Manlio Longinotti presenta i dati sul Cybersecurity Skills Gap, evidenziando l’importanza della formazione interna nelle organizzazioni.

Cybersecurity Skills Gap : il vero problema non è trovare persone, ma costruire competenze

A cura di:Manlio Longinotti Ore

Il SANS/GIAC Workforce Report 2025 rivela che la maggioranza delle organizzazioni ha cambiato strategia: meno caccia ai talenti sul mercato, più investimento nella formazione interna

La formazione in ambito cybersecurity viene costantemente citata durante convegni e tavole rotonde di settore, eppure raramente si riesce ad approfondire cosa significhi realmente costruire competenze efficaci all’interno delle organizzazioni. A fare chiarezza su questo tema è stato l’intervento “Cyber security: perché le aziende vincenti non cercano più esperti sul mercato” di Manlio Longinotti, Responsabile Italia del SANS Institute, durante il 23° Forum ICT Security tenutosi a Roma.

«Ho riscontrato, e penso anche voi, che la formazione viene sempre nominata all’interno di questi panel e in tutte le conferenze a cui partecipiamo, ma non si fa mai un focus, non si riesce a capire realmente che cosa significhi e come venga svolta», ha esordito il relatore, introducendo i risultati del 2025 SANS/GIAC Cybersecurity Workforce Research Report, un’indagine condotta su circa 3.400 professionisti tra responsabili di cyber security e HR manager.

 

SANS ’25 Cybersecurity Workforce Report

Una fotografia preoccupante: i dati europei

Prima di entrare nel vivo della ricerca SANS, l’esperto ha presentato alcuni dati della ricerca svolta dalla DG Connect dell’Unione Europea, basati su un’indagine che ha coinvolto circa 12.000 aziende europee. I numeri sono eloquenti: alla domanda su quanti specialisti cyber siano presenti nelle organizzazioni, quasi la metà dei rispondenti ha dichiarato zero, mentre nella maggioranza dei casi restanti il numero si attesta tra uno e tre.

Ancora più significativo il dato sulla formazione: il 75% delle aziende europee (76% in Italia) ha dichiarato di non aver fornito alcuna formazione in cyber security nell’ultimo anno. «Io potrei chiudere qua, credo», ha commentato ironicamente Longinotti.

Lo stato delle competenze cyber

Ma la realtà è più complessa del semplice refrain secondo cui “mancano 300.000 persone”. Analizzando le difficoltà nel reperire le giuste competenze, emerge un quadro articolato: le aziende lamentano di non ricevere candidature, di non trovare profili qualificati, ma anche – ed è un aspetto cruciale – di non conoscere adeguatamente le caratteristiche del ruolo che stanno cercando.

Non mancano le persone, mancano le competenze giuste

Il cuore dell’intervento ha riguardato un cambio di paradigma fondamentale. I dati della survey SANS/GIAC mostrano che il 52% delle organizzazioni identifica come problema principale “non avere le persone giuste”, contro il 48% che lamenta “non avere abbastanza persone”.

«Il nostro problema non è non avere persone, inteso come numero di dipendenti, ma non avere le giuste skills. Preferisco avere meno persone, ma con le skills giuste», ha sintetizzato il responsabile Italia di SANS, riportando il sentiment emerso dalle interviste condotte a margine della survey.

Mancanza di persone o di skills?

Questo ribaltamento di prospettiva sta portando le aziende a fare “di necessità virtù”: consapevoli della difficoltà di ottenere tutto ciò che vorrebbero in termini di organico, stanno puntando sempre più sull’attitudine dei candidati piuttosto che sulle competenze tecniche consolidate. Un dato confermato anche dalla ricerca europea: nella maggioranza dei casi, chi oggi si occupa di cyber security proviene da un ruolo interno nel quale non si occupava di cyber security oppure è stato assunto dall’esterno, ma comunque senza responsabilità specifiche in ambito cyber.

Il cortocircuito tra HR e Cyber Security

Uno degli aspetti più critici emersi dalla ricerca riguarda la collaborazione – spesso insufficiente – tra i dipartimenti HR e quelli dedicati alla sicurezza informatica. I dati mostrano una disconnessione evidente: alla domanda su chi abbia l’ultima parola nelle decisioni di assunzione, gli HR manager rispondono “HR”, mentre i responsabili cyber security indicano sé stessi.

«Le due funzioni raramente collaborano», ha osservato lo speaker, evidenziando come questa mancanza di sinergia complichi ulteriormente un processo di hiring già difficile per la scarsità di profili sul mercato.

