Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Cybersecurity e stipendi. Baldoni: “è importante fare un salto in avanti nelle retribuzioni”.

Massimiliano Brolli : 20 Dicembre 2021 13:57

  

Autore: Massimiliano Brolli
Data Pubblicazione: 20/12/2021

Molto spesso, quando parliamo su RHC della mancanza di talenti, di quelle persone tecniche capaci di “hackerare il nostro futuro”, sia come innovatori che come specialisti in ethical-hacking o ricercatori di bug, si ritorna sempre a parlare di retribuzione e di quanto siano lontani gli stipendi, rispetto alle competenze acquisite.

Questo è un tema tutto italiano ed è anche una parte del motivo per il quale i migliori vanno all’estero alla ricerca di qualcosa di più “innovativo”, “stimolante” e “ben pagato”.

Ma è anche vero che adesso l’Italia sta “assaggiando” il danno che realmente può causare un attacco informatico ben organizzato, e le aziende che ci sono passate probabilmente stanno già lavorando in tal senso, cercando di non “lesinare” su budget e skill e di conseguenza, sulle paghe delle persone. Ma questo per i più , è un problema tutto da affrontare.

Il Prof. Baldoni a riportato in una recente intervista su questo argomento quanto segue:

“Quello che stiamo facendo con l’Agenzia per la cybersicurezza nazionale è anche far capire alle aziende quanto è importante fare un salto in avanti nelle retribuzioni: un discorso che non vale solo per la parte informatica, ma per tutti gli altri settori che si sono evoluti in modo così rapido.”

Questo perché la cybersecurity è una materia in costante mutazione e innovazione, pertanto occorre propensione per lo studio costante e l’auto aggiornamento. Come puoi bloccare un hacker criminale che cerca sempre modi innovativi per violare la tua infrastruttura, se non sei anche tu al passo con le innovazioni?

“La velocità nella trasformazione digitale è stata così impressionante che c’è bisogno di farne parte, altrimenti si resta indietro. Quando è che un ragazzo non è soddisfatto? Quando vede che non cresce. Non è facile trovare in Italia l’impresa che ti permetta questo cammino. E non si tratta solo di crescita stipendiale”.

Infatti, sebbene gli stipendi da adeguare risultino un grosso ostacolo per le aziende pubbliche, ma anche private da risolvere, c’è anche il tema “percorso”, da tenere sempre in considerazione.

Ovviamente, i più meritevoli, non vogliono rimanere a fare lo stesso mestiere (seppur il più bello del mondo) per 10 anni mettendo al palo la loro carriera, pertanto occorre proporgli costantemente nuovi stimoli e un percorso professionale adeguato e questo potrebbe non essere possibile in tutte le aziende italiane che cercano “specialisti di livello” nella cybersecurity.

Ma per fortuna, il mercato “drogato” di questo periodo, sta da una parte aiutando a normalizzare il fenomeno degli stipendi degli esperti in cybersecurity, anche se ci vorrà ancora del tempo per arrivare ad un valore di interesse “internazionale”.

Questo fenomeno è dovuto dall’enorme richiesta del personale esperto in cybersecurity che sta ricevendo il mercato con un conseguente aumento degli stipendi dovuta alla bassa disponibilità delle persone.

Non è raro, in alcuni casi per gli HR e i tecnici poco avvezzi a questi temi, prendere delle reali cantonate. Ma anche questo fa parte del gioco e della “concorrenza” nell’acquisire personale altamente richiesto, oltre a ritornare sulle poche conoscenze in ambito cybersecurity.

Questo è un problema ben noto sul quale dobbiamo tutti crescere a livello di conoscenza di questa materia, a tutti i livelli e non solo relegata agli specialisti dell’IT.

Ma mentre la richiesta di personale esperto in cybersecurity è esplosa, le aziende come sempre fanno a “gara” per poter andare al ribasso sui prezzi, pensando che su questi contesti si possa risparmiare anche del 50/60%. Corretto è la logica della competizione e del mercato, ma su certi tipi di skill non è pensabile andare sotto una determinata “soglia”, pena di fatto avere un prodotto inutile (aziendalmente parlando) oltre che ad alimentare un circolo vizioso, una sorta di “stagnazione” degli stipendi di questi preziosi specialisti.

