Search here...

RIVISTA DI CULTURA INFORMATICA EDITA DA

RIVISTANUMERO 103

FORMAZIONE IN CYBERSICUREZZA: SFIDE E OPPORTUNITÁ

di: PAOLO ATZENI  e   BERNARDO PALAZZI

Sommario 

L’articolo affronta la carenza a livello nazionale ed europeo di professionisti qualificati in cybersicurezza sia da un punto di vista quantitativo che qualitativo, con particolare enfasi sulla necessità di attrarre più studenti e ridurre il divario di genere. 

I principali temi trattati nell’articolo includono la necessità di integrare conoscenze tecniche e organizzative in cybersicurezza, il ruolo delle certificazioni professionali e la formazione continua nel contesto lavorativo. Si sottolinea, inoltre, l’importanza di un approccio “cybersecurity by design” e la formazione mirata per diverse figure professionali. Viene discussa la distinzione tra formazione formale, non formale e informale, e vengono esplorati i contesti specifici dell’istruzione scolastica e universitaria, compresi i programmi di Master e i percorsi di dottorato. 

L’articolo si conclude evidenziando l’importanza di una collaborazione tra università, industria e settore pubblico per sviluppare un ecosistema di formazione in cybersicurezza per rispondere in modo efficace alle esigenze di un mercato del lavoro in rapida evoluzione. 

Abstract 

 This article addresses the Italian and European shortage of qualified cybersecurity professionals from a quantitative and qualitative perspective, emphasizing the need to attract more students and reduce the gender gap. 

Key themes discussed in the article include the necessity of integrating technical and organizational knowledge in cybersecurity, the role of professional certifications, and ongoing training in the work context. The article highlights the importance of a “cybersecurity by design” approach and of targeted training for different professional figures. It discusses the distinction between formal, non-formal, and informal education and explores specific contexts of school and university education, including Master’s programs and doctoral pathways. 

The article concludes by emphasizing the importance of collaboration between universities, industry, and the public sector to develop a cybersecurity training ecosystem to effectively meet the needs of a rapidly evolving job market. 

 Keywords 

 Cybersecurity, cyber-skills, academic programs, continuing education 

Introduzione 

Il tema della limitata disponibilità di risorse umane qualificate nel contesto della cybersicurezza è indiscutibile, come spesso succede nelle aree di recente costituzione e con rapida evoluzione. Una recentissima Comunicazione1 della Commissione Europea (al Parlamento e al Consiglio Europeo), che ha affrontato l’argomento, proponendo alcune iniziative di coordinamento, ha indicato (sulla base di fonti autorevoli2) una carenza di professionisti quantificata in diverse centinaia di migliaia, rispetto a una forza lavoro di circa un milione di unità, e ha anche ribadito un significativo divario di genere. Un rapporto di ENISA, l’agenzia europea per la cybersecurity,3 oltre a citare numeri diversi ma comunque grandi, sottolinea due facce del problema, l’una di natura quantitativa e l’altra qualitativa: da una parte una carenza di competenze (“skill shortage”), cioè la disponibilità di persone qualificate in numero significativamente inferiore rispetto alle esigenze del mercato del lavoro, e dall’altra un divario di competenze (“skill gap”), cioè la presenza di persone che, impiegate nel settore o apparentemente disponibili sul mercato, non hanno competenze adeguate alle effettive esigenze di posizioni ricoperte o da ricoprire. 

Per quanto riguarda l’Italia, non sono noti studi specifici relativi al settore della cybersicurezza, ma sono disponibili analisi che riguardano l’intero settore informatico, per il quale recenti documenti4 hanno rilevato la carenza di competenze della forza lavoro nel settore, sia dal punto di vista operativo (le cosiddette competenze digitali di base), sia dal punto di vista specialistico, confrontate con le significative richieste, non soddisfatte, da parte del mercato del lavoro. 

L’Agenzia per la Cybersicurezza Nazionale (ACN), nella Strategia Nazionale di Cybersicurezza,5 ha individuato la formazione e la promozione della cultura della

sicurezza cibernetica (insieme alla cooperazione internazionale) come fattore abilitante per il perseguimento degli obiettivi fondamentali di protezione degli asset strategici nazionali, di risposta alle minacce, agli incidenti e alle crisi cyber nazionali, e di sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività. L’esigenza fondamentale, correlata agli obiettivi di protezione, risposta e sviluppo, viene sintetizzata nel modo seguente: “stimolare la creazione di una solida forza lavoro nazionale, […] in possesso delle capacità e delle competenze necessarie per essere applicate a beneficio delle imprese e delle amministrazioni italiane, con riferimento alle tecnologie informatiche in generale e a quelle relative alla sicurezza cibernetica in particolare.” 

Dalle considerazioni precedenti emerge la necessità di promuovere il settore della cybersicurezza, per fare crescere le dimensioni della forza lavoro competente. Un recente documento del progetto REWIRE6 suggerisce una serie di azioni al riguardo: 

• attrarre potenziali studenti, promuovendo la cybersicurezza come possibile area lavorativa ed enfatizzando le relative opportunità; 

• operare per la riduzione del divario di genere, aumentando quindi l’insieme dei potenziali candidati; 

• fornire a tutti gli interessati informazioni affidabili e aggiornate; 

• far interagire fra loro le parti interessate: studenti, istituzioni formative, datori di lavoro pubblici e privati. 

La promozione delle attività richiede una comprensione degli obiettivi da perseguire, delle conoscenze e competenze che risultano necessarie e dei percorsi formativi che possono essere sviluppati. Questo articolo approfondisce le diverse problematiche della formazione nel settore della cybersicurezza, con un approccio che cerca di essere il più possibile articolato, perché è necessario fare riferimento a livelli diversi in termini di profondità e specificità delle tematiche e di contesti nei quali la formazione stessa si svolge, quali la scuola, l’università e il mondo del lavoro. 

Il resto di questo articolo è organizzato nel modo seguente. Nel paragrafo 2 viene sviluppata una riflessione su quali debbano essere i grandi temi rilevanti per la formazione in cybersicurezza, argomentando da una parte sulla compresenza di tematiche tecniche di natura soprattutto informatica e di tematiche organizzative e normative. Dall’altra sulla necessità di considerare gli aspetti trasversali che correlano la cybersicurezza con le varie aree professionali e applicative. Nel paragrafo 3 indichiamo, con una breve analisi, le fonti principali di riferimento per i contenuti dei percorsi di formazione. Nel paragrafo 4 discutiamo ad alto livello i differenti contesti di formazione: formale, non formale e informale. Poi nel paragrafo 5 illustriamo i percorsi formali, in ambito scolastico e universitario; nel paragrafo 6 discutiamo le problematiche relative ai percorsi che si svolgono nel contesto del mondo lavorativo, in fase di ingresso o in itinere. Infine, nel paragrafo 7 concludiamo le nostre riflessioni. 

Cybersicurezza, informatica e aspetti trasversali 

In questo paragrafo ragioniamo brevemente su quali siano le tematiche da prendere in considerazione ai fini di una discussione sulla formazione in cybersicurezza. In effetti, i confini delle aree di interesse non sono semplici da definire, per vari motivi. 

Prima di tutto, vale la pena ricordare che il campo stesso della cybersicurezza è in continua e rapida evoluzione, e quindi qualunque riflessione sui contenuti deve essere formulata con la consapevolezza che potrebbe essere in breve tempo sottoposta a revisione. 

