La formazione in cybersecurity viene oggi considerata un obiettivo nazionale negli Stati Uniti e in vari altri paesi, con implicazioni per la difesa nazionale e la sicurezza interna. A titolo di esempio, il National Center of Academic Excellence in Information Assurance/Cyber Defense statunitense svolge un ruolo governativo fondamentale nello sviluppo di standard per l'educazione alla sicurezza informatica e accompagna la definizione e la notevole crescita di corsi di cybersecurity in università, college e altre istituzioni.

La formazione in cybersecurity ha l’obiettivo di colmare, o almeno ridurre, la carenza di forza lavoro a livello planetario. Al fine di stimare il numero di posti di lavoro legati alla cybersecurity disponibili nei prossimi 5 anni, una compagnia statunitense specializzata ha analizzato, nel 2018, i dati sull'occupazione provenienti da media, analisti, fornitori, governi e organizzazioni a livello globale; da questi dati è emerso che ci saranno 3,5 milioni di posizioni di cybersecurity non occupate entro il 2021. Una simile analisi di un’altra azienda, nel 2016, aveva previsto uno “skill shortage” di 2 milioni per il 2019.

Anche l’Italia soffre di questo skill shortage, che da noi è accentuato dalla presenza di pochi professori esperti della materia e dal fatto che spesso i nostri studenti trovano impiego oltre confine a condizioni molto migliori di quelle che vengono loro offerte in Italia.

Le figure professionali che servono sono molteplici e vanno dal laureato triennale con specifiche competenze di cybersecurity al dottore di ricerca che garantisce visione, anticipa i cambiamenti e contribuisce alla formazione di nuovi esperti. Occorrerebbe mettere a punto un piano specifico per definire, in modo coordinato con la parte pubblica, le aziende private e le università, le figure professionali formate tramite master, corsi di laurea, e corsi di dottorato, che servono al nostro paese per affrontare i problemi della cybersecurity. Partendo da questo piano, le singole università potranno:

• ripensare i curricula dei corsi di base in informatica o ingegneria informatica, introducendo la dimensione della sicurezza fin dall’inizio del percorso di studi;
• attivare nuovi insegnamenti universitari su tematiche di cybersecurity da inserire nei curricula esistenti;
• attivare specifici corsi di laurea, soprattutto magistrali, per fornire le competenze e le metodologie atte a garantire una visione di sistema e necessarie per presidiare contesti eterogenei e in continuo cambiamento, tenendo conto di tutti i livelli di rischio;
• attivare corsi di dottorato per formare esperti e ricercatori in grado di capire gli sviluppi della ricerca nel settore della cybersecurity a livello internazionale, prevedere dinamiche di attacco e creare nuovi strumenti di difesa passiva e attiva;
• attivare master che puntino a formare esperti immediatamente operativi, avendo come target non solo neo-laureati, ma anche personale già in organico negli enti e nelle aziende, da sensibilizzare e riqualificare sulle tematiche di cybersecurity.

La definizione di questi nuovi programmi deve però tenere conto del basso numero di studenti che attualmente scelgono discipline scientifiche e tecnologiche e deve perciò essere accompagnata da campagne di informazione e di sensibilizzazione. Tali campagne dovranno essere finalizzate ad attrarre un numero maggiore di giovani, puntando a intercettarli quando non hanno ancora deciso una direzione definita su cui investire le proprie capacità, presentando loro le possibilità di carriera e gli aspetti stimolanti delle attività in cybersecurity. Questo dovrà essere perseguito attraverso il coinvolgimento degli studenti delle scuole superiori e la promozione della partecipazione femminile, sfatando il principio per cui la cybersecurity è un dominio per soli uomini. Particolarmente significativa, al riguardo, la “best practice” rappresentata, in Italia, dal progetto CyberChallenge.IT , mirata alla scoperta e alla valorizzazione dei giovani talenti in ambito cyber.

