Ma lo skill gap nella cybersecurity è un problema di sistema Paese
Per molti lavori ICT e specialmente per molti lavori nell’ambito cyber security, non solo non esistono percorsi formativi universitari, ma nemmeno percorsi di formazione intensiva. Un esempio è la professione del “penetration tester”: chi si occupa di verificare la sicurezza dei sistemi tentando di violarli
20 Aprile 2016
Stefano Zanero, Politecnico di Milano
Il cosiddetto “skill gap” è un tema ricorrente di tutti i convegni e gli incontri del settore ICT, ed in particolare del settore della sicurezza informatica. Aziende grandi e piccole lamentano di non trovare le figure professionali necessarie, o che non sono fornite delle competenze richieste. Il problema, diciamolo subito, è reale, e tutte le statistiche a livello italiano, europeo e mondiale concordano: vi sono molte più posizioni lavorative nel mondo della cyber security e dell’ICT in generale delle persone qualificate per ricoprirle.
Tuttavia, godendo (o soffrendo) di un duplice punto di vista sul settore, come fondatore in passato di un’azienda (di nicchia, ma rilevante nel suo settore) e come docente universitario (inserito tra l’altro in una delle università che costantemente si rapportano con le aziende in cerca di personale da inserire), vedo almeno due dinamiche peggiorative nel mondo italiano rispetto allo scenario globale.
La prima è relativa alla formazione. Le aziende si aspettano (e in parte hanno ragione, ovviamente) che l’università provveda alla formazione degli specialisti da immettere sul mercato. Le università italiane, ammettiamolo, possono migliorare molto sotto questo punto di vista, incrementando le componenti pratiche e favorendo gli stage o le tesi in azienda. Ma (e qui casca l’asino) da docente mi rendo anche conto che spesso queste esperienze non sono molto formative: le aziende si aspettano che lo stagista sia già pronto a buttarsi nella mischia, o a produrre del lavoro ingegneristico e di ricerca da solo. Manca, in altre parole, un processo formativo simmetrico per il personale all’interno di molte aziende. Da qui l’attesa (insostenibile e delusa) di personale già formato.
Parliamoci chiaro: per molti lavori ICT e specialmente per molti lavori nell’ambito cyber security, non solo non esistono percorsi formativi universitari (ma non solo in Italia: non sono fattibili in generale), ma nemmeno percorsi di formazione intensiva. Un esempio è la professione del “penetration tester”, della persona cioè che si occupa di verificare la sicurezza dei sistemi tentando di violarli. Molte di queste professioni richiedono un vero e proprio apprendistato, che solo le imprese possono fornire (ovviamente, di concerto con l’università per quanto riguarda la formazione base).
Allo stesso modo, il personale deve essere costantemente qualificato, messo in condizione di confrontarsi con le migliori pratiche e di avere una rete di rapporti internazionali. Quante aziende italiane consentono ad esempio ai dipendenti di scegliere eventi formativi a pagamento o conferenze internazionali? Io le conto sulle dita di una mano. Non è un caso che nel nostro paese gli eventi formativi a pagamento siano solo corsi (spesso di qualità discutibile) e quasi mai conferenze. L’aspettativa è che le conferenze e i convegni siano gratuiti, senza realizzare che la conferenza gratuita è necessariamente solo un contenitore per veicolare messaggi di mercato, o quasi.
Questo ci conduce alla seconda dinamica, che è quella della fidelizzazione del personale migliore e del suo sviluppo di carriera. Basta fare un rapido giro sulle bacheche dei gruppi facebook di italiani emigrati all’estero per vedere che nella fascia “alta” intellettuale dell’emigrazione, l’insoddisfazione per lo sviluppo della propria carriera e per l’uso delle proprie capacità è il tema dominante. Una volta che una professionalità alta si è formata (passando tra le forche caudine del sistema universitario e del difficile ingresso nel mondo del lavoro, e guadagnandosi i “galloni” sul campo mediante un apprendistato serio, come dicevamo poc’anzi), ragion vorrebbe che il sistema paese giocasse il suo meglio nel trattenerla e nell’utilizzarla nei contesti corretti, all’interno del sistema imprenditoriale piuttosto che all’interno dei ruoli tecnici delle P.A.
Questo non avviene a causa di una serie di dinamiche di sistema: da un lato, gli ingaggi costantemente al massimo ribasso su tutto il settore ICT, nonché la catena di subfornitura che è endemica al nostro sistema paese, comprimono i salari a livelli completamente incomparabili non dico con gli Stati Uniti d’America, ma anche con i nostri vicini e dirimpettai, dalla Francia alla Svizzera. Ovviamente questo richiede un costante impegno di manodopera junior (e contemporaneamente “spezza” la possibilità del salutare apprendistato di cui lamentavamo la mancanza). Dall’altro, la P.A. si trova costretta ad assumere per concorso, con ritmi irregolari e senza la possibilità di riqualificare i dipendenti già assunti; peraltro, fatte salve poche eccezioni, la P.A. non riesce a competere nemmeno con i (già magri) salari del settore privato.
Il risultato è un costante, doloroso esodo delle risorse più qualificate (non tutte, ma non si può chiedere a chiunque di fare l’eroe a scapito delle proprie condizioni di vita e di lavoro) verso mercati più attraenti, e una simmetrica impossibilità di attrarre i migliori talenti dall’estero (o di attrarre di nuovo gli italiani che desiderassero rientrare).
Pertanto è poco lungimirante affrontare il problema dello “skill gap” solo come un problema di offerta di personale qualificato (problema che esiste), se prima non si cerca di affrontare almeno in parte il problema sistemico del trattenere le risorse già formate e con esperienza. L’unico risultato sarebbe quello di affrontare dei costi certi, per regalare poi formazione ed esperienza a paesi terzi (cosa che facciamo in molti campi, in primis nell’università dove formiamo personale di ricerca qualificatissimo per “regalarlo” a tutti i paesi concorrenti).