Più in generale, è importante osservare che la cybersicurezza ha diverse anime. Da una parte essa presenta aspetti tecnologici, che sono strettamente correlati alle metodologie e alle tecnologie informatiche e, di conseguenza, non possono essere affrontati senza un’adeguata base di conoscenze e competenze appunto nel settore informatico. In effetti, la maggior parte delle tematiche tecnologiche di cybersicurezza possono essere considerate come parte dell’informatica, o comunque hanno l’informatica come prerequisito. Al tempo stesso, la cybersicurezza comprende aspetti di natura organizzativa, amministrativa o di conformità a norme e regolamenti o a politiche aziendali, che sono solo indirettamente legati a problematiche tecnologiche. Infatti, con l’aumentare della pervasività degli strumenti digitali e con il loro utilizzo anche in settori strettamente regolamentati, questi aspetti stanno diventando sempre più importanti. Le due anime, pur diverse come caratteristiche fondamentali, sono complementari e non separate: si può senz’altro dire che gli esperti tecnologici di cybersicurezza debbono comunque avere competenze normative e organizzative e, al tempo stesso, gli esperti di politiche della sicurezza possono non essere esperti dal punto di vista tecnologico, ma debbono certamente avere le competenze per poter interagire con gli esperti tecnologici. In altre parole, pur in presenza delle due anime sopra citate, ogni esperto di cybersicurezza deve avere competenze di ciascuno dei due tipi: non esiste un esperto puramente tecnologico né un esperto solo di politiche della sicurezza. 

La trasversalità e l’importanza dell’interazione fra specialisti con competenze diverse sono rilevanti anche da un altro punto di vista. I sistemi informatici vengono di solito realizzati per rispondere alle esigenze di specifici domini applicativi e quindi molto spesso è necessario che gli specialisti informatici interagiscano con quelli del dominio applicativo e siano in grado di comprenderne le esigenze, mentre gli specialisti del dominio applicativo (di solito i committenti dei sistemi) debbono essere in grado di comprendere i benefici che possono derivare dai sistemi informatici. Analogamente, la cybersicurezza è un’esigenza per tutte le organizzazioni, in ogni dominio applicativo, e anche qui si pone la necessità di interazione fra specialisti e non specialisti. In particolare, viene spesso enfatizzata la necessità di applicare un approccio denominato “cybersecurity by design” (cybersicurezza fin dalla fase di progettazione), che mira a considerare la sicurezza come requisito fondamentale fin dalla genesi di ogni sistema, piuttosto che come misura aggiuntiva. Questo concetto si basa sull’idea che prevenire le vulnerabilità e proteggere gli asset dell’organizzazione sin dall’inizio sia molto più efficace e meno costoso rispetto alla gestione dei problemi di sicurezza dopo che un sistema è stato già implementato. Quindi, la riflessione sulla formazione deve riguardare non solo lo stretto rapporto che esiste fra la cybersicurezza e le tecnologie di base, soprattutto informatiche, ma anche e soprattutto le modalità secondo cui la formazione in cybersicurezza si rivolge a soggetti che, con responsabilità di livello diverso, da quello operativo a quello dirigenziale, non hanno comunque le tecnologie come oggetto principale delle attività e competenze. E’ importante sottolineare che, a livello manageriale, la cybersicurezza va considerata un tema cruciale, perché si tratta di un aspetto che, pur potendo essere delegato nella pratica operativa, rimane sostanzialmente (e anche giuridicamente) nella responsabilità della dirigenza; si usa infatti spesso l’affermazione “la cybersicurezza non è delegabile.” Questo è anche dovuto all’introduzione di specifiche prescrizioni normative e regolamentari in molti contesti, sia pubblici sia privati. 

Vale la pena aggiungere poi che la trasversalità ha, sia nel contesto della cybersicurezza sia in quello più ampio delle tecnologie informatiche, un livello operativo, connesso ad attività di routine. Nel caso dell’informatica si parla spesso delle cosiddette “competenze digitali di base,” relative all’accesso a Internet, all’utilizzo di servizi digitali della pubblica amministrazione, oppure bancari o di commercio elettronico, o di posta elettronica o di strumenti di produttività individuale. Nel caso della cybersicurezza, questo livello fa riferimento alla consapevolezza (“awareness”) e all’uso sicuro delle tecnologie, per motivi lavorativi o personali. Infatti, il termine “cyber hygiene” sta diventando sempre più comune per indicare le misure basilari che ogni utente di sistemi digitali dovrebbe conoscere e seguire. La metafora con il mondo sanitario, semplificata dall’utilizzo del termine “igiene”, aiuta a comunicare che il mondo digitale presenta rischi che possono essere mitigati con semplici misure preventive, simili al lavaggio delle mani nel mondo reale. Un esempio è l’importanza di effettuare regolarmente gli aggiornamenti di sicurezza forniti dai produttori del software. 

Le correlazioni sopra citate, in particolare quella tecnica ma anche quella legata alle competenze operative, fanno sì che la promozione iniziale delle discipline, fra i giovani, soprattutto nella scuola in termini di orientamento, possa essere svolta in forma coordinata e parallela, coprendo entrambe, magari con una prevalenza dell’una o dell’altra a seconda dei casi. Nel prosieguo dell’articolo faremo solo qualche accenno alle problematiche relative alla consapevolezza, concentrandoci sugli aspetti specialistici e di governo. 

Concludiamo segnalando che le tematiche di cybersicurezza presentano specificità riconducibili a due dimensioni principali. Da una parte, vi sono quelle relative ai singoli paesi, in particolare per via delle normative e delle prassi. Dall’altra, la varietà dei settori applicativi interessati dalla cybersicurezza richiede attenzioni mirate ai vari casi, si pensi ad esempio al settore finanziario o a quello delle infrastrutture critiche. Per evidenti ragioni di spazio, nel prosieguo di questo articolo non entreremo nel dettaglio né riguardo agli aspetti locali né riguardo alle specificità dei domini applicativi. 

Conoscenze, competenze e contenuti di formazione: possibile quadro di riferimento 

L’analisi delle competenze e delle relative esigenze formative nell’ambito della cybersicurezza risulta particolarmente complessa poiché esistono numerosi ruoli e figure professionali nei diversi contesti lavorativi, che sono eterogenei tra di loro e rapidamente variabili nel tempo. 

Le aree di interesse per la cybersicurezza sono molteplici e trasversali a praticamente tutti i settori legati alla digitalizzazione. Da diversi anni sono in corso proposte e progetti di analisi e catalogazione delle aree da parte di varie organizzazioni a livello europeo e internazionale e numerosi progetti, che presentano punti di vista diversi, enfatizzando da una parte i contenuti e dall’altra gli obiettivi formativi e i conseguenti ruoli professionali. I criteri di classificazione e i confini delle aree stesse sono diversi nei vari contesti e in questo articolo non abbiamo l’ambizione né di fornire nuove definizioni né di adottarne una rispetto alle altre. Riteniamo però importante indicare e presentare brevemente alcune fonti. 

Il Cyber Security Body Of Knowledge (CyBOK) è un catalogo sviluppato dal National Cyber Security Center (NCSC) del Regno Unito, disponibile liberamente e considerato fra i più completi in ambito cybersicurezza. Copre una vasta gamma di argomenti, dalle fondamenta teoriche agli aspetti tecnici e normativi. Il CyBOK fornisce un quadro approfondito per la formazione e lo sviluppo di professionisti della sicurezza informatica. 

Le ACM/IEEE Cybersecurity Curricular Guidelines CSEC 2017 sono state sviluppate da un gruppo di lavoro congiunto della ACM (Association for Computing Machinery) e della IEEE (Institute of Electrical and Electronics Engineers) allo scopo di fornire un quadro per la progettazione di programmi di studio di corsi di livello post secondario e aiutano a definire le competenze essenziali che gli studenti dovrebbero acquisire per le professioni disponibili in questo settore. 

Il NIST National Initiative for Cybersecurity Education (NICE) Framework descrive le competenze, le conoscenze e le abilità necessarie per svolgere le diverse funzioni all’interno del settore della sicurezza informatica. È stato sviluppato dal National Institute of Standards and Technology (NIST) degli Stati Uniti ed è ampiamente utilizzato da organizzazioni pubbliche, private e accademiche. Esso prevede l’identificazione delle diverse figure professionali (work role) attraverso l’utilizzo di tre differenti parametri: il primo riguarda le conoscenze (knowledge), ovvero gli argomenti che devono essere noti; il secondo riguarda le capacità (skills), ovvero gli argomenti che devono essere padroneggiati per poter effettuare azioni pratiche; e il terzo riguarda le abilità (abilities), ovvero le azioni necessarie che devono essere implementate per la messa in sicurezza dell’organizzazione. I differenti ruoli professionali sono definiti come un’aggregazione di KSA (conoscenze, capacità e abilità), che sono parametri molto specifici e quindi numerosi. Questo approccio, sebbene comporti una notevole complessità di gestione, permette un’estrema flessibilità ed è utile per catturare l’eterogeneità dei lavori e delle funzionalità utilizzate dalle diverse organizzazioni per gestire la cybersicurezza. Inoltre, il NICE Framework aiuta a creare un linguaggio comune per la cybersecurity, che facilita la comunicazione tra le diverse parti interessate. 

ENISA, la già citata Agenzia europea, ha sviluppato lo European Cyber Security Framework (ECSF), un quadro di riferimento per le competenze in materia di sicurezza. Esso identifica e dettaglia 12 profili professionali, ritenuti rilevanti in ambito europeo. 

REWIRE, un progetto finanziato dal programma ERASMUS+ della Commissione Europea, mira a costruire (entro la conclusione prevista per il 2024) un quadro per il settore della sicurezza informatica e una strategia europea concreta per le competenze in materia di cybersicurezza. Il progetto riunisce una vasta gamma di stakeholder, tra cui aziende, università, enti pubblici e privati, per sviluppare raccomandazioni e soluzioni sostenibili. I risultati del progetto contribuiranno a colmare il divario di competenze tra le esigenze dell’industria e l’offerta formativa disponibile e a promuovere la cooperazione tra gli stakeholder interessati. 

In generale, la maggior parte delle fonti indicate ha redatto dei cataloghi che elencano in modo più o meno dettagliato gli argomenti chiave per la formazione in questo settore per facilitare l’individuazione delle competenze necessarie per le diverse attività lavorative. Tanto i cataloghi quanto i profili professionali e i percorsi di studio, ove descritti, sono diversi nelle varie proposte. Questo conferma la dinamicità del settore e fa presagire che possa manifestarsi in futuro lo sviluppo di nuove tematiche, come ad esempio quelle legate a prospettive etiche o ambientali. In ogni caso, ciascuna delle varie fonti, sia pure con bilanciamento diverso, tiene conto del fatto che la formazione in cybersicurezza deve comprendere sia aspetti tecnologici, sia aspetti organizzativi o di conformità regolamentare/normativa. 

La ricchezza delle tematiche e la dinamicità del settore suggeriscono la definizione di percorsi formativi diversi, con obiettivi specifici, ciascuno dei quali può essere efficace, purché progettato in modo coerente con gli obiettivi stessi, ma al tempo stesso flessibile e modificabile anche nel breve o medio termine. 

Contesti della formazione e articolazione dei percorsi 

Questo paragrafo discute brevemente come le conoscenze e competenze discusse nel paragrafo precedente possono essere acquisite. Si usa spesso al riguardo il termine “processo di apprendimento” e si sottolinea che l’apprendimento stesso può svolgersi secondo percorsi, modalità e tempi molto diversificati. Può essere utile, allo scopo, richiamare la terminologia utilizzata in vari documenti, ad esempio quelli dell’UNESCO7 o del Cedefop (Centro Europeo per lo sviluppo della Formazione Professionale),8 che distingue i contesti di apprendimento in tre categorie: formali, non formali e informali. 

Per il contesto formale e quello non formale si parla di solito di education, termine che possiamo tradurre in italiano con “istruzione e formazione,” perché ciascuna delle due parole descrive solo parzialmente una realtà che è in effetti molto articolata. Nel prosieguo utilizzeremo spesso i due termini in modo intercambiabile, preferendo “istruzione”, per fare riferimento soprattutto all’ambito scolastico e “formazione” per l’ambito professionale e lavorativo. Per l’ambito universitario, useremo indifferentemente i due termini, con l’aggiunta dell’aggettivo “superiore” o “universitaria.” 

L’istruzione formale è strutturata e attuata da istituzioni pubbliche o enti privati riconosciuti. I programmi di istruzione formale portano all’acquisizione di qualifiche pure riconosciute.9 Una componente molto significativa dell’istruzione formale è quella cosiddetta “iniziale”, che avviene in modo continuativo e di solito a tempo pieno, prima del primo ingresso nel mondo del lavoro. Fanno parte dell’istruzione formale anche le iniziative di formazione per gli adulti, a tempo pieno o parziale, permanenti o ricorrenti, nel caso in cui siano finalizzate al conseguimento di qualifiche riconosciute da autorità pubbliche. L’istruzione formale è di solito “istituzionalizzata”, cioè gestita da organizzazioni (come le scuole, le università e altri istituti di formazione) che offrono in modo strutturato un’interazione fra docenti e discenti (e anche fra i discenti). Secondo le definizioni, in particolare dell’UNESCO, la formazione svolta nel mondo del lavoro viene considerata istruzione formale se porta a qualifiche riconosciute, come nei casi precedenti. 

L’istruzione non formale, come quella formale, è anch’essa strutturata, organizzata e “intenzionale” (cioè pianificata con obiettivi formativi da un soggetto gestore e responsabile). La differenza principale rispetto all’istruzione formale è nel fatto che ad essa non sono associate qualifiche formalmente riconosciute. L’istruzione non formale è quindi da considerare complementare a quella formale e può essere particolarmente efficace in un contesto di formazione permanente, anche con percorsi brevi e diluiti nel tempo. Al tempo stesso, è possibile che percorsi non formali contribuiscano, a seguito di opportune valutazioni, all’ottenimento di qualifiche formali. Molto spesso, l’istruzione non formale viene svolta nel mondo lavorativo, per iniziativa del lavoratore o del datore di lavoro, oppure nell’ambito di iniziative a contrasto della disoccupazione, spesso con il supporto di soggetti pubblici. 

Citiamo anche il terzo ambito di apprendimento, quello informale, anche se poi non lo approfondiremo ulteriormente nel prosieguo dell’articolo. L’apprendimento informale si realizza nello svolgimento delle attività quotidiane, nel contesto lavorativo, familiare e del tempo libero. Viene anche associato al termine “learning by doing” (“imparare facendo”, cioè con l’esperienza). Alcuni, ad esempio i documenti UNESCO, prevedono che l’apprendimento informale sia intenzionale, distinguendolo così da quello incidentale o casuale, che si realizza come risultato secondario di attività che non sono di per sé legate alla formazione. Spesso, però, anche queste attività vengono ricomprese nel contesto dell’apprendimento informale. 

In ogni caso, poiché l’apprendimento informale deriva da attività che non sono organizzate o strutturate, non approfondiamo ulteriormente l’argomento, pur segnalando che l’apprendimento delle conoscenze e competenze relative alla cybersicurezza può essere in parte acquisito anche con l’esperienza, che può quindi talvolta parzialmente sostituire la partecipazione a iniziative formali o non formali. 

A conclusione di questa sezione, prima di illustrare come le due sezioni successive approfondiscono rispettivamente l’istruzione formale e quella non formale, svolgiamo alcune riflessioni, relative alla cybersicurezza ma che valgono anche per altre aree. 

La formazione ha certamente componenti e percorsi diversificati. Ogni persona segue una propria formazione iniziale, che può arrivare senza soluzione di continuità temporale fino ad un alto livello accademico (laurea magistrale o dottorato) e, in casi, che possiamo definire estremi, ma molto diffusi, la continuità si presenta anche dal punto di vista delle tematiche, negli studi e per proseguire poi anche nel contesto lavorativo, con una professione strettamente correlata alla qualificazione ottenuta. Stesso discorso può valere per percorsi di formazione più brevi, dalla qualifica professionale alla laurea di primo livello, passando per il diploma di scuola secondaria superiore e quello ITS. In molti altri casi, oggi come in passato, il percorso è più articolato, perché la formazione prosegue dopo l’ingresso nel mondo del lavoro, e questo può avvenire con continuità oppure in tempi successivi, e può avvenire con istruzione formale oppure informale. Inoltre, i temi di questa ulteriore formazione possono essere più o meno correlati con quelli della formazione iniziale. 

