la maggiore velocità della domanda di competenze digitali rispetto all’offerta disponibile. Il 52% delle organizzazioni analizzate segnala infatti una forte pressione competitiva nella ricerca di talenti. In secondo luogo, anche quando le aziende riescono a inserire professionisti qualificati, incontrano difficoltà nel trattenerli, poiché questi profili sono altamente richiesti e spesso attratti da opportunità più vantaggiose. In questo caso, la dinamica descritta riguarderebbe un ulteriore 52% delle imprese.

Restringendo il focus alla sola cybersecurity, aggiunge la ricerca, il livello di specializzazione richiesto è maggiore, il che produce una ulteriore diminuzione dei profili disponibili, riguardanti l’intero processo di ricerca e selezione. A sottolineare questo aspetto è l’84% degli HR che parla di difficoltà nel verificare le reali competenze tecniche durante le fasi di valutazione. Il problema si ripropone anche quando sono previsti percorsi di upskilling e reskilling, con un 81% di HR che parla della presenza di criticità significative, tra cui spicca la carenza di formatori qualificati, citata dal 47%.

Sui risultati dell’indagine Francesco Manzini, Amministratore Delegato di Grafton, ha commentato: «Abbiamo voluto realizzare questo report proprio per contribuire a leggere il fenomeno da una prospettiva più ampia, che non riguarda solo la tecnologia ma anche il mercato del lavoro e l’evoluzione delle professionalità. La cybersecurity rappresenta, infatti, uno degli ambiti in cui la domanda cresce più rapidamente e in cui le aziende incontrano maggiori difficoltà nel trovare e valutare profili adeguati. In questo contesto, il ruolo di società di ricerca e selezione come la nostra diventa sempre più rilevante: supportare le aziende non solo nell’individuazione dei professionisti, ma anche nella valutazione delle competenze tecniche e trasversali necessarie per gestire rischi digitali sempre più complessi».