Per James Hughes (in foto), Vice President, Systems Engineering & Enterprise CTO di Rubrik, quando si parla di cybersecurity, il gap di competenze è una storia infinita di cui sentiamo parlare continuamente.
Stiamo diventando fin troppo consapevoli del divario tra le competenze di cui abbiamo bisogno e le risorse disponibili. Le aziende non gareggiano tra loro solo sulle competenze, ma in alcuni casi anche con i gruppi criminali. Ma è un problema che abbiamo creato noi? Con le dozzine, se non centinaia, di strumenti di sicurezza in uso in azienda, ognuno dei quali con un team dedicato, è ovvio che non abbiamo abbastanza persone per occuparsi di tutto. Siamo diventati vittime degli stessi prodotti che pensiamo ci salveranno dal ransomware.
La verità è che ogni nuovo prodotto che acquistiamo divide ulteriormente le risorse. Dobbiamo cambiare mentalità, mettendo da parte team di sicurezza chiamati a gestire più prodotti con un’alta intensità di risorse per concentrarci sul dare ai team gli strumenti e il tempo di cui hanno bisogno per essere efficaci. In molti casi, i sistemi e gli strumenti vengono implementati senza sfruttarne tutte le capacità e quando se ne ha bisogno, sono già dimenticati da tempo e si acquista qualcosa di nuovo.
Disporre di più strumenti specifici può essere rassicurante, ma i backup continuano a rappresentare la difesa più importante contro il ransomware. I cattivi continueranno ad attaccare, quindi far crescere la forza lavoro della sicurezza è uno sforzo continuo.
Ma come facciamo a invogliare i giovani e i professionisti ad occuparsi di cybersecurity?
Cybersecurity: non è solo questione di capacità tecniche…
Il problema fondamentale di questa carenza è che ogni volta che formiamo le persone su prodotti specifici, piuttosto che su un framework di sicurezza esteso, non ricevono le competenze trasferibili di cui hanno bisogno per affrontare con successo nuove minacce informatiche. Questo in definitiva significa che anche i professionisti della sicurezza più esperti passano la maggior parte del loro tempo ad affrontare gli attacchi, invece di pianificare il futuro.
Ogni persona che si occupa di cybersecurity oggi ha cominciato quando la quantità di materiale informativo era decisamente inferiore. Attirare la persona giusta verso questo tema vuol dire accendere una fiamma che può diffondersi all’interno di un’organizzazione più velocemente di qualsiasi altra cosa. Quando si accende una passione, si dà vita a qualcosa di più profondo, e aiutare questi individui nella manifestazione del loro talento può solo portare benefici alla vostra organizzazione.
C’è bisogno di una nuova narrativa, perché la cybersecurity non è solo fatta di abilità tecniche, e ci sono molti ruoli che non richiedono un alto livello di questo tipo di competenze. Sono posizioni che rappresentano un ottimo trampolino di lancio per coloro che non dispongono del know-how tecnologico di base che ci si aspetterebbe da un “esperto di cybersecurity”.
Le organizzazioni amano i silos, ma cosa succede quando ci sono strategie più ampie che si sovrappongono a silos, tecnologie e risultati? Anche in questo caso, la chiave sono le persone. Mettere da parte le strutture tradizionali a favore di un approccio basato sui risultati non solo darebbe potere alle persone giuste, ma ridurrebbe anche le spese complessive. Costruendo una reputazione basata sul valore del personale, ci si allontana dallo status quo, fornendo strumenti necessari a una crescita che, a sua volta, attira nuovo personale. E questa è una vittoria per tutti.
Carenza di competenze? No. Le competenze ci sono già, dobbiamo solo utilizzarle in modo più efficace per avere successo.
Saranno le persone a salvarci, non i prodotti
Anche se non sarebbe certo il caso di rimuovere tutti gli strumenti di sicurezza, la raccomandazione è certo quella di non fare affidamento solo su di essi. Queste soluzioni sono in campo per proteggere i sistemi nel caso succedesse qualcosa. La risposta alla resilienza informatica non è una soluzione preventiva, ma una che agisce da linea di difesa quando accade il peggio. Dopo tutto, qual è il peggior effetto di un attacco? Il pagamento di un aggressore o l’interruzione delle operazioni? Probabilmente la seconda. Al centro della resilienza informatica ci sono le persone. Se riescono a concentrarsi sui pochi strumenti che realmente proteggono i dati, le aziende possono convogliare le energie sul dare ai team il tempo, la formazione e le risorse necessarie per il successo.
Una volta messa in atto a strategia, il gap di competenze non sembrerà più scoraggiante. Siamo così impegnati a concentrare le nostre energie sulla prevenzione che stiamo mettendo in difficoltà i team che hanno più bisogno di aiuto. Messi sotto pressione su più fronti, gli esperti snaturano il loro ruolo di competenza e, solo quando si deciderà che farli maturare è importante, saranno in grado di utilizzare le loro capacità al meglio.
Con la giusta mentalità supportata da soluzioni, leadership e persone adeguate, la resilienza può essere raggiunta, i dati protetti efficacemente e la domanda se pagare o no un riscatto è un qualcosa appartenente al passato.