Cybersecurity, ENISA traccia 12 profili di esperti: quale spazio per i Fattori Umani?

Cybersecurity, ENISA traccia 12 profili di esperti: quale spazio per i Fattori Umani?

Nel corso della “ENISA cybersecurity skills conference” tenutasi il 20 e 21 settembre, l’Agenzia dell’Unione europea per la Cybersicurezza ha presentato “The European Cybersecurity Skills Framework (ECSF)”, documento che identifica 12 profili di esperti in sicurezza informatica, ciascuno con specifiche responsabilità, competenze, sinergie. Uno strumento (accompagnato da un manuale con esempi e casi studio per guidare l’applicazione del framework stesso) per “armonizzare” ruoli e linguaggio, anche nell’intento di uniformare educazione e formazione. L’obiettivo è colmare un gap: la carenza di professionisti e competenze, un problema economico e di sicurezza nazionale in un mondo sempre più digitalizzato.

«ENISA fornisce uno strumento utile sia agli addetti ai lavori per “standardizzare” profili e formazione, sia agli enti e alle aziende per organizzare o riorganizzare il proprio comparto di cybersecurity. Finalmente, seppur in modo parziale, si comincia a parlare di Fattori Umani nella gestione e implementazione della sicurezza informatica. E finalmente si comincia a parlare di comunicazione del rischio informatico». Alessandra Tedeschi, direttrice Ricerca e Sviluppo in Deep Blue, commenta così la notizia della pubblicazione del framework, sottolineando ancora una volta l’importanza degli aspetti organizzativi, procedurali, formativi e psicologici nell’analisi e nella mitigazione del rischio informatico (ne abbiamo parlato qui, ndr.), aspetti storicamente poco integrati in una disciplina considerata puramente tecnica.

Una delle figure chiave individuate da ENISA è il Chief information security officer (CISO): tra le sue competenze c’è quella di “indirizzare” una cultura della sicurezza informatica all’interno della propria azienda o istituzione. «Si tratta di una capacità che non può prescindere dalla conoscenza dell’organizzazione e dei processi interni, da azioni di engagement e formazione dei propri dipendenti – dice Tedeschi – anche se non espressamente indicate, confidiamo che ENISA abbia considerato queste skills sottintese».

Oltre al CISO, molti altri profili richiedono una conoscenza e l’analisi dei cosiddetti rischi soft, cioè legati agli errori umani, alla non compliance, all’identificazione dei motivi che spingono le persone a non rispettare le norme base della sicurezza informatica (spesso legati a un’esigenza di efficienza produttiva o a procedure poco chiare). Quindi competenze di social engineering (di cui in verità si parla solo nel profilo del Penetration tester) per individuare le vulnerabilità tecniche e organizzative che possono favorire un attacco informatico.

«Considerato il “peso” dell’errore umano negli incidenti informatici, piuttosto che richiedere ai diversi profili competenze trasversali in Human Factors, col rischio che vengano sottovalutate o persino ignorate, forse sarebbe più opportuno prevedere un 13esimo profilo, un esperto di Fattori Umani, aspetti procedurali e psicologia da affiancare agli altri», suggerisce Tedeschi. Quale il suo contributo? «Prendiamo un Cybersecurity risk manager, un Cyber threats specialist o un Cybersecurity educator. Il nostro esperto in Human Factors potrebbe aiutarli a individuare vulnerabilità e rischi di natura umana e organizzativa, oppure proporre azioni di mitigazioni come training ed engagement del personale, comunicazione del rischio, un nuovo design dei processi, delle procedure e degli strumenti in chiave di una maggiore comprensibilità e “usabilità”».

 

 

 

 

Parla con noi