Incident Response: dal Processo alle Procedure
3 Ottobre 2018
Content Delivery Network (CDN) e protezione DDoS
4 Ottobre 2018

Professionisti ICT e Sicurezza Informatica

Quando nel 2004 Furio Honsell, matematico informatico e stimato rettore dell’Università di Udine, presenziò al XV congresso nazionale dell’Aipnet (Associazione Informatici Professionisti) alla consegna delle prime certificazioni europee EUCIP, disse: “L’informatica è una scienza multidisciplinare e i futuri professionisti dovranno tenere ben conto di questa caratteristica”. E fu del tutto naturale che i primi ad essere certificati fossero proprio quei professionisti provenienti da discipline tecniche, scientifiche e in qualche caso anche umanistiche che si associavano alla multidisciplinarietà dell’informatica. Si cominciò quindi, con quell’evento, a certificare quei professionisti che in qualche modo possiamo, oggi, definire “Pionieri” dell’informatica italiana. EUCIP, infatti, è stata la prima certificazione europea per professionisti informatici che non fosse l’emanazione diretta di aziende specializzate del settore, ed il proprio syllabus, che si diversificava in varie specializzazioni, era la sintesi di quelle esperienze pioneristiche.

Tuttavia, per ben comprendere l’importanza di questa certificazione, occorre pensare a chi prima dell’istituzione dei corsi di studio superiori e corsi di laurea in informatica – i primi negli anni ’70 presso le facoltà di scienze matematiche – aveva costruito la sua professione con un curriculum di studi spesso affine alla propria istruzione, nel settore della scuola, università, ricerca e libera professione.

D’altronde prima che venissero istituzionalizzati i corsi di studio universitari, erano già state scritte milioni di linee di codice in quasi tutti i linguaggi e gli ambienti di sviluppo ad oggi conosciuti, ad esclusione dei linguaggi ADA, C++ e JAVA sviluppati negli anni ’80 e ‘90. E di pari passo, sempre prima degli anni ‘70, furono progettati e costruiti elaboratori sempre più sofisticati e potenti e le prime infrastrutture di rete come Arpanet (Advanced Research Projects Agency NETwork) che consentivano la comunicazione in rete di più elaboratori. EUCIP è dunque la certificazione europea emanata dal CEPIS (Council of European Professional Informatics Societies), organismo europeo senza fini di lucro che riunisce trentasei associazioni di informatica in rappresentanza di trentuno paesi europei.

L’Italia è rappresentata da AICA che tramite test center accreditati, come università e associazione informatiche, certifica, anche con certificazioni in versioni e-Competence Framework (e-CF), studenti e professionisti. Pur tuttavia, con l’evoluzione del settore ICT, la certificazione delle competenze dei professionisti informatici passa anche attraverso enti preposti: in Italia con l’Ente Italiano di Normazione (UNI).

Diplomi e certificazioni ICT nella UE e in Italia

Negli ultimi quarant’anni con l’evoluzione del settore ICT il numero delle specializzazioni nel settore informatico è aumentato a dismisura, e, in Italia, il numero dei corsi per diplomi e lauree di primo e secondo livello ha raggiunto un livello di diversificazione che continuerà a crescerà ancora per parecchi anni. Tendenza confermata anche nell’Unione Europea, e la mancata armonizzazione dei titoli di studio tra gli Stati dell’Unione rende difficile ogni comparazione e valorizzazione degli stessi. Altra situazione, invece, per le certificazioni ICT che nascono già armonizzate in ambito UE con norme ben precise: e-Competence Framework (e-CF UNI EN 16234:2016), che indica il posizionamento e il monitoraggio della professionalità; e la certificazione dei profili professionali secondo quanto stabilito dagli standard UNI 11506:2017 e UNI 11621-2:2016.

