Tom Gol, Senior Product Manager, ritiene che la carenza di competenze nella sicurezza sia solo un depistaggio poiché la verità sarebbe da cercarsi altrove.
La “carenza di talenti” nel mondo della sicurezza è ormai un dato di fatto, sebbene oggi questa teoria potrebbe iniziare a vacillare “grazie” all’automazione.
Tale teoria, ampiamente diffusa, suggerisce che non esistano abbastanza professionisti qualificati. Il che porta a team sovraccarichi di lavoro, burnout e, cosa più significativa, a un rischio organizzativo persistente. La risposta predefinita spesso diventa un ciclo senza sosta di “acquistare più strumenti, ottimizzare gli strumenti esistenti e assumere più personale”. Una sequela che, oggi, appare sempre più insostenibile e inefficiente.
Cosa succederebbe se questa diffusa “carenza di persone” nell’ambito della sicurezza e della cybersecurity fosse in realtà un abile diversivo che distoglie la nostra attenzione da una questione più fondamentale? Ci siamo talmente abituati alla narrazione del deficit di persone che spesso trascuriamo una verità fondamentale. Ovvero che l’attuale tecnologia è già in grado di restringere in modo significativo questa mancanza.
Sicurezza informatica e carenza di automazione
La mia ferma convinzione è che il reale problema sottostante non sia una mancanza di talenti disponibili. Bensì una profonda e paralizzante carenza di un’automazione intelligente e di un contesto operativo concreto che impedisce ai professionisti di sicurezza informatica attuali di lavorare al massimo delle loro potenzialità.
C’è di più, avanzare sul lato tecnologico al momento presenta un ritorno sull’investimento nettamente migliore rispetto al semplice provare a risolvere il problema assumendo personale più qualificato. Colmando la carenza con una tecnologia più smart, la mancanza di talenti percepita si restringe.
Una diagnosi errata: quando più persone non è la risposta
Per troppo tempo la reazione istintiva nel settore della sicurezza informatica alla crescita delle minacce, è stata quella di investire maggiori risorse umane nel problema. La superficie d’attacco continua ancora la sua crescita senza sosta. Gli attori di minacce diventano più sofisticati. E i nostri SOC sono costantemente sommersi da una valanga di avvisi non filtrati. Questo crea un flusso di lavoro irrefrenabile che anche gli esperti di lunga data trovano impossibile da gestire in modo efficace. Spesso portando a burnout e, paradossalmente, a una perdita di talenti piuttosto che a una loro fidelizzazione.
Il problema non è la mancanza di menti brillanti che entrino nel settore. È che queste menti brillanti spesso si trovano impantanate in compiti monotoni e di basso valore. Sono costrette a operare in una fitta nebbia di informazioni incomplete. Setacciando costantemente il rumore di fondo. Quando i team di sicurezza non hanno chiarezza su quali siano esattamente gli asset di cui dispongono. Come questi asset siano collegati tra loro. Quale sia la loro reale criticità per l’azienda. E quali minacce siano realmente attive. Anche i professionisti più esperti fanno fatica. La loro efficacia diminuisce, non per una mancanza di competenze in merito. Ma per un’assenza fondamentale di visibilità e un supporto intelligente.
Automazione e IA: il vero moltiplicatore di forza per il talento umano
La vera mossa vincente contro la marea travolgente di minacce informatiche non è un’infinita attività di assunzioni. Ma un’applicazione intelligente di automazione e IA. Le discussioni più autorevoli del settore sottolineano sempre più che lo scopo dell’IA nella sicurezza informatica non è quello di sostituire completamente l’uomo. Si tratta di potenziare il nostro team esistente, trasformandolo in una forza molto più efficace. Questo approccio fondamentalmente permette alle organizzazioni di scalare la loro competenza. Così come di avere un impatto senza essere vincolati a un proporzionale aumento di personale.
Come si svolge la trasformazione
Liberare il capitale umano dalle attività ordinarie
Immaginiamo un’analista della sicurezza la cui giornata è consumata da ore di indagine manuale. Aggiornamento degli avvisi. Classificazione dei falsi positivi. Risposta a questionari di routine o laboriosa transizione dei ticket. Questi sono esattamente i tipi di compiti non umani, deterministici e altamente ripetitivi che si prestano perfettamente all’automazione intelligente. Gli agenti IA possono assumere fluidamente questo carico opprimente e liberare gli analisti. Loro così sono liberi di passare a un lavoro di più alto valore, creativo, basato sul giudizio e realmente strategico. Questo trasforma i team di sicurezza da esecutori di compiti reattivi a risolutori di problemi proattivi. Le prospettive indicano che nei prossimi anni le attività SOC comuni potrebbero diventare significativamente più efficienti in termini di costi grazie all’automazione. Un cambiamento questo che non riguarda meramente il risparmio economico. Ma si tratta di amplificare il potenziale umano.
Potenziare la produttività e l’esperienza in sicurezza
L’IA moderna, in particolare l’IA multi-agente e IA generativa, può offrire proattivamente suggerimenti intelligenti su configurazioni. Predire le cause alla radice di problemi complessi. E integrarsi in modo fluido con framework automatizzati esistenti. Questo permette ai professionisti che lavorano nella sicurezza di rendere il loro lavoro non solo più efficiente. Ma anche più coinvolgente e meno soggetto a mansioni ripetitive.
