Azeem Azhar scriveva nel suo libro “Exponential” che alcune tecnologie più di altre influiscono sullo sviluppo della società, trasformandone l’infrastruttura. Se da un lato la digitalizzazione dei processi aziendali aveva già imposto l’apprendimento di nuove skill essenziali per lo svolgimento delle attività di base aziendali, i recenti trend evolutivi in ambito cyber e il progressivo abbassamento dei costi di generazione di attacchi, fanno emergere la necessità di un incremento della workforce in quest’ambito.
Lo skill shortage è un fenomeno strettamente connesso a tali dinamiche e riflette l’incapacità del mercato di soddisfare gli attuali bisogni di risorse delle strutture di cyber security aziendali.
In questa prospettiva, il reskilling, ovvero il training di risorse aziendali funzionale alla loro riallocazione all’interno di altre strutture interne, può essere uno strumento utile a mitigare gli effetti dello skill shortage.
Attraverso lo studio dei modelli e delle best practice del reskilling cyber, delineati da NIST e da ENISA, e attraverso l’analisi di case study innovativi e programmi di formazione all’avanguardia, è possibile identificare un modello strategico e una metodologia di reskilling cyber funzionale a massimizzare il valore dell’iniziativa all’interno degli ecosistemi aziendali.
Formazione in cyber security: le buone prassi per sviluppare cultura della sicurezza
Il reskilling cyber: un trend strutturale di sviluppo delle competenze
Il fenomeno del reskilling cyber rappresenta una tendenza strutturale fondamentale collegata all’evoluzione tecnologica del contesto esterno e alla relativa applicazione rispetto ai processi aziendali. L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) stima che nel prossimo decennio circa 1,1 miliardi di individui dovranno affrontare una trasformazione radicale delle loro competenze professionali, spinti da fattori come l’avanzamento dell’Intelligenza Artificiale e l’adozione di tecnologie sostenibili.
Come costruire l'ufficio tecnologico del futuro senza investimento iniziale
Ad esempio, si assisterà all’evoluzione e alla diminuzione delle seguenti competenze:
In Crescita | In Declino |
---|---|
Pensiero analitico e innovazione | Destrezza manuale, resistenza e precisione |
Apprendimento attivo e strategie di apprendimento | Memoria, abilità verbali, uditive e spaziali |
Creatività, originalità e iniziativa | Gestione delle risorse finanziarie e materiali |
Design e programmazione tecnologica | Installazione e manutenzione tecnologica |
Pensiero critico e analisi | Lettura, scrittura, matematica e ascolto attivo |
Risoluzione di problemi complessi | Gestione del personale |
Leadership e social influence | Controllo qualità e consapevolezza della sicurezza |
Intelligenza emotiva | Coordinamento e gestione delle tempistiche |
Ragionamento e problem solving | Abilità visive e uditive |
Analisi e valutazione dell’ecosistema | Utilizzo, monitoraggio e controllo della tecnologia |
Questa transizione comporterà l’evoluzione di nuove competenze, e in alcuni casi la riduzione di quelle tradizionali, imponendo lo sviluppo di una strategia che sia in grado di integrare nuove capacità all’interno degli ecosistemi aziendali. Per ancorare efficacemente questa trasformazione delle competenze al business aziendale, è essenziale definire dei pilastri strategici, sia a livello generale che a livello di singole Business Unit.
Tra questi, è possibile includere:
- Proiezioni di crescita aziendale. Sviluppo dei piani di crescita per le risorse umane correlati a competenze specifiche. Ad esempio, ogni Business Unit potrebbe creare proiezioni di crescita triennali per le prime cinque competenze digitali, identificate come nuove service offering e sviluppare piani di gestione delle risorse per rispondere alle proiezioni di crescita per ciascuna service offering.
- Competenze to-be. Identificazione delle esigenze a lungo e breve termine del core-business aziendale, considerando sia fattori esterni, come tendenze di mercato e benchmarking, sia una valutazione interna basata su una prioritizzazione dei processi rispetto ai servizi critici.
- Identificazione delle attività interne. Definizione di processi, iniziative di sviluppo e compiti funzionali all’allocazione delle incluse nei programmi di reskilling, consentendo la massimizzazione del valore generato dall’investimento aziendale nei programmi.
Per implementare queste direttrici con efficacia, risulta necessario sviluppare un approccio integrato che coniughi una visione top-down, focalizzata sugli obiettivi aziendali in termini di dimensionamento della forza lavoro e outsourcing di alcune attività di cyber security, con un approccio bottom-up che permetta alle singole unità di business di inserire le loro attività in uno schema comune.