Le osservazioni appena svolte sono valide con riferimento a molte aree accademiche, scientifiche e professionali, soprattutto per quelle giovani o in rapida evoluzione, come è il caso della cybersicurezza. In effetti, le richieste del mondo del lavoro nel settore qui trattato non sono facilmente soddisfatte dai percorsi di formazione iniziali, semplicemente perché tali percorsi sono tuttora in fase di assestamento e perché l’esigenza lavorativa non era così evidente quando coloro che completano gli studi in questo momento hanno effettuato le loro scelte. Inoltre, insieme agli specialisti effettivamente necessari in alcune situazioni, molti contesti lavorativi richiedono anche persone con buona formazione generale, a vari livelli, scolastico o universitario, in grado di affrontare argomenti nuovi, specifici, che possono richiedere competenze acquisibili attraverso percorsi mirati. Per queste ragioni, nel settore della cybersicurezza, oltre ai percorsi formali, troviamo molte iniziative non formali che possono servire a completare la formazione o che possono essere utilizzate con l’obiettivo di far entrare nel campo della cybersicurezza persone formate in altri settori. È anche importante ricordare che, nell’ottica di una formazione permanente e ricorrente, i vari percorsi, formali e non formali, possono essere svolti anche con significativa soluzione di continuità e anche in combinazione con apprendimento informale. 

Quindi, i prossimi due paragrafi sono dedicatI rispettivamente ai percorsi di apprendimento formale (e quindi ai contesti degli ITS e universitario, con un accenno alla formazione professionale formale) e non formale (soprattutto nel contesto lavorativo). I primi, come detto, si concretizzano prevalentemente come percorsi di formazione iniziale, mentre i secondi contribuiscono soprattutto alla formazione permanente e ricorrente. 

Formazione scolastica e universitaria 

Trattiamo in questo articolo soprattutto la formazione iniziale successiva al completamento della scuola secondaria superiore, ma premettiamo alcuni brevi spunti relativi a percorsi precedenti o più brevi. 

Con riferimento alla cybersicurezza, non ci sono percorsi specifici nell’ambito della scuola primaria e secondaria che approfondiscano l’argomento, però è importante sottolineare che ci sono iniziative che possono avvicinare i ragazzi quantomeno al tema della sicurezza come utente, all’uso corretto e rispettoso degli strumenti informatici e alla mitigazione del cybercrime e alla prevenzione del cyberbullismo. Queste iniziative non rientrano nelle tematiche di interesse di questo articolo, ma è importante citarle perché, vista la complessità del problema, anche queste azioni possono dare un contributo importante alla prevenzione dei rischi e alla riduzione delle conseguenze degli attacchi e possono contribuire ad avvicinare i giovani alle tematiche più specifiche. 

Altra iniziativa particolarmente rilevante nel mondo scolastico è quella delle competizioni di cybersicurezza, su cui non ci soffermiamo, perché sono approfondite in un altro articolo di questo numero della rivista.10 

Un argomento molto importante che qui possiamo però trattare solo brevemente, perché non centrale, è quello dell’informatica nella scuola. Accenniamo solo a due aspetti. Da una parte, esistono in Italia da diversi decenni percorsi di informatica negli istituti tecnici industriali e in quelli commerciali, nonché alcune sperimentazioni nei licei scientifici. Sono iniziative molto importanti, ma coprono comunque una frazione relativamente piccola degli studenti.11 

Sempre con riferimento alle scuole secondarie superiori, vi sono poi alcuni indirizzi che prevedono alcune ore di informatica, comunque molto poche, solitamente due, in una scuola, il liceo scientifico delle scienze applicate, che raccoglie una frazione pure limitata di studenti.12 Questi dati, pur schematici e forse parziali, segnalano che la diffusione dell’approfondimento dell’informatica nella scuola è ancora limitata e andrebbe certamente promossa e incrementata, sia per avvicinare i giovani a carriere nel settore informatico in generale e in quello della cybersicurezza in particolare, sia perché l’informatica oggi è pervasiva e, come detto nelle sezioni precedenti, è importante per tutti avere conoscenze di base, culturali e non solo strumentali. Al riguardo, è interessante segnalare che alcuni paesi, ad esempio il Regno Unito, hanno recentemente avviato iniziative in questa direzione.13

Nel resto di questo paragrafo discuteremo i percorsi di formazione di interesse per la cybersicurezza successivi alla scuola secondaria del secondo grado e tratteremo quindi degli ITS e dei vari percorsi universitari. 

Istituti Tecnologici Superiori (ITS Academy) 

Il sistema ITS costituisce il segmento di formazione terziaria non universitaria sviluppato in forte collaborazione con il mondo produttivo. Esso è ispirato almeno in parte alle esperienze di altri paesi, che hanno molte iniziative che si collocano ad un livello intermedio fra la scuola secondaria e l’università e con molti studenti che conseguono il titolo. Come noto, le statistiche internazionali indicano per l’Italia un numero di laureati molto inferiore a quello degli altri paesi, ma in effetti la vera differenza non è tanto al livello di laurea né tantomeno di laurea magistrale, ma è legata alla dimensione limitata del segmento non universitario. Per quanto ovviamente le esperienze dei vari paesi siano diverse, notiamo che, ad esempio, la Germania, ha il sistema delle Fachhochschulen, che risalgono ad almeno cinquanta anni fa e hanno un numero di studenti pari a circa la metà di quelli universitari. 

Il sistema degli ITS è stato definito negli anni 2006-200814 e riformato e sistematizzato con la legge 99/2022, che li ha denominati Istituti Tecnologici Superiori (introducendo anche la forma breve ITS Academy) e ne ha confermato il ruolo come strumento di promozione dell’occupazione nei settori innovativi. La promozione degli ITS è anche parte degli obiettivi del Piano Nazionale di Ripresa e Resilienza, che prevede anche significativi finanziamenti, finalizzati all’incremento del numero degli ITS, e dei relativi frequentanti, con un raddoppio di frequentanti e diplomati. Ad oggi, il numero degli studenti è inferiore a 20 mila, quindi una frazione molto piccola del numero di giovani impegnati nella formazione terziaria (le università hanno attualmente oltre 1 milione 700 mila studenti, di cui circa 400 mila nelle aree tecnico scientifiche, che sono di interesse per gli ITS). 

Il sistema ITS può essere molto importante per il settore della cybersicurezza, perché numerose realtà, aziende e amministrazioni, possono reclutare giovani con un titolo di studio intermedio, acquisito in tempi più brevi, con percorsi mirati e, auspicabilmente, vista la natura pratica e il coinvolgimento delle aziende, con tassi di ritardo e abbandono molto inferiori rispetto a quelli universitari. Nell’ultimo anno, sono stati effettivamente attivati diversi nuovi corsi ITS in cybersicurezza. 

Formazione universitaria 

Come noto, la formazione universitaria, in Italia, come in molti altri paesi, si articola su vari livelli. I principali, normati a livello nazionale, talvolta indicati come “primo, secondo e terzo ciclo”, sono quelli relativi rispettivamente a laurea, laurea magistrale e dottorato di ricerca. Esistono poi altri tipi di corsi, definiti con grande autonomia dagli atenei, i più importanti dei quali, ai fini del presente documento, sono quelli di master universitario. 

Discutiamo brevemente i vari livelli, cominciando da quelli quantitativamente più significativi: laurea e laurea magistrale. 

Corsi di laurea e laurea magistrale 

I corsi di laurea hanno l’obiettivo di assicurare allo studente una formazione solida, finalizzata tanto all’inserimento nel mondo lavorativo quanto alla prosecuzione degli studi. 

I corsi di laurea magistrale hanno l’obiettivo di fornire una formazione avanzata e, salvo casi specifici che non interessano, hanno durata biennale e prevedono il possesso di una laurea per l’ammissione. 

Si usa spesso il termine “corso di studio” per indicare genericamente un corso di laurea o di laurea magistrale. I singoli corsi di studio sono definiti in autonomia dalle università, anche nel nome, con riferimento alle classi di corsi di studio, che sono invece definite, a livello nazionale, nel nome, negli obiettivi generali e nei contenuti qualificanti. Nel processo di progettazione dei corsi di studio le università sono tenute a consultare le organizzazioni rappresentative del settore con particolare riferimento alla valutazione dei fabbisogni formativi e degli sbocchi professionali. 