Collaborazione fra HR e Cybersecurity

Il problema si aggrava considerando che il 54% delle organizzazioni intervistate non utilizza framework di riferimento come il NICE Framework o l’ECSF di ENISA per definire i ruoli ricercati. Il risultato? Job description che descrivono “unicorni”, profili impossibili da trovare con responsabilità generiche o nebulose che scoraggiano le candidature.

«Ci troviamo di fronte a una domanda che non può incontrare l’offerta», ha spiegato l’esperto. «Se pubblico una job description – ricordiamoci fra i problemi evidenziati in apertura “non riceviamo application” – che è un cosiddetto unicorno, perché sto cercando un CISO con requisiti eterogenei, competenze generiche e responsabilità nebulose, quasi certamente più ampie, con ogni probabilità non avrò successo in quella ricerca».

Il ruolo strategico delle certificazioni

In questo scenario complesso, le certificazioni professionali assumono un ruolo sempre più rilevante. La ricerca evidenzia che il 51% delle organizzazioni privilegia lo sviluppo delle competenze interne attraverso upskilling e formazione trasversale, piuttosto che affidarsi esclusivamente ad assunzioni esterne.

Le certificazioni, tradizionalmente adottate per requisiti normativi o vantaggi competitivi, si stanno trasformando in strumenti strategici per validare le competenze, identificare i gap formativi e costruire percorsi di sviluppo professionale mirati, anche in ambiti emergenti come cloud e AI security.

Fare affidamento sulle certificazioni

Le sfide del recruiting e come superarle

L’intervento ha poi analizzato le principali barriere che impediscono il successo dei processi di assunzione. Se lo stipendio rappresenta prevedibilmente la prima voce, seguita dalla mancanza di candidati qualificati, emergono due fattori spesso sottovalutati: la lunghezza del processo di assunzione e l’inadeguatezza dei pacchetti di benefit offerti.

«Un esperto di sicurezza informatica riceve diverse offerte di lavoro», ha sottolineato il relatore. «Se un’azienda ci mette anche tanto a concludere il procedimento, evidentemente non può avere successo sui competitor».

Diventare attrattivi: oltre lo stipendio

La slide sui fattori di retention ha riservato una sorpresa: sebbene lo stipendio resti la prima voce che influenza la soddisfazione dei dipendenti, la somma degli altri sette fattori identificati – opportunità di training, cultura aziendale, benefit, percorsi di crescita – supera ampiamente il peso della sola retribuzione.

«In una parola, la capacità di essere un’organizzazione dove, come diciamo in Italia, “si sta bene”, fa sì che poi la persona resti», ha osservato Longinotti.

Diventare attrattivi

Conclusioni: ripensare lo skills gap

L’intervento si è chiuso con una serie di raccomandazioni concrete per le organizzazioni che vogliono affrontare efficacemente la sfida delle competenze cyber:

  • Investire sulle conoscenze più che sul numero di assunzioni
  • Definire rigorosamente ruoli, task e responsabilità
  • Guardare oltre l’esperienza lavorativa nella selezione dei candidati
  • Creare job description realistiche
  • Prevedere percorsi di formazione strutturati già in fase di hiring

«Bisogna essere in grado di dire ai candidati: una volta in azienda le responsabilità saranno queste, accompagnate da un percorso di crescita chiaro nel corso di N anni», ha suggerito il responsabile SANS Italia. «Questo aiuterebbe sicuramente».

In conclusione

Il messaggio finale è chiaro: lo skills gap non è incolmabile, ma può essere affrontato attraverso un cambio di mentalità che trasformi la “carenza di talenti” in un’opportunità per costruire competenze internamente, con percorsi formativi strutturati e una collaborazione più stretta tra funzioni HR e cyber security.

Guarda il video completo dell’intervento “Cyber Security: perché le aziende vincenti non cercano più esperti sul mercato”, presentato da Manlio Longinotti, Responsabile Italia del SANS Institute, al Forum ICT Security 2025.

 

Profilo Autore

Manlio Longinotti è il responsabile SANS Institute per l’Italia. Supporta le organizzazioni pubbliche e private Italiane con progetti di formazione e certificazione di esperti in cyber security, con l’obiettivo di acquisire competenze e conoscenze tecniche sia di base che avanzate, migliorare la postura di sicurezza e la compliance. In precedenza, ha lavorato a progetti di sviluppo e integrazione software in primarie aziende di consulenza IT.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi