Solo la conoscenza può dare sicurezza. O, perlomeno, può illuminare i passi da fare quando ci s’inoltra in territori ignoti e oscuri e aiutare a prevenire le possibili insidie.
Ma non c’è conoscenza senza formazione, che va attivata di continuo e a tutti i livelli, dal più basico al più specialistico e sofisticato: un tema decisamente caro a Elisabetta Zuanelli, professoressa ordinaria di Comunicazione digitale e nuovi servizi digitali presso la facoltà di Economia dell’Università Tor Vergata di Roma. Attraverso il Cresec-Centro di Ricerca e Sviluppo sull’EContent, l’ateneo romano ha promosso un Partenariato Pubblico Privato per la realizzazione di un Piano di formazione nazionale in cybersecurity, cyberthreat, privacy.
“Bisogna avere innanzitutto chiaro cosa s’intende per cybersecurity, e quali sono le sue implicazioni sul piano concreto, pratico e operativo – ha ricordato Zuanelli in un suo intervento tenutosi all’interno del CyberTechEurope a Roma –: possiamo parlare di sicurezza informatica quando abbiamo la certezza, grazie ad appropriati sistemi di difesa digitale, che il ciberspazio è protetto, rispetto a eventi volontari o accidentali, che possono consistere nell’acquisizione ed esfiltrazione di dati, nella loro modifica o distruzione illegale o nel blocco di sistemi informatici. Le misure necessarie per garantire tali condizioni sono più che note, e comprendono le verifiche di sicurezza, la gestione degli aggiornamenti o correzioni, le procedure di autenticazione, la gestione degli accessi, l’analisi dei rischi, l’individuazione e la risposta a incidenti/attacchi, la mitigazione degli impatti, il recupero delle componenti soggette ad attacco, l’addestramento e la formazione del personale, nonché la verifica e il potenziamento della sicurezza fisica dei locali in cui sono situati i sistemi di informazione e comunicazione”.
Dalla quantità alla qualità
Tutti argomenti che ormai da alcuni anni sono affrontati in numerosi corsi di laurea, ma spesso ancora in modo disorganico e farraginoso e a volte sparpagliati in facoltà differenti, da Informatica a Ingegneria elettronica, da Giurisprudenza a Economia, da Scienze politiche a Sociologia o Comunicazione e marketing.
Cosicché, a questo punto, più che un problema di quantità, insomma, si pone una questione di qualità dell’offerta formativa.
Anche nella formazione post laurea, molte delle materie più specialistiche, con i loro temi corollari, vengono aggregate in master in cui, in genere, si preferisce sfiorare il maggior numero possibile di argomenti evitando di focalizzarsi su un unico aspetto. E dove per di più si ricorre ancora a metodi didattici poco aggiornati (con lezioni frontali troppo teoriche) e a tecniche d’apprendimento non sempre efficaci, utilizzando il minimo indispensabile i laboratori in cui acquisire competenze pratiche e senza magari offrire alcuno stage all’interno di aziende per imparare a interagire con il mondo del lavoro.
L’analisi dei fabbisogni formativi
“Mentre svolgono la ricerca di persone con le competenze necessarie – è la visione di Zuanelli –, le aziende, così come gli enti e le organizzazioni della Pubblica Amministrazione, dovrebbero effettuare una rilevazione precisa e una verifica accurata dei livelli di preparazione di chi lavora al proprio interno, e quindi dei fabbisogni formativi. E si arriverebbe a scoprire, in molti casi, che probabilmente hanno bisogno non solo di nuove persone, ma anche di arricchire e di aggiornare le competenze alle persone che già sono in organico”.
Il passaggio evolutivo del Sistema Paese connesso alla digital transformation (a tutti i livelli: politico-amministrativo, economico-produttivo, socioculturale, infrastrutturale) non può risolversi in una mera operazione di facciata, né può realizzarsi “a macchia di leopardo”, magari puntando tutto (o quasi) sull’effetto traino di alcune realtà d’avanguardia e di casi d’eccellenza (distretti produttivi, imprese, enti locali) che facciano da apripista e da esempio per il resto d’Italia. Tanto più se si pensa al modello strutturale e al tessuto produttivo prevalenti da Nord al Sud, costituito da migliaia di PMI e di microimprese.
Soprattutto pensando ai rischi immensi che può generare il moltiplicarsi e l’infittirsi degli attacchi cyber su un Sistema Paese sempre più connesso (come nel caso dell’Italia), gli interventi strutturali e di consolidamento delle competenze digitali dovrebbero sviluppare ed estendere una serie di processi formativi di base, per creare una cultura diffusa e condivisa della cibersicurezza.
“Negli anni Settanta – nota Zuanelli – l’istituzione dei permessi per il diritto allo studio, le cosiddette ‘150 ore’, aveva dato la possibilità a migliaia e migliaia di lavoratori di partecipare non solo a corsi di recupero per ottenere, per esempio, la licenza media, ma anche per accedere a moduli di formazione più avanzata. Qualcosa di analogo andrebbe riproposto oggi, in modo da attivare un processo più sistematico e generalizzato di alfabetizzazione e di aggiornamento digitale, offrendo percorsi adeguati alle esigenze specifiche, con corsi di durata significativa, senza però che abbiano un impatto controproducente per i lavoratori e per le aziende o per gli enti pubblici”.
I pilastri del piano di formazione nazionale
Questa è la visione, quindi, alla base del Piano di formazione nazionale in cybersecurity, cyberthreat, privacy concepito e auspicato dal Partenariato Pubblico Privato, che peraltro ha promosso anche un master di secondo livello in Competenze digitali per la protezione dei dati, la cybersecurity e la privacy attivato dal Dipartimento di Management e diritto dell’Università di Roma Tor Vergata e giunto alla seconda edizione.
Per quanto riguarda la formazione di base, invece, con l’ottica di favorire la ricerca di efficienza sul piano lavorativo e, in parallelo, di tenere alta l’attenzione necessaria per salvaguardare costantemente la sicurezza dell’organizzazione per cui si lavora, mettendo in atto misure di prevenzione che riducano i rischi e permettano di adeguarsi alla normativa vigente, il Partenariato ha concepito un programma formativo e consulenziale rivolto ai dirigenti e al personale delle istituzioni e delle aziende pubbliche e private e incentrato innanzitutto sulla conoscenza dei tipi di dati, di documenti, di attacchi e di tecniche capziose utilizzate per violare reti e accessi ad aree che dovrebbero essere riservate e, in parallelo, sull’apprendimento delle corrette tecniche di trattamento dei dati e della loro difesa, anche tramite l’installazione e l’utilizzo di programmi applicativi per la protezione di computer, di reti e di altri dispositivi informatici. Gli interventi di formazione proposti dal Partenariato sono organizzati su quattro assi tematici, i cui argomenti principali sono cloud e sicurezza; dati, documenti e trattamento, servizi digitali e mobile device.