In termini quantitativi, è forse utile segnalare che i numeri dei titoli di studio conseguiti al primo e al secondo livello sono paragonabili: gli ultimi dati disponibili15 indicano 208 mila laureati, 162 mila laureati magistrali. Si può notare che, in Italia (a differenza di quanto accade in altri paesi), la maggior parte degli studenti considera la laurea solo un passo intermedio verso la laurea magistrale. E si tratta spesso di corsi di studio strettamente correlati, in quanto, nel sistema italiano, l’articolazione in livelli viene recepita molto lentamente e la maggior parte degli studenti opta per un percorso in “filiera”, con una magistrale strettamente correlata alla triennale. 

I corsi di laurea e di laurea magistrale svolgono un ruolo essenziale nella formazione dei giovani, con contenuti e risultati che debbono contemperare una prospettiva formativa a lungo termine (in quanto nella maggior parte dei casi il percorso universitario viene seguito una volta nella vita, in età abbastanza giovane, quindi come “formazione iniziale”) con obiettivi specifici volti a favorire l’inserimento nel mondo del lavoro. In effetti, è prassi comune caratterizzare le competenze complessive dei singoli con riferimento alla laurea o laurea magistrale conseguita. 

Nel contesto della cybersicurezza, per quanto riguarda gli obiettivi e i contenuti, possono essere considerate varie coordinate. Una prima è quella legata alla cybersicurezza stessa: ci possono essere corsi focalizzati sulla cybersicurezza e corsi che hanno alcuni contenuti di cybersicurezza, nonché quelli intermedi, che includono significativi contenuti di cybersicurezza, insieme ad altri. Una seconda coordinata è quella relativa all’informatica (o ad altra disciplina tecnologica): la cybersicurezza può essere approfondita dal punto di vista tecnico informatico oppure da altri, ad esempio organizzativo o giuridico. 

Tralasciando i corsi di studio che contengono al più elementi di consapevolezza sul tema della cybersicurezza e anche i corsi di studio che prevedono solo uno o due corsi di insegnamento sul tema, emergono alcune categorie interessanti, quali le seguenti (come in molti contesti, si possono presentare situazioni di confine, ma non è necessario approfondire questo aspetto): 

• corsi di studio in cybersicurezza dal punto di vista informatico; 

• corsi focalizzati sulle discipline informatiche, con un significativo contenuto di cybersicurezza (corsi in informatica o ingegneria informatica con un “indirizzo” in cybersicurezza); 

• corsi di natura multidisciplinare, non strettamente tecnologica, con un significativo contenuto di cybersicurezza. 

Entrando nella realtà degli Atenei italiani, pur senza fare riferimento diretto ai singoli corsi di studio, si nota che i corsi di laurea (cioè quelli di primo livello) sono molto pochi in ciascuna delle tre categorie. Probabilmente ciò accade perché si ritiene che la focalizzazione possa essere eccessiva e che sia non semplice ricondurre gli obiettivi della cybersicurezza a quelli delle classi di laurea esistenti, che sono relativamente poche e abbastanza ampie. In effetti, le poche esperienze esistenti per il primo livello sono nelle classi L-31 (Scienze e tecnologie informatiche) e L-8 (Ingegneria dell’Informazione), che hanno un respiro molto ampio e obiettivi formativi che comunque richiedono insegnamenti di molte discipline e anche molti insegnamenti in discipline informatiche diverse da quelle strettamente legate alla cybersicurezza (e spesso prerequisito per queste ultime). 

Più ampie sono le esperienze (e le possibilità) a livello di laurea magistrale, per vari motivi. Da una parte, il percorso di laurea magistrale è di soli due anni, e una parte significativa del secondo anno è dedicata alla tesi e quindi è relativamente più semplice avere la disponibilità di un corpo docente sufficientemente ampio per coprire gli insegnamenti. Dall’altra, è possibile prevedere requisiti di ingresso che includano competenze informatiche tali da permettere una significativa concentrazione sulla cybersicurezza. Inoltre, fra le classi previste a livello magistrale, c’è la LM-66 (Sicurezza informatica) dedicata a corsi di studio effettivamente mirati. In ogni caso, molti atenei prevedono corsi offerti nelle classi informatiche, LM-32 (Ingegneria informatica) e LM-18 (Informatica), con ampi contenuti di cybersicurezza, che permettono di offrire un indirizzo (con almeno cinque o sei insegnamenti) dedicato ad essa. Per quanto riguarda i corsi di natura multidisciplinare, è interessante segnalare la classe LM-91 (Tecniche e metodi per la società dell’informazione) che permette di offrire percorsi che coniugano contenuti tecnologici (in particolare sono qui rilevanti quelli di cybersicurezza, oltre a quelli informatici) con contenuti di altre discipline (ad esempio giuridiche, umanistiche o economico-organizzative). L’offerta degli atenei in queste classi è abbastanza ampia, e copre le tre categorie sopra citate (corsi tecnologici mirati alla cybersicurezza, corsi informatici con contenuti di cybersicurezza e corsi multidisciplinari non tecnici con contenuti di cybersicurezza). 

In molti paesi, in particolare in Francia, Regno Unito e USA, le agenzie nazionali di cybersicurezza hanno sviluppato iniziative volte a “certificare” i corsi di studio nel settore, con un approccio complementare rispetto all’accreditamento dei corsi stessi. In sostanza, l’attività di certificazione prende in esame (su proposta degli Atenei) corsi di studio che siano istituiti o accreditati secondo le prassi locali e ne valuta la pertinenza rispetto alla tematica specifica della cybersicurezza, prendendo in esame obiettivi, contenuti, corpo docente e altre risorse, nonché i risultati, inclusi la soddisfazione dei laureati e il loro inserimento nel mondo del lavoro. Queste iniziative sono motivate dal fatto che tanto gli Atenei quanto le istituzioni (ministeri o simili) che vigilano sull’offerta formativa non sempre hanno le competenze tecniche specifiche per apprezzare le iniziative in settori emergenti e di rapida evoluzione come quello della cybersicurezza e quindi l’intervento di un soggetto terzo, competente in materia, può fornire un contributo interessante alla conferma della validità e dell’appropriatezza dei corsi di studio. 

Corsi di dottorato di ricerca 

Il dottorato di ricerca è stato introdotto in Italia negli anni ‘80 (mentre in molti altri paesi esiste da molto tempo) con lo scopo di formazione alla ricerca, soprattutto accademica, e ha successivamente ampliato il proprio spettro con l’attenzione anche alle amministrazioni pubbliche e al mondo produttivo. I numeri del dottorato sono molto più piccoli rispetto a quelli dei corsi di studio: secondo i più recenti dati sopra citati, si hanno meno di 8 mila dottori di ricerca all’anno, rispetto ai 162 mila laureati magistrali. Va però osservato che, negli ultimi anni, sono stati emanati provvedimenti, con appositi finanziamenti, volti a incrementare il numero degli studenti di dottorato e quindi il numero di dottori di ricerca. L’ammissione ai corsi di dottorato richiede il possesso di una laurea magistrale e il superamento di un concorso per l’accesso. La durata è di almeno tre anni. Il dottorando deve elaborare una tesi originale di ricerca. 

