Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il prodotto, ma il fatto che sia senza olio di palma.

Photo by Hafiz Bastan

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il prodotto, ma il fatto che sia senza olio di palma.

Ora, non importa quanti pesticidi mettano su frutta o verdura, o se gli animali da macello vengano alimentati con scarti, l’importante è che non ci sia l’olio di palma.

A discapito di qualche studio (1, 2), che lo ha assolto dagli effetti dannosi contro la salute umana, come se fosse salubre impestare l’aria che respiriamo di PM10, il nemico comune dell’industria alimentare è… l’olio di palma.

Adesso pensiamo alle cose di casa nostra. Ormai anche il Governo Italiano muove i primi passi nel campo della cybersecurity, che per decenni è stata sicurezza informatica senza che se la considerasse nessuno e che qualche amante del lessico forbito vorrebbe battezzare sicurezza cibernetica.

In questo campo, il nemico è lo skill shortage. Cos’è lo skill shortage? In parole povere, la stampa(3, 4) dice: “ehi, Italia, molto bene che anche tu pensi ai temi della cybersecurity, ma in casa tu non hai talenti. Perché non ne formiamo un po’?”. Ed iniziano a spuntare corsi di formazione e accelleratori per startup. Ovvero, bella la cybersecurity, aspetta che ci voglio fare qualche soldo the old fashioned way, formando su cose che non conosco e finanziando progetti con noccioline in modo che io abbia subito un ritorno ma che il team… bhé si arrangi.

Abbiamo detto che c’è questo skill shortage corretto? Bene. Io dico che è una stronzata. In Italia non mancano gli skill, in Italia gli skill di cybersecurity, non sono valorizzati.

Non mi credete? Andate su LinkedIN, Monster e cercate opportunità di lavoro in campo cybersec in Italia. Potete usare cyber, cybersecurity, owasp, pentest come parole chiave, io di solito mi diverto con queste. Ora andate a cercare all’estero, non serve andare molto lontano, basta la Svizzera o la Germania se non vogliamo andare in Israele o negli States.

Spesso c’è un’indicazione del salario ed il delta con l’Italia è importante, certo il costo della vita incide anche se a tassazione sulla busta paga noi siamo il peggio. Quello che fa pensare è la numerosità delle opportunità aperte nel settore privato. Sono rapporti importanti, quasi ti fanno chiedere se nelle aziende italiane qualcuno faccia cybersec sul serio.

Parlare di skill shortage quando a mancare è la domanda, è pura demenza. Se io sono un neo laureato, e magari sono bravo o nell’offensive o nella defensive security, e l’offerta migliore mi viene da qualche società di consulenza italiana rispetto a qualche telco o banca o vendor di tool di security all’estero, secondo voi dove sceglierà d’andare?

Il mercato italiano è ancora ancorato all’outsourcing del settore tecnico. Gli sviluppatori? Li prendo dalla società di consulenza X, se non mi piace lo cambio e lo pago di meno. Il pentester? Tanto ne faccio uno all’anno se va bene, lo prendo alla bisogna dalla società Y.

Con dei ragionamenti del genere, come facciamo a:

  • trattenere i nostri talenti?
  • formare dei competence centre all’interno delle aziende?

In ogni talk con un livello banfa maggiore di 4 (su scala 1..10), si ripete come un mantra: la sicurezza non è uno strumento ma un processo. Ed è sacrosanto. Ma se la sicurezza è un processo aziendale, come posso pensare di esternalizzarla in toto? Dovrò per forza strutturarmi al mio interno con qualcuno di competente che costruisca e mantenga il processo nel tempo, che abbia la governance tecnica e che, al limite, si fa dare una mano da risorse esterne (si perché deve far proprio schifo assumere persone in campo IT… sic).

Più che di skill shortage, direi che manca la formazione ai security manager. Non c’è solo ITIL, non c’è solo BYOD, non c’è solo il firewall da comprare ogni 5 anni. C’è il processo di cybersecurity, c’è un ciclo di vita del software da mettere in sicurezza, c’è tutta la parte di awareness interna da creare e mantenere, c’è lavoro per generazioni.

Quello che manca non sono gli skill, quello che manca è la vision da chi è nella stanza dei bottoni.

Enjoy it!

comments powered by Disqus