Infatti con l’algoritmo del framework definito nella UNI EN 16234-1 è possibile identificare, con buona approssimazione, le competenze dei singoli professionisti, classificandole in modo univoco. Con la normazione tecnica, definita a livello europeo e successivamente con normazione tecnica nazionale, sono stati individuati profili professionali di prima generazione, che hanno consentito l’individuazione dei 23 profili professionali ICT di seconda generazione. E, considerato che tali profili possono essere non idonei a coprire tutte le eventuali specializzazioni, sono stati previsti profili successivi di terza generazione.

Tuttavia l’uscita di nuovi standard professionali del settore ICT non è sfuggita ad AGID (Agenzia per l’Italia digitale) che nel corso dello scorso anno ha emanato un suo documento di riferimento per l’individuazione di competenze ICT: “Linee guida per la qualità delle competenze digitali nelle professionalità ICT”,  sfruttando la norma “UNI 11621”. AGID si aggiunge quindi alla schiera delle associazioni professionali e universitarie come AICA, UNINFO, AIP, CINI, Ordine degli Ingegneri e associazioni delle imprese ICT a supporto dei nuovi standard.

I professionisti della sicurezza informatica

Tempo fa, fui contattato da una nota azienda della grande distribuzione per una consulenza sulla sicurezza del loro sistema informativo, a tale scopo ho interrogato i responsabili della sicurezza interna che nella fattispecie erano l’amministratore di rete e il suo responsabile. Nell’ambito dei miei obblighi chiesi loro quali misure avessero adottato per proteggere il CED e la rete aziendale, la risposta fu: “Proteggiamo la rete con un ottimo Firewall hardware e le macchine sono dotate di un buon antivirus”. Misure che tra l’altro ritenevano sufficienti a proteggere il tutto. Nei giorni successivi ho proseguito la mia attività di analisi della rete e dei server aziendali che ha portato, in breve, alle seguenti conclusioni: molte stazioni di rete e server infettate da virus e server violati, causa impostazioni errate degli antivirus e Firewall; misure minime di sicurezza comportamentali non rispettate, con classico caso di dipendente, probabilmente in buona fede, con copia di backup dei dati della procedura di contabilità su chiavetta USB personale. In totale riscontrai ben 46 violazioni di cui due gravi. Tra l’altro il personale addetto alla sicurezza del sistema informativo aziendale era stato formato da società specializzate del settore che evidentemente non erano state all’altezza del loro incarico. Questo caso, tuttavia, insegna due cose fondamentali: la prima, che non è sufficiente acquistare e installare antivirus e firewall se non si è in grado di configurarli correttamente, poiché ciò è indice di scarsa professionalità; e la seconda, che i protocolli comportamentali nell’ambito della sicurezza vanno applicati con severità.

E’ chiaro quindi che i dati vanno protetti con regole e professionalità. Un GDPR da solo, se non applicato, è inutile. I dati rappresentano un valore da proteggere per garantirne attendibilità e disponibilità. D’altronde la diffusione delle reti di comunicazione aumenta le probabilità di diffusione di virus e attacchi, per cui occorre sviluppare le competenze dei professionisti per metterli in grado di adottare adeguate soluzioni che non sono solo tecnologiche, ma soprattutto organizzative e comportamentali.

A tale scopo L’European Competence Framework (eCF 3.0), nell’ambito delle norme UNI EN 16234-1, ha definito le competenze di due profili specifici per affrontare la sicurezza in ambito ICT: il Security Manager e il Security Specialist che possono ricoprire ruoli specifici nei diversi contesti per assicurare la migliore sicurezza possibile.

Le richieste del mercato del lavoro

La domanda di professionisti ICT è in costante aumento, ma il mercato non riesce a trovarli. Tuttavia la nenia delle aziende alla ricerca di professionisti ICT è sempre la stessa: “in Italia non si trovano professionisti ICT”. La stessa nenia, ovviamente, viene ribadita poi in occasione di molti convegni.