Le attività di dottorato nel settore della cybersicurezza si svolgono tanto in corsi esplicitamente mirati alla cybersicurezza, quanto in contesti più ampi, motivati questi ultimi dal fatto che spesso il numero di posti (e borse) di dottorato disponibili presso un ateneo è limitato e quindi, per giustificare un corso di dottorato è necessario fare riferimento ad un insieme ampio di discipline. I corsi di dottorato interamente dedicati alla cybersicurezza sono certamente interessanti e vanno incoraggiati e sostenuti, ma sono realizzabili solo da parte di sedi accademiche grandi (e comunque spesso consorziate) oppure nell’ambito dei corsi di dottorato di interesse nazionali, attivati secondo la normativa più recente.16

D’altra parte, l’aspetto più importante, che caratterizza il titolo di dottorato conseguito da uno studente è la tematica della tesi e quindi ha senso parlare di tesi di dottorato in cybersicurezza piuttosto che di corsi di dottorato in cybersicurezza. Le tesi di dottorato relative a temi di cybersicurezza, se di natura tecnologica, sono sviluppate nell’ambito di corsi di dottorato nei settori dell’informatica o dell’ingegneria informatica (o di aree più ampie che includono tali settori) oltre che ovviamente nei corsi di dottorato in cybersicurezza. Questi ultimi sono, nelle prime sperimentazioni, in particolare a livello nazionale, di ampio respiro, con riferimento tanto a discipline tecnologiche quanto ad altre discipline, quali quelle giuridiche o economico organizzative. 

Corsi di master universitario 

Nel contesto della formazione universitaria, oltre ai tre cicli fondamentali descritti in precedenza, esiste un altro tipo di iniziative interessanti, meno formalizzate a livello nazionale e quindi più flessibili. Secondo la normativa,17 le università possono attivare corsi di perfezionamento scientifico e di alta formazione permanente e ricorrente, successivi al conseguimento della laurea o della laurea magistrale, alla conclusione dei quali sono rilasciati i master universitari di primo e di secondo livello. Nella terminologia ormai diffusa, si usa per queste iniziative il termine “corso di master”. I due livelli si distinguono sulla base del requisito di ammissione: i master di secondo livello permettono l’accesso solo ai laureati magistrali, mentre quelli di primo livello anche ai laureati triennali. 

Un master universitario ha di solito fra le 400 e le 600 ore di lezione e un impegno complessivo dello studente stimato in almeno 1500 ore. È importante notare che, nella pratica corrente, il termine “master” (senza l’aggettivo “universitario”) viene utilizzato anche da soggetti diversi dalle università per indicare iniziative di formazione di vario tipo, anche molto più brevi: Nel seguito, si farà riferimento solo ai master universitari e, spesso, per non appesantire il testo si userà semplicemente il termine “master”. 

I corsi di master universitario sono dedicati a tematiche specifiche, anche con approccio multidisciplinare, e vedono spesso il coinvolgimento di soggetti esterni, in particolare provenienti dal mondo produttivo e da quello delle professioni. Nel contesto della cybersicurezza, essi possono risultare utili come strumento per la specializzazione o la formazione ricorrente, ad esempio per offrire: 

• approfondimenti mirati a laureati con specializzazione nell’informatica, ma senza competenze sui temi specifici della cybersicurezza; 

• l’opportunità di maturare competenze in cybersicurezza a laureati con una certa anzianità, che non abbiano avuto la possibilità, nel corso dei loro studi, di affrontare queste discipline, a quel tempo non ancora mature; 

• l’opportunità di acquisire competenze multidisciplinari, ad esempio, elementi di competenze tecnologiche per laureati in discipline giuridiche o economico-manageriali oppure elementi di competenze giuridiche e manageriali per laureati in discipline tecnico-scientifiche. 

I corsi di master hanno molti iscritti (circa 70 mila nell’ultima rilevazione già citata), che conseguono quasi tutti il titolo. In effetti, questi corsi hanno caratteristiche molto diversificate, perché gestiti in completa autonomia dagli atenei, senza alcun processo di accreditamento o valutazione della qualità da parte di soggetti esterni. In particolare, si presenta una grande variabilità nelle valutazioni del profitto, che vanno da esami analoghi a quelli universitari, con verifiche puntuali e accurate, fino all’altro estremo di richiedere solo la presenza e la redazione di un lavoro finale (“tesina”). 

Formazione e aggiornamento nel contesto professionale 

In questo paragrafo discutiamo le problematiche relative alle iniziative di formazione non formale, solitamente nel contesto del mondo del lavoro o in preparazione all’ingresso in tale mondo. In questo caso l’attenzione è spesso più focalizzata di quanto non accada per la formazione universitaria, che, pur includendo, insieme agli aspetti metodologici, anche quelli applicativi, non può tenere conto delle specifiche esigenze dei numerosi contesti professionali che, come già detto, dipendono anche dal dominio applicativo. 

La formazione professionale dovrà quindi essere strutturata in modo da rispondere alle esigenze specifiche delle organizzazioni tenendo in considerazione sia i fattori strutturali sia i fattori contingenti e dovrà essere prevista come formazione permanente basata su un’attenta analisi dei rischi che potenzialmente potrebbereo bloccare il funzionamento previsto, in modo da permettere l’individuazione di misure di sicurezza preventiva con l’obiettivo di mitigare gli effetti delle più probabili minacce cyber. 

In ciascun contesto lavorativo, il primo passo nella creazione di una strategia di formazione professionale in cybersicurezza è l’identificazione delle competenze di base richieste. Queste competenze includono la conoscenza dei principi di sicurezza informatica, la comprensione dei possibili rischi a seguito di attacchi cyber, procedura da intraprendere per effettuare segnalazioni di possibili anomalie. Questo tipo di formazione di base è generalmente utile a larghe porzioni di personale e per questo è spesso prevista, o almeno dovrebbe esserlo, come componente della formazione aziendale comune. 

Una volta identificate le competenze di base, il percorso di formazione dovrebbe essere strutturato in modo da essere concentrato sulle caratteristiche specifiche dell’organizzazione e della posizione lavorativa. In questo caso un riferimento importante è costituito dalla conformità normativa, che può essere un utile punto di partenza sia per l’implementazione delle misure minime di sicurezza, sia per eventuali adempimenti specifici, come il regolamento europeo per la privacy (GDPR) nel caso del trattamento di dati personali o come codici di autoregolamentazione come ad esempio in ambito bancario. 

Il percorso di formazione deve essere flessibile e tenere conto tanto delle conoscenze e competenze possedute quanto di quelle richieste per la specifica posizione, nonché di quelle potenzialmente interessanti per la crescita professionale. La flessibilità, con opportuni gradi di ampiezza e profondità, è rilevante anche perché, nel settore della cybersicurezza, come e forse più che in altri, si presentano spesso iniziative di “reskilling”, che possono essere indirizzate a personale con background eterogeneo e in aree diverse dalla cybersicurezza. Questo può essere utile all’inizio della carriera o anche in fasi successive. 

Le esigenze sopra citate portano alla necessità di prevedere iniziative di formazione articolate e modulari, con corsi di diversa durata a seconda delle esigenze. Sono diffusi anche moduli molto brevi su aspetti puntuali della cybersicurezza che permettono l’acquisizione di competenze che vengono definite “micro certificazioni”. Questo tipo di formazione, anche se presenta ovvi limiti stante l’esiguo numero di ore a disposizione, sta diventando sempre più comune con l’obiettivo di soddisfare le numerose esigenze di questo settore. 

Prendendo spunto dal recente documento statunitense intitolato “National Cyber Workforce and Education Strategy”, emerge chiaramente la necessità di trasformare l’istruzione nel campo della Cyber Security mediante la creazione di un vero e proprio “ecosistema”. Non è realistico affidarsi esclusivamente agli sforzi degli insegnanti; occorre, piuttosto, sviluppare autentici ecosistemi locali che agevolino la creazione e il mantenimento di percorsi formativi attentamente progettati con la partecipazione attiva e il supporto di aziende e organizzazioni pubbliche e private presenti sul territorio. Ciò consentirà di comprendere i rischi specifici legati alle principali categorie di prodotti presenti e le relative misure di sicurezza necessarie. 

L’obiettivo primario è instaurare un ciclo virtuoso che favorisca lo scambio tra i percorsi formativi e le specifiche esigenze lavorative del territorio. Nel contesto della cybersicurezza orientata al paradigma della security by design, escludendo una formazione di base comune a tutte le attività produttive, è indispensabile tenere conto delle specificità dei diversi contesti lavorativi. Ad esempio, si pensi alle normative sulla privacy che regolamentano un ospedale, in contrasto con le esigenze operative di un broker finanziario che deve eseguire le proprie operazioni con affidabilità e continuità, evitando ritardi e interruzioni. 

Nel settore della formazione professionale in cybersicurezza un elemento fondamentale è rappresentato dalle certificazioni professionali. Queste certificazioni, disponendo di un catalogo capillare, si pensi che un sito indipendente ne ha catalogate diverse centinaia,18 permettono di dimostrare le competenze acquisite in ambiti specifici, grazie a esami comuni disponibili a livello globale. In generale le certificazioni sono create come argomenti e settore di applicazioni sia direttamente dalle società produttrici (vendor specific) di dispositivi hardware o software, sia da organizzazioni indipendenti (vendor neutral) che affrontano le problematiche di cybersicurezza senza riferirsi a specifiche soluzioni commerciali. I certificati sono rilasciati tipicamente da un ente di certificazione accreditato e terzo rispetto al produttore dei contenuti, che garantisce che l’esame si sia svolto in modalità idonea alla verifica delle competenze richieste. I certificati hanno spesso una validità temporale di qualche anno e si richiedono attività di formazione professionali, quali partecipazione a conferenze, seminari o corsi per permetterne il mantenimento. Molte certificazioni prevedono la necessità di superare diversi esami intermedi per essere ottenute, arrivando anche a creare percorsi gerarchici di formazione. In ambito commerciale sta diventando sempre più comune che alcuni vendor richiedano ad aziende partner un numero minimo di dipendenti certificati a diversi livelli per permettere la possibilità di diventare rivenditori e accedere a speciali condizioni di acquisto. 

Le certificazioni hanno avuto sicuramente il merito di avere svolto un ruolo pionieristico nella formazione in cybersicurezza e di aver agevolato il mercato del lavoro grazie alla possibilità di legare le offerte di specifiche posizioni al possesso di determinate certificazioni. I forti interessi commerciali legati alle certificazioni hanno a volte comportato un’eccessiva compressione dei tempi di formazione, cercando di utilizzare questi titoli come sostitutivi invece che complementari a quanto previsto nella formazione formale. Ciò ha creato una classe di professionisti che tendono a concentrarsi su dettagli della cybersicurezza e perdono di vista il quadro di insieme del sistema da proteggere, lasciando la possibilità a numerosi attacchi. 

Conclusioni 

Il quadro delle esigenze e delle opportunità che abbiamo discusso è chiaramente molto articolato e molte direzioni sono da considerare prioritarie. Certamente, il mondo del lavoro presenta richieste pressanti, non facili da soddisfare e per giunta urgenti. Pertanto, la coordinata temporale dovrà essere presa come principale direzione di indirizzo. 

Una via privilegiata è certamente costituita dalla formazione formale con la crescita di nuovi curricula dedicati alla cybersicurezza appositamente disegnati. Questa strada richiede, in particolare in ambito universitario, un lungo periodo di tempo, spesso diversi anni, prima di manifestare la sua efficacia e produrre risultati concreti. Tuttavia, benché la via appena indicata rappresenti un percorso necessario, vi sono altre direzioni che meritano attenzione immediata, con l’obiettivo di produrre risultati a breve. 

Una via promettente è la crescita di programmi di Master Universitari in Cybersicurezza, che permetterebbero in pochissimi anni di espandere in modo significativo alcune competenze cyber nel mondo del lavoro. Infatti, sebbene possano non avere un impatto significativo a medio-lungo termine, questi programmi possono fornire un terreno fertile per la sperimentazione verso nuovi percorsi formativi come nuovi corsi di laurea magistrale specifici o indirizzi dedicati alla cybersicurezza. Inoltre, è sicuramente importante promuovere l’attivazione di insegnamenti specifici nel settore, che possono poi favorire l’attivazione di nuovi indirizzi e poi magari nuovi corsi di studio (L o LM). Un’altra opportunità che non abbiamo ancora citato è la possibile offerta di insegnamenti come “corsi singoli”, cui persone esterne all’università, magari già laureate, possono iscriversi per arricchire le proprie competenze. 

Fra le iniziative di istruzione formale che abbiamo citato, gli ITS costituiscono una realtà che può produrre risultati in tempi relativamente brevi e ha grandi spazi di crescita, in cui gli studenti possono acquisire competenze più operative, direttamente applicabili nel mondo del lavoro ed eventualmente poi procedere anche a livello universitario. Non vanno però in questo contesto trascurati gli investimenti, visto che la crescita desiderata è quantitativamente molto significativa. 

Le iniziative nel contesto del mondo del lavoro, sia privato sia pubblico, possono fornire opportunità di upskilling e reskilling. Oltre a quelle realizzate direttamente da aziende o altri enti preposti, se ne potrebbero promuovere in collaborazione con le università o gli ITS. 

Le certificazioni professionali, associate a corsi spesso di breve o brevissima durata, rappresentano attualmente un’importante risorsa per colmare il divario tra la domanda e l’offerta di professionisti in cybersicurezza. Questo approccio risulta di grande utilità per acquisire competenze fortemente specialistiche, ma sarebbe probabilmente più efficace se avvenisse per professionisti aventi già una formazione formale, anche in settori diversi da quello informatico. 

Relativamente a tutti i contesti, il miglioramento e l’ampliamento dei percorsi formativi hanno come prerequisito la crescita delle competenze del corpo docente. Per l’università ciò è possibile solo attraverso un aumento del numero dei dottori di ricerca, negli altri settori è necessario un aumento dei laureati e, più a breve termine, è necessaria una formazione di docenti già attivi, vuoi nel mondo della scuola vuoi in quello del lavoro. A breve termine, tanto nella scuola quanto nell’università il problema può essere gestito anche tramite il coinvolgimento di docenti che insegnano materie vicine. Negli ITS, la possibilità di avvalersi in modo consistente di insegnanti esterni che si siano formati tramite significative esperienze professionali, rappresenta forse l’unica possibilità per reperire docenti in tempi rapidi. 

 