A tale proposito, si riporta di seguito un’analisi dettagliata degli spunti forniti dal NIST in materia di reskilling cyber.
Framework NICE del NIST: un approccio innovativo al reskilling cyber
Il framework NICE del NIST, conosciuto anche come Workforce Framework for Cyber security, rappresenta una fonte di valore per informare il processo di sviluppo di programmi di reskilling efficaci nel settore della cyber security.
La pubblicazione di riferimento 800-181 sintetizza un approccio innovativo, focalizzato sull’interconnessione di attività, conoscenze e competenze, elementi cruciali per ogni Business Unit nell’era digitale.
Il framework NICE si articola in una serie di blocchi costruttivi distinti, che descrivono il lavoro da svolgere (Task) e le risorse necessarie per l’esecuzione (Knowledge e Skills), fungendo da guide flessibili.
Nel dettaglio, come anticipato, il framework si compone dei seguenti elementi:
- Task. Rappresentano le attività da completare, ovvero le azioni dirette verso il raggiungimento degli obiettivi strategici aziendali.
- Knowledge. Correlato al blocco Task, implica che solo attraverso la comprensione dei concetti chiave l’apprendista sarà in grado di completare i Compiti. La conoscenza può variare da tematiche generali, come le minacce e le vulnerabilità cyber, a tematiche specifiche come le fonti di informazione sulle vulnerabilità.
- Skills. Descrivono le capacità pratiche dell’apprendista in relazione ai Compiti. Le Competenze necessarie possono variare da azioni semplici, come il riconoscimento degli alert di un SIEM, a compiti più complessi come l’analisi delle tattiche, delle tecniche e delle procedure (TTPs) di un threat actor.
In primo luogo, il framework suggerisce un approccio bottom-up, definendo le Task e il Knowledge e Skills necessari alla loro implementazione. Successivamente, delinea un approccio top-down per definire una serie di expertise denominate “competency”, e necessarie per ricoprire posizioni specifiche all’interno di una funzione aziendale. Queste “competency” forniscono un meccanismo di valutazione basato sull’approccio dell’employer, consentendo di identificare le esigenze specifiche dell’azienda e del settore di business.
Le “competency” sono un driver funzionale al supporto strategico del programma di reskilling sviluppato, in quanto consentono di identificare la descrizione precisa dei requisiti per ogni posizione all’interno delle funzioni aziendali e di monitorare le capacità della forza lavoro cyber in relazione al contesto di minaccia.
Di conseguenza, la capacità di sviluppare nuove “competency” diventa un fattore chiave funzionale ad orientare la performance dei programmi di reskilling sviluppati e permette alle organizzazioni di adattarsi in modo efficiente alla continua evoluzione dell’ecosistema cyber.
In sintesi, il framework NICE propone un modello di razionalizzazione dei ruoli e delle responsabilità nell’ambito delle funzioni di cyber security e, disponendo della flessibilità necessaria all’adattamento rispetto al contesto cyber, può essere utilizzato come infrastruttura iniziale utile alla definizione di un programma di reskilling aziendale.
Di seguito, sulla base degli spunti forniti da ENISA, può essere ipotizzata un integrazione dei profili cyber identificati dal European Cyber security Skill Framework all’interno del framework NICE.
L’approccio di ENISA: i profili cyber di riferimento
L’ENISA ha sviluppato l’European Cyber security Skill Framework, identificando una serie di profili cyber associati ad una documentazione di riferimento solitamente sviluppata nell’ambito delle attività previste dalla funzione ricoperta in azienda.