A febbraio 2018 si è tenuto a Torino, presso il CSI Piemonte, un seminario dal titolo: “Competenze Digitali 4.0 – Le Società in house per digitalizzare il Sistema Paese”. In tale occasione è stato presentato il rapporto dell’Osservatorio delle Competenze Digitali 2017, promosso da Assinter Italia insieme alle principali associazioni ICT quali Aica, Assinform, Assintel insieme all’Agenzia per l’Italia Digitale e al Ministero dell’Istruzione, dell’Università e della Ricerca. In questo Osservatorio delle Competenze Digitali 2017 mancavano, tuttavia, le principali società di professionisti ICT come l’Ordine degli ingegneri, l’Associazione Informatici Professionisti e altre associazioni minori. Chissà perché. Nel seminario poi si è parlato di requisiti delle professioni future e dei numeri del gap di professionisti ICT, delle caratteristiche dei percorsi di formazione dei laureati e di aggiornamento della forza lavoro. Ricordando che il tema è quello delle competenze digitali che possono e devono diventare un acceleratore per la crescita digitale del Paese.

Durante i lavori è emerso un dato su tutti: il divario fra quello cercato dalle aziende e la preparazione professionale di quanti sono in cerca di occupazione. Ogni anno in Italia la richiesta di professionisti ICT cresce mediamente del 26%, con picchi del 90% per le nuove professioni legate all’innovazione digitale come i Business Analyst e gli specialisti dei Big Data. C’è decisamente più richiesta nel Nord Ovest, in cui si concentra il 48% della domanda.

Il lavoro dunque c’è, ma molte posizioni che richiedono specializzazione in ICT restano scoperte. Per queste posizioni il mercato richiede il 62% di laureati e il 38% di diplomati, ma il nostro sistema formativo propone troppi diplomati e troppo pochi laureati in percorsi ICT.

Leggendo questi dati, su cui alcuni dubbi sono leciti, mi chiedo come mai molti nostri specialisti ICT, con laurea o senza, hanno preso la valigia e sono emigrati in altri paesi dell’area UE, e non solo. Sono forse poco sapienti per l’Italia? Oppure le aziende italiane cercano solo neo laureati con “esperienza” ventennale da pagare poco? Certo, sarebbe una contraddizione, è alquanto improbabile un neolaureato con esperienza ventennale. E sono certo che nel caso ce ne fosse uno lavorerebbe già oltralpe, se non altro perché sarebbe ben pagato. Allora il problema italiano è un altro, d’altronde si pagano poco anche laureati con vent’anni di esperienza.

In conclusione, il numero dei Certificati è in aumento, come anche il numero dei laureati del settore ICT e lauree affini. Tuttavia un ulteriore sforzo potrebbe riguardare quei specialisti ICT di lungo corso diplomati o laureati in lauree affini che potrebbero accedere a master universitari specialistici per un’ulteriore riqualificazione. Offerta, questa, molto diffusa nei paesi del nord Europa.

Bibliografia:

  • Agrillo, A., (2012), Professione ICT: Competenze e professionalità, Torino, MiT Press;
  • Cattaneo, A., Boldrini Laura, (2007), Le competenze ICT del formatore. Carocci;
  • Grange,S., (2002) Building a Digital World: ICT Skills for Health Care Professionals;
  • Don Passey, Arthur Tatnall (2014), Key Competencies in ICT and Informatics, Potsdam, Springer

Sitografia:

 

Articolo a cura di Agostino Agrillo

Agostino Agrillo

Computer scientist and Historian of Scienze

Agostino Agrillo: Computer scientist and Historian of Scienze. E’ consulente di Sistemi Informativi e Cyber-Security per la pubblica amministrazione, docente a contratto presso varie Università europee e divulgatore scientifico presso istituzioni culturali e scientifiche. E’ Presidente del Museum Instrumentorum calculi di Torino e membro di comitati tecnico scientifici di diverse istituzioni culturali. Dal 2014 è direttore scientifico del Mit MediaLab Research Torino. Inoltre presiede il premio “Fibonacci” che ogni anno viene assegnato al miglior informatico professionista. Ha pubblicato sei libri e oltre 40 pubblicazioni "peer-reviewed".

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy