La dimenticata Professione Security

Roma – Quanto accaduto nei giorni scorsi lo ha dimostrato una volta per tutte: inutile riempirsi la bocca del termine “Security” se poi non si investe sulla professionalità degli esperti del campo. Che non bastino un software e un paio di click per garantirsi da ogni pericolo l'hanno imparato ormai persino i manager di quelle corporation che hanno passato gli ultimi quattro giorni a chiedersi come mai i server colpiti da SQL Slammer non erano stati patchati in tempo utile.

Quello che continua a mancare, e non certo solo nell'Italia facilona, è l'investimento in una cultura informatica che abbia almeno l'ambizione di poter abbracciare la materia nel suo complesso. Di fronte al marasma causato dal worm, non è proditorio affermare che se si investisse di più non solo nel personale specializzato ma proprio nel training, nell'ottenimento degli skill necessari, nella cultura della Security (e non genericamente “Sicurezza”), non avremmo subìto rallentamenti della rete o addirittura il blocco di interi servizi.

Lo scenario è composito: è quello, per fare un esempio, di un mercato nel quale si muovono con acuta intelligenza numerosi soggetti, che offrono alle aziende di ogni dimensione servizi specializzati, in outsourcing. Con brillanti operazioni di marketing e puntando sulla molla salvifica dell'abbattimento dei costi, queste imprese riescono a farsi affidare la Security, spesso senza essere in grado di offrire vere garanzie. A cominciare dal personale, spesso sottopagato e non messo in condizione di costruire una vera professionalità.
Un quadro desolante che dovrebbe spingere molti a rivedere certe politiche di outsourcing, quando spesso e volentieri le uniche risorse capaci di comprendere fino in fondo non solo le dinamiche di sicurezza dei sistemi ma anche il loro rilievo nell'ambito produttivo sono risorse interne.

Nonostante eccezioni di rilievo, persino le società specializzate soffrono di una diffusa carenza di professionalità, quello “skill shortage” che non riguarda più soltanto l'assenza di “teste specializzate” come si diceva un tempo, ma soprattutto l'assenza di percorsi formativi capaci di offrire risposte concrete e complessive a problemi reali e vasti. Nel paradossale fluire del mercato questa carenza è dimenticata e sotterrata dallo svolazzare di foglietti intestati che parlano di diritti e garanzie e non certo di tutti gli aspetti tecnici.

Ma, come dicevamo, è solo un esempio. Scuole, università, enti di formazione, istituti privati: sono molte le strade della formazione nella Security ma è chiarissimo che c'è un baratro sostanziale tra gli obiettivi formativi e le reali esigenze che emergono sul campo con urgenza sempre più devastante.

Inutile nascondersi che tutto ciò accade perché di Security in mezzo mondo si parla tanto ma ci si investe sopra poco o pochissimo. A partire, e lo dimostrano gli ultimi giorni, da quelli che sulle proprie spalle hanno importanti responsabilità non solo verso la propria produttività ed efficienza ma anche verso il pubblico.

Lo “Skill Sicurezza” è, di fatto, negato. Ed è perlopiù negato lo sviluppo di un ambiente creativo che sappia innovare e rinnovare le idee, la formazione, la cultura informatica. Con l'unica eccezione di rare e preziose iniziative dal basso che fanno forza su quel poco di consapevolezza che trasversalmente nel mondo informatico contrasta il moto inerziale che tutto soffoca.

Una realtà che viene celata dall'imbellettamento di certo marketing facilone eppure di grande appeal, che non rispecchia in alcun modo le necessità crescenti di un sistema economico e sociale che già oggi poggia le propria fondamenta sulla tecnologia e lo farà sempre più. Dovrebbe bastare questo a far rizzare le orecchie, mettere mano al portafogli e guardare almeno un po' più in là del proprio naso.

Paolo De Andreis
Stefano Tagliaferri