Profilo | Deliverable | Descrizione |
---|---|---|
Chief Information Security Officer (CISO) | Strategia di Cyber security | Piano di definizione e miglioramento della sicurezza e della resilienza delle infrastrutture e dei servizi. |
Politica di Cyber security | Linee guida a supporto della cyber security dell’organizzazione. | |
Cyber Incident Responder | Piano di Risposta agli Incidenti | Procedure per la risposta agli incidenti cyber. |
Report sugli Incidenti Cyber | Dettagli inerenti agli incidenti cyber. | |
Cyber Legal, Policy & Compliance Officer | Manuale di Conformità | Guida completa agli obblighi di conformità normativa dell’organizzazione. |
Report di Conformità | Stato attuale della posizione di conformità normativa dell’organizzazione. | |
Cyber Threat Intelligence Specialist | Manuale di Cyber Threat Intelligence | Strumenti e metodologie per la raccolta e condivisione di intelligence sulle minacce cyber. |
Report sulle Minacce Cyber | Identificazione delle principali minacce per il contesto aziendale. | |
Cyber security Architect | Diagramma dell’Architettura di Cyber security | Overview dell’architettura hardware e software di cyber security. |
Report sui Requisiti di Cyber security | Requisiti per garantire la sicurezza informatica dei sistemi | |
Cyber security Auditor | Piano di Audit di Cyber security | Strategia e procedure per condurre gli audit di cyber security. |
Audit di Cyber security | Analisi dello stato di sicurezza dei sistemi e procesi in scope. | |
Cyber security Educator | Programma di Awareness di Cyber security | Attività per aumentare la consapevolezza su questioni cyber di interesse |
Materiale di Formazione sulla Cyber security | Spiegazione di concetti, metodologie e strumenti relativi alla cyber security. | |
Cyber security Implementer | Soluzioni di Cyber security | Prodotti e servizi per proteggere l’organizzazione contro gli attacchi cyber. |
Cyber security Researcher | Pubblicazione in Cyber security | R&D su tematiche cyber rilevanti per l’azienda |
Cyber security Risk Manager | Report di Valutazione dei Rischi di Cyber security | Identificazione, analisi e valutazione dei rischi di cyber security. |
Piano di Azione per la Mitigazione dei Rischi di Cyber security | Pianificazione delle attività di prevenzione, mitigazione e dei work-around rispetto ai rischi identificati | |
Digital Forensics Investigator | Risultati dell’Analisi Forense Digitale | Analisi dell’evidence digitale per definire lo sviluppo di incidenti e TTPs dei Threat Actor |
Digital Evidence | Prove derivate dai dati contenuti o prodotti dai dispositivi in perimetro | |
Penetration Tester | Report dei Risultati della Valutazione delle Vulnerabilità | Valutazione della criticità delle vulnerabilità identificate |
Report di Penetration Testing | Analisi dettagliata delle vulnerabilità identificate durante i test e dei relativi exploit |
I deliverable rappresentano un oggetto documentale collegato alle task che secondo il modello NIST i vari worker delle funzioni di cyber security devono svolgere.
Di conseguenza, questi potrebbero fornire un punto di partenza di interesse per identificare le competency riportate dal NIST. In questa prospettiva si andrebbe a definire un approccio ibrido per la costituzione di una strategia di reskilling funzionale a tenere conto sia del modello di razionalizzazione del NIST, sia delle evidenze specifiche fornite da ENISA.
Case study e strategie di implementazione per programmi di reskilling cyber
Osservando alcuni case study significativi è possibile comprendere come il reskilling nel campo della cyber security sia stato implementato in vari contesti e, sulla base di alcune lesson learnt, identificare quindi i fattori rilevanti per la riuscita di una strategia di reskilling aziendale.
- Federal Reskilling Cyber security Program (USA). Questo programma si propone di fornire al personale IT di funzioni pubbliche federali le competenze cyber necessarie per posizioni vacanti. In tre mesi, i partecipanti selezionati possono ottenere certificazioni settoriali, enfatizzando l’importanza di una chiara definizione e comunicazione dei percorsi di carriera e delle relative scale retributive.
- L’Unione europea e la Cyber security Skills Academy. Questo progetto si concentra sull’aggiornamento professionale e il reskilling dei funzionari pubblici per garantire un elevato livello di sicurezza informatica nell’amministrazione pubblica digitale, enfatizzando un approccio interdisciplinare.
- Programma di riconversione alla cyber security di BT (UK). In collaborazione con CAPSLOCK, BT ha lanciato un programma di 16 settimane per riqualificare i propri dipendenti in ruoli di cyber security, un’area in rapida espansione per l’azienda.
- Programma del SANS Institute per i veterani dell’Australian Defence Force. Inserito nell’Australian Veteran Cyber Academy, questo programma di 16 settimane mira a promuovere l’inserimento dei veterani in carriere IT civili, sottolineando l’importanza di programmi specifici per gruppi target.
- Generation Singapore con Microsoft. Forma lavoratori in middle role per ruoli in ambito Cloud, SecOps e Development in circa tre mesi, evidenziando il valore dell’esperienza lavorativa pregressa e del mentoring nello sviluppo di competenze specifiche.
- Programma di riconversione cyber del SANS Institute (Bahrain). Questo programma di 8 settimane, in collaborazione con il Bahrain Tamkeen e varie aziende, mira a formare e riconvertire le risorse per ottenere le certificazioni GSEC e GCIH, evidenziando l’importanza dell’integrazione tra iniziative pubbliche e necessità aziendali.