Viene quindi da se il confronto con i nostri cugini europei, senza parlare di USA, Russia e Cina. Baldoni nell’intervista ha riportato:

“Siamo lontani anche da questi ultimi. Ma l’ho vissuto anche io come professore universitario, perché questo gap salariale non riguarda solo l’informatica. Ho fatto un’esperienza come docente in Francia e quando rientrai, nel 1996, gli stipendi erano sicuramente comparabili con quelli francesi. Adesso credo che quello di un professore universitario sia il 60% di un collega francese, forse anche il 50%. Figuriamoci per una disciplina nuova. Per questo come Agenzia useremo con molta saggezza i fondi a disposizione per attrarre i nostri giovani e per andarci a riprendere i migliori dall’estero.”

Infatti le assunzioni nell’Agenzia per la cybersicurezza nazionale saranno un tema importante da affrontare soprattutto per quanto riguarda i tecnici specializzati che svolgeranno i test di sicurezza in seno al laboratorio CVCN (Centri di valutazione e certificazione nazionale).

In questo caso si parla di ethical hacker, ma più precisamente di una specializzazione molto più di nicchia, ovvero i bug hunter. Sono esperti di sicurezza informatica che fanno “ricerca dei bug di sicurezza”, ovvero scovano i bug non documentati, i famosi 0-day e risultano tra le competenze più care in ambito di cybersecurity, oltre ad essere i più difficili da trovare e da gestire.

I tester vogliono essere ben pagati, coordinati da personale altamente tecnico e competente, che sappia di cosa si stia parlando, che non li ingessi in inutile (a detta loro) “burocrazia”, e che li faccia spaziare a livello mentale continuamente, per esplorare in modo empirico le cose e quindi rendere il massimo.

Inoltre, occorre cercare ricercatori con una forte propensione e stimolo verso l’etica, in quanto il mercato delle underground sulla ricerca dei bug 0-day è florido e altamente remunerativo. Pertanto tra programmi di bug-bounty, broker zeroday ed underground, qualcuno, qualora non si senta all’interno del proprio ruolo, potrebbe perdersi in qualche “sfumatura di grigio”.

In sintesi sono “hacker” e come “hacker” devono essere trattati, trovando il giusto compromesso, chiedendogli il massimo solo se si potrà costantemente attrarli con nuove sfide e modi “non convenzionali” di esplorare la tecnologia.

Sarebbe bello riacquistare i nostri “cervelli” perduti che ora lavorano in altri paesi facendogli comprendere che anche da noi le cose stanno iniziando a funzionare bene.

Ma le aziende italiane e le pubbliche amministrazioni Italiane sono molto distanti dalle aziende della Silicon Valley (per fare un esempio), pertanto occorre iniziare a pensare anche a questo, per poter fornire loro, qualora accettino questa sfida, il giusto “cuscinetto” di “decompressione” e abituarsi ad una logica tutta italiana di gestione delle aziende.

“Anche perché l’esperienza di chi ha lavorato in una over the top è una ricchezza che poi riporta all’interno del proprio paese. Ci sarà tutto il mio impegno su questo fronte, proprio perché ci siamo un po’ addormentati negli ultimi vent’anni e dobbiamo recuperare questo tesoro”

E’ vero, ci siamo addormentati negli ultimi 20 anni. Se ripensiamo alla Olivetti Elea 9003, il primo computer a transistor della storia, al Programma 101, il primo personal computer tutto italiana utilizzato dalla Nasa per calcolare le orbite dell’Apollo 11, quindi quanto l’Italia insegnava al mondo la tecnologia, ci viene da domandarci come abbiamo fatto a perdere tutto questo vantaggio e ritrovarci in queste condizioni.

Abbiamo delle grandi sfide da portare avanti e con molta probabilità, se non demordiamo (senza retroagire dopo i primi fallimenti), ce la faremo.

Ora la strada è tutta in salita, ma non possiamo mollare per il bene dei nostri figli, del nostro futuro e della nostra bella Italia.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.