Va però detto che, al momento, il numero dei docenti e ricercatori di cybersecurity è così basso e distribuito sul territorio nazionale che le università e gli enti di ricerca hanno serie difficoltà ad attivare, in autonomia, programmi di ricerca o di didattica. Inoltre, a livello universitario, il rispetto del soddisfacimento dei requisiti minimi in termini di personale docente imposto dalla normativa vigente fa sì che, in varie sedi, l’attivazione di nuovi corsi di laurea di cybersecurity o di dottorato implicherebbe la chiusura di alcuni dei corsi già esistenti e quindi incontra ovvie resistenze all’interno della governance degli atenei.

Per ovviare a questi problemi, il ministero dell’Istruzione, Università e Ricerca, seguendo l’esempio dei paesi più avanzati, dovrà definire un piano speciale che, partendo dall’attuale situazione di emergenza, preveda l’assegnazione di risorse specifiche, distribuite sul territorio nazionale, in termini di docenti, ricercatori, e finanziamenti di progetti di ricerca per lo sviluppo della formazione superiore e della ricerca in cybersecurity. Questo strumento è indispensabile sia per evitare che nostri ricercatori vadano in Paesi dove la loro professionalità viene meglio riconosciuta e remunerata, sia per incoraggiare il rientro o la venuta dall’estero di ricercatori altamente qualificati. Si auspica che, come avvenuto nel passato per altre aree, come la chimica negli anni Sessanta, venga avviato in Italia un piano straordinario per l’assunzione di ricercatori e professori universitari che si occupano di cybersecurity e, in generale, di trasformazione digitale in tutte le sue componenti: giuridiche, economiche e soprattutto tecnologiche. Solamente una significativa azione straordinaria può aumentare la velocità di creazione della forza lavoro necessaria per difendere il paese, le aziende, i cittadini da attacchi che diventano sempre più sofisticati e pericolosi.

Per riflettere e avanzare proposte relative alla formazione in cybersecurity, il Laboratorio Nazionale di Cybersecurity del CINI, il Consorzio Interuniversitario Nazionale di Informatica che raggruppa quasi 50 università statali, ha istituito un gruppo di lavoro sulla formazione in cybersecurity che punta a stimolare l’apertura di nuovi corsi di studio a livello di Master, di Lauree Magistrali e di Dottorato di Ricerca, favorendo lo scambio di informazioni tra le varie sedi universitarie su programmi didattici e tecnologie e il coordinamento e la pubblicizzazione delle attività formative in ambito cybersecurity.

Sul sito del laboratorio sono disponibili informazioni e link sulle diverse attività. Si sottolinea inoltre come negli ultimi due anni siano state attivate tre nuovi corsi di laurea magistrale in cybersecurity, aggiungendosi all’unico prima esistente, e come al momento siano allo studio nuove aperture. Per facilitare queste iniziative il laboratorio di Cybersecurity del CINI sta anche lavorando a una proposta di ridefinizione delle specifiche ministeriali per l’accesso a lauree di questo tipo, al fine di permettere l’accesso non solo a informatici o ingegneri informatici, ma anche ad altri ingegneri e a matematici, fisici, economisti e giuristi. La cybersecurity infatti oramai riguarda tantissimi settori della società e per difendere al meglio i sistemi servono competenze sempre più trasversali.

Investire nella formazione e nell’addestramento in cybersecurity fornisce, infine, una risposta unica a molteplici problemi del sistema Paese e si rende indispensabile nell’ambito della progressiva digitalizzazione promossa dal piano Impresa 4.0. Formare le nuove generazioni innescherà un processo virtuoso in cui la classe dirigente e i tecnici del futuro avranno le competenze, il bagaglio culturale e le capacità operative necessarie per confrontarsi con le sfide tecnologiche e scientifiche che cambieranno le nostre vite nei prossimi decenni, mettendo in atto le necessarie iniziative per adattarsi ai continui cambiamenti e ai rischi che ci aspettano in futuro.