Dai case study emerge che il reskilling di risorse verso funzioni di cyber security è una tematica di rilevo sia in ambito pubblico che privato. In particolare, la lunghezza dei programmi sviluppati varia tendenzialmente dai 2 ai 4 mesi di full-immersion, ponendo degli interrogativi rilevanti rispetto a come eventualmente mitigare l’impatto di un programma di reskilling rispetto all’operatività aziendale. In ultima istanza, le certificazioni rilevanti nel settore cyber risultano un elemento fondamentale e un punto di arrivo per la qualificazione dei professionisti coinvolti.
Sulla base di queste osservazioni e di quanto rilevato attraverso il framework NICE e del ECSF, può essere delineata un’ipotesi di implementazione di un programma di reskilling cyber aziendale.
Suggerimenti per lo sviluppo di un programma di cyber reskilling aziendale
Le fasi ipotizzate per lo sviluppo di un programma di reskilling efficace, basate sulle osservazioni del NIST, ENISA e sui case study, includono:
- Assessment: in questa fase viene definita l’architettura delle competency in linea rispetto agli obiettivi definiti nel piano industriale. Quindi, vengono definite le relative task i building block di knowledge e skills. Successivamente, viene associata la documentazione di riferimento ad ogni competency, identificata come deliverable nell’ECSF. Infine, può essere assegnato un grado di prioritizzazione rispetto all’acquisizione di risorse nell’ambito delle varie competency identificate. L’output di questa fase consisterà in un’infrastruttura di competenze, ruoli e responsabilità per supportare l’azienda nella protezione del core business da un punto di vista cyber.
- Selection: attraverso una valutazione preliminare delle strutture che sulla bse dell’evoluzione del business potranno beneficiare di una politica di outsourcing e/o automation oppure saranno oggetto di downsizing, potrà essere effettuata un’identificazione funzionale delle risorse da coinvolgere eventualmente all’interno del programma di reskilling. Succesivamente, come anche implementato nei programmi SANS riportati nei case study, potrà essere effettuata una valutazione delle conoscenze e competenze delle risorse per garantire un’allocazione efficace rispetto alle competency. L’output di questa fase rappresenterà una mappatura del resource pool aziendale da coinvolgere nel programma di reskilling e fornirà i riferimenti principali rispetto a quale knowledge e skill integrare nel training.
- Training: Sulla base dell’osserazione dei case study le tempistiche identificate per definire la durata del programma di reskilling sono comprese nel range di 8-16 settimane. Tuttavia, nella maggior parte dei casi osservati i programmi tendevano ad una formazione intensiva e quotidiano, che combinasse teoria e pratica, per preparare le risorse allo svolgimento delle attività richieste dalla funzione di allocazione e all’ottenimento delle certificazioni di settore rilevanti. Questo è un elemento fondamentale nel considerare l’impatto sul business a breve termine dei programmi di reskilling e che dovrebbe essere in ogni caso allineato con gli obiettivi strategici del piano industriale già riportati nella fase di Assessment.
- Deployment: Allocazione della workforce coinvolta nel reskilling sulle funzioni identificate nella fase di Assessment, ed eventualmente attivazione di iniziative di mentorship e training on the job per supportate le fasi iniziali di approccio alle nuove task di modo da favorire la proattività e il self-development rispetto alle competency di valore per l’ecosistema cyber aziendale.
I programmi di reskilling e la collaborazione di stakeholder chiave
L’analisi delle best practice fornite dal NIST e da ENISA nell’ambito del cyber security reskilling evidenzia la presenza di una dimensione strategica di pianificazione accurata e di mappatura dei processi inerenti alle funzioni cyber aziendali per garantire l’efficacia dei programmi.
Un punto di attenzione, intrinseco rispetto al contesto specifico delle organizzazioni, riguarda le azioni funzionali a mantenere l’operatività del business rispetto all’implementazione di programmi intensivi di reskilling.
Sulla base di queste osservazioni emerge la necessità di un coinvolgimento di funzioni aziendali atte alla gestione dei programmi di formazioni, funzioni strategiche e di indirizzo e funzioni di cyber security.
La sinergia di tali funzioni rispetto ai programmi di reskilling garantirebbe una mappatura adeguata dei need, una costruzione congruente dei programmi di formazione e un allineamento di valore rispetto agli obiettivi strategici definiti dal Piano Industriale.
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Work performance management
@RIPRODUZIONE RISERVATA