Il potere indispensabile del contesto: Abbassa il “livello di competenza”
L’automazione consente di gestire il carico operativo, ma è il contesto a offrire la chiarezza fondamentale che riduce il bisogno di expertise costante e approfondita in ogni circostanza. Quando i professionisti della sicurezza hanno un contesto immediato, ricco e utilizzabile su una vulnerabilità o una minaccia emergente, il percorso verso una organizzazione delle priorità e azioni decisive, diventa notevolmente più chiaro.
Consideriamo la differenza significativa che porta questo contesto:
- Contesto degli asset: Non solo sapere che esiste una vulnerabilità, ma sapere con precisione su quale dispositivo specifico risiede: si tratta di un server di produzione critico o di una macchina di prova isolata e obsoleta?
- Contesto applicativo aziendale: Comprensione della funzione aziendale esatta associata a tale asset e dell’impatto finanziario o operativo tangibile in caso di compromissione.
- Contesto di rete: Visualizzazione delle complesse connessioni di rete dell’asset, del suo preciso livello di esposizione e di ogni potenziale percorso che un aggressore potrebbe intraprendere per il movimento laterale.
- Contesto dei controlli compensativi: Avere un quadro chiaro e in tempo reale dei controlli di sicurezza esistenti (come la segmentazione della rete, gli EDR o gli Intrusion Prevention Systems) che sono effettivamente operativie in grado di mitigare il rischio legato alla vulnerabilità.
- Contesto della Threat Intelligence: Avere una intelligence in tempo reale degli “exploit attivi” che non solo teorizza ma indica se una vulnerabilità è già sfruttata attivamente sul campo o se fa parte di una campagna di attacco nota rivolta al proprio settore.
Il livello di competenza
Grazie a questo contesto dettagliato e multidimensionale, è possibile automatizzare una parte significativa del carico di lavoro relativo alla gestione dell’esposizione. Fondamentalmente, per le attività che richiedono ancora l’intervento umano, il “livello di competenza” richiesto è notevolmente ridotto. La mia opinione è che nella grande maggioranza dei casi, forse nel 90% degli scenari, un professionista della sicurezza che non sia un veterano con 20 anni di esperienza possa comunque prendere decisioni incredibilmente efficaci. Così come migliorare in modo significativo la postura di un’organizzazione nel panorama informatico. Questo perché ha davanti un contesto chiaro e concreto che guida in modo naturale la definizione delle priorità e raccomanda persino azioni precise. Il risultato? Una drastica riduzione del rumore degli alert. Tempi di rilevamento e risposta più veloci. E un alleggerimento tangibile del carico di lavoro dell’intero team di sicurezza.
L’elemento umano: evoluzione delle competenze e burnout
Questo potente spostamento verso l’automazione e l’intelligenza artificiale solleva automaticamente domande legittime sull’erosione delle competenze. Alcuni esperti sottolineano con prudenza un rischio concreto. Una parte significativa dei team SOC potrebbe subire un regresso nelle competenze di analisi di base a causa di un eccessivo affidamento all’automazione. Questo sottolinea una verità fondamentale. Ovvero che dobbiamo mantenere le persone saldamente nel loop. Per i SOC altamente autonomi, si raccomanda un approccio “human-on-the-loop”. Riservando l’intervento umano a casi limite complessi ed eccezioni critiche.
I CISO devono affrontare un ruolo in continua evoluzione
- Competenze per il futuro: Non si tratta più di ricoprire ruoli tradizionali, ma di sviluppare nuove competenze come il prompt engineering, la supervisione avanzata dell’IA, il pensiero critico avanzato e la capacità strategica di risolvere problemi.
- Combattere il burnout: Oltre agli strumenti, una retention efficace dei talenti richiede misure proattive per affrontare il burnout. Questo include un monitoraggio intelligente del carico di lavoro, una delega intelligente dei compiti e iniziative concrete per il benessere. L’obiettivo finale non è solo quello di riempire i posti vacanti, ma anche di garantire che le persone che li occupano siano efficaci, sostenibili e con prospettive di crescita.
Una nuova mentalità per i CISO
La continua discussione sulla carenza di talenti dovrebbe spingere i CISO ad adottare una mentalità completamente nuova. Invece di focalizzarsi solo sulla riduzione dei costi o sul perenne sforzo di ricerca di persone, devono evolvere in “Chief Innovation Security Officers”. Questo significa essere coraggiosi e ripensare come il lavoro è fatto. Sfruttando l’IA e l’automazione non solo come strumenti tattici. Ma come abilitatori strategici per incrementare le capacità di sicurezza informatica e liberare tutto il potenziale dei talenti esistenti. Questo investimento strategico in tecnologia, guidato da una comprensione del contesto, offre un ritorno sull’investimento superiore nel colmare il “divario” della sicurezza informatica rispetto allo sforzo sempre più inutile del semplice assumere più personale.
La creazione di solidi framework di governance dell’IA e il raggiungimento di una visibilità cristallina sulle implementazioni esistenti dell’IA e sul debito tecnico sono passi fondamentali. In definitiva, risolvere il deficit percepito di talenti non significa assumere all’infinito più persone in un sistema insostenibile. Si tratta piuttosto di valorizzare i talenti che già abbiamo. Rendendoli più efficienti, concreti e concentrati strategicamente. Ciò può avvenire attraverso l’applicazione intelligente di automazione e di un contesto senza pari. È il momento di smettere di inseguire una carenza inesistente e iniziare veramente a dare valore alle capacità dei nostri difensori digitali.