  1. “Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience (‘The Cybersecurity Skills Academy’)” https://ec.europa.eu/newsroom/dae/redirection/document/95048 COM(2023) 207 final, 10/04/2023   ↩︎
  2. (ISC)² in https://www.isc2.org/research e European Cyber Security Organisation (ECSO), come affermato nella Joint Communication to the European Parliament and the Council, EU Policy on Cyber Defence, JOIN(2022) 49 final   ↩︎
  3. Si veda il documento seguente e in particolare la discussione (e le note) alle pagine 5 e 6: 
    https://www.enisa.europa.eu/publications/addressing-skills-shortage-and-gap-through-higher-education/@@download/fullReport   ↩︎
  4. Il più significativo, per quanto riguarda il “capitale umano,” è il rapporto della Commissione Europea noto come DESI 2022 (Digital Economy and Society Index) https://ec.europa.eu/newsroom/dae/redirection/document/88751 riorganizzato nel 2023 nell’ambito del rapporto sul Decennio Digitale https://digital-decade-desi.digital-strategy.ec.europa.eu/datasets/desi/charts  Altri documenti, fra cui un recente rapporto pubblicato da Anitec-Assinform, segnalano la dimensione delle richieste da parte del mercato del lavoro: https://www.anitec-assinform.it/kdocs/2064212/positioning_paper_competenze_15112022.pdf   ↩︎
  5. La Strategia Nazionale è stata predisposta dall’ACN e adottata dal Presidente del Consiglio nel maggio 2022. Essa è costituita dal documento strategico, da un piano di implementazione e da un manuale operativo: https://www.acn.gov.it/strategia/strategia-nazionale-cybersicurezza   ↩︎
  6. The project Cybersecurity Skills Alliance – A New Vision for Europe, https://rewireproject.eu/deliverables   ↩︎
  7. International Standard Classification of Education ISCED 2011: http://uis.unesco.org/sites/default/files/documents/international-standard-classification-of-education-isced-2011-en.pdf   ↩︎
  8. Terminology of European education and training policy – A selection of 100 key terms https://www.cedefop.europa.eu/files/4064_en.pdf   ↩︎
  9. Il riconoscimento dei titoli può corrispondere al valore legale, come in Italia e molti paesi europei, oppure a forme di accreditamento, come nel Regno Unito o negli Stati Uniti d’America. La questione presenta profili articolati. Per una discussione, risalente ad alcuni anni fa ma, nella sostanza, ancora valida, si può consultare un dossier del Senato della Repubblica: https://www.senato.it/documenti/repository/dossier/studi/2011/Dossier_280.pdf   ↩︎
  10. G. Ferraro, S. Montegiove, P. Prinetto. The Big Game: giocando si impara la cybersicurezza   ↩︎
  11. Secondo i dati pubblicati dal Ministero dell’Istruzione e del Merito, per l’anno scolastico 2021-22, https://dati.istruzione.it/opendata/opendata/catalogo/elements1/leaf/?datasetId=DS0070ALUSECGRADOINDSTA, su oltre 460 mila studenti iscritti al quinto anno delle scuole secondarie di secondo grado, circa 17mila risultavano iscritti ad un percorso tecnico tecnologico di informatica e circa 11.500 ad un percorso tecnico economico di sistemi informativi aziendali, rispettivamente quindi 3,5% e il 2,5% del totale.   ↩︎
  12. Nei dati sopra citati, si tratta di quasi 34mila studenti, pari a poco più del 7% degli studenti del quinto anno.   ↩︎
  13. Impact Report 2018-2022, National Center for Computing Education, https://static.teachcomputing.org/NCCE-Impact-report-2022.pdf   ↩︎
  14. La legge 631/2006, art.1 comma 361 ha disposto la riorganizzazione del sistema dell’istruzione e formazione tecnica superiore. Poi, la legge 40/2007, art. 13, comma 2, ha introdotto il termine ITS con riferimento ad alcune delle iniziative previste dalla L.631/2006. Infine, il DPCM del 25/01/2008 ha specificato le caratteristiche degli ITS come istituzioni e alcune caratteristiche dei relativi percorsi, nonché ha definito le aree tecnologiche di interesse     ↩︎
  15. Anno accademico 2021/22, sito del Ministero http://ustat.miur.it/dati/didattica/italia/atenei   ↩︎
  16. DM 226/2021, art.11   ↩︎
  17. DM 270/2004, art.3 comma 9.   ↩︎
  18. Security Certification Roadmap – https://pauljerimy.com/security-certification-roadmap/   ↩︎
PAOLO ATZENI
+ posts

Direttore per lo sviluppo di capacità e competenze presso l'Agenzia per la Cybersicurezza Nazionale. È in aspettativa dall'Università Roma Tre, dove è professore dal 1992 ed è stato Prorettore alla Didattica e Direttore del Dipartimento di Ingegneria. Ha ricevuto la laurea in Ingegneria Elettronica presso l'Università di Roma "La Sapienza" nel 1980. In passato ha lavorato presso lo IASI-CNR di Roma, e le università di Napoli e La Sapienza di Roma. Ha pubblicato numerosi articoli su vari argomenti nel campo delle basi di dati, tra cui teoria relazionale, modelli concettuali, basi di dati e Web, gestione di modelli e metamodelli. È stato Vicepresidente del VLDB Endowment e Presidente dell'Associazione EDBT nonché Presidente del GII, l'Associazione dei Professori di Ingegneria Informatica in Italia.

BERNARDO PALAZZI
+ posts

Consigliere per lo sviluppo di capacità e competenze presso l’ACN. Precedentemente in Istat ha ricoperto per primo il ruolo di Responsabile Protezione Dati personali e ha progettato le misure di sicurezza dell’ultimo censimento generale della popolazione. Inoltre, collabora da più di 15 anni con la Brown University negli USA, dove dirige nell’ambito della cybersecurity un Master of Science e tiene due corsi.
L’ingegner Palazzi ha pubblicato diversi articoli scientifici sulla sicurezza informatica ed è inventore di un brevetto internazionale sulla sicurezza dei database. Inoltre, è stato socio fondatore e CTO di una startup su sicurezza dei dati nel cloud, basata sul suo brevetto.
Ha conseguito il dottorato di ricerca in Ingegneria Informatica presso l'Università “Roma Tre”.

spot_imgspot_img

Articoli Correlati

EDITORIALE

Editoriale di Antonio Piva, Presidente di AICA

ANTONIO PIVA -
Cari lettori, è con grande piacere che vi presento due importanti novità che rappresentano una tappa significativa per AICA e per la nostra storica rivista, Mondo Digitale.
Read more
NUMERO 104

Physical Layer Security: tecnologie e applicazioni

SIMONE SODERI -
Viviamo in una società iperconnessa dove le tecnologie di comunicazione ci supportano nelle attività quotidiane. In una visione olistica della sicurezza di questo vasto cyber-spazio merita approfondire il ruolo della Physical Layer Security (PLS) e delle sue applicazioni in diverse aree di comunicazione.
Read more
NUMERO 104

Filosofia interroga Arte – Drammaturgia sfida IA

ADRIANO FABRIS,  PAOLO FERRAGINA,  IGOR HORVAT,  DANIELA MORELLI  e   GIUSEPPE PRENCIPE -
Scienza, filosofia, arte e teatro hanno proposto una variante del test di Turing al pubblico della Bright Night pisana 2023 e alla più vasta utenza della rete. Il Test è consistito in una domanda filosofica posta a una pittrice di quattro secoli fa, Artemisia Gentileschi.
Read more
NUMERO 104

Intelligenza Artificiale: analisi e proposte

ANGELO RAFFAELE MEO,  MARCO CIURCINA  e   MARCO MEZZALAMA -
In questo articolo si presentano le meravigliose opportunità scientifiche, tecnologiche, industriali ed applicative aperte dall’intelligenza artificiale (IA), l’analisi dei difetti e dei pericoli che potrebbero manifestarsi e la discussione di nuove norme e approcci che consentano il controllo dei pericoli senza condizionare lo sviluppo scientifico e tecnologico.
Read more
NUMERO 104

Cronaca prossima ventura

FRANCO FILIPPAZZI -
Dalla prima pagina di un quotidiano 
Siamo in piena era di Intelligenza Artificiale, da alcuni anni sistemi come ChatGPT sono disponibili e i risultati sono sorprendenti...  
Read more
Articolo a cura di: PAOLO ATZENI  e   BERNARDO PALAZZI
Previous article
IL FATTORE UMANO E LA REGOLAZIONE DELLA CYBERSECURITY 
Next article
THE BIG GAME: GIOCANDO SI IMPARA LA CYBERSICUREZZA

I nostri canali Social

Potete seguirci attraverso le pagine dei canali social di AICA

Associazione Italiana per l'Informatica e il Calcolo Automatico

Piazza Rodolfo Morandi 20121 Milano

C.Fisc e P.IVA 03720700156

ARTICOLI PIÙ LETTI

Physical Layer Security: tecnologie e applicazioni

NUMERO 104
Viviamo in una società iperconnessa dove le tecnologie di comunicazione ci supportano nelle attività quotidiane. In una visione olistica della sicurezza di questo vasto cyber-spazio merita approfondire il ruolo della Physical Layer Security (PLS) e delle sue applicazioni in diverse aree di comunicazione.

Intelligenza Artificiale: analisi e proposte

NUMERO 104
In questo articolo si presentano le meravigliose opportunità scientifiche, tecnologiche, industriali ed applicative aperte dall’intelligenza artificiale (IA), l’analisi dei difetti e dei pericoli che potrebbero manifestarsi e la discussione di nuove norme e approcci che consentano il controllo dei pericoli senza condizionare lo sviluppo scientifico e tecnologico.

Filosofia interroga Arte – Drammaturgia sfida IA

NUMERO 104
Scienza, filosofia, arte e teatro hanno proposto una variante del test di Turing al pubblico della Bright Night pisana 2023 e alla più vasta utenza della rete. Il Test è consistito in una domanda filosofica posta a una pittrice di quattro secoli fa, Artemisia Gentileschi.

MENU

In collaborazione con

© 2023 AICA All Rights Reserved

wpChatIcon