Carenza di Talenti e CyberTrasformazione

Andrea_Tironi1 · 16 Dicembre 2017, 6:29pm

Ciao a tutti.

Si parla tantissimo di carenza di talenti nel mondo della CyberSecurity, una carenza che parla di milioni di posti di lavoro mancanti nei prossimi 2-3 anni.

Si parla anche tanto di come il mondo del lavoro stia evolvendo a velocità mai viste, quindi una persona che oggi è qualificata per un dato lavoro, potrebbe trovarsi a doversi reinvetare completamente magari tra 1 anno, forse 2.

Si parla un po’ meno di una prima generazione di informatici che rischiano di diventare “obsoleti”, ovvero di quelli non nativi digitali ma che hanno provato i primi cellulari con display verde che facevano solo da telefono, quelli che avevano come problema principale cambiare le testine della stampante o inserire dal lato giusto il floppy da 5 pollici e 1/4 (se non le schede perforate).

Io sono della seconda generazione, quella che ha visto i floppy da 3’1/4’’ e l’M24, l’amstrad e le cassette del commodore, che ha usato i cd come primo supporto riscrivibile ad altra capacità, ha visto la nascita dell’email e di internet consumer, ma che capisce chiaramente che il suo lavoro sta diventando vecchio a una velocità impressionante.

Per questi informatici di prima e seconda generazione, non sarebbe possibile prevedere un percorso di riconversione nei settori che richiedono competenze, tipo quello della cybersecurity? In fondo sono/siamo gente che era abituata a trovarsi una soluzione “da sola”, che sapeva leggere manuali, perchè al tempo google nemmeno esisteva … quindi hanno/abbiamo skill da smanettoni e da self-made technician oltre che skill attuali da nativi digitali, molti anche tanta voglia di reinventarsi, e potrebbero/potremmo essere molto utili nel settore della cybersicurezza.

Il tutto potrebbe poi avere un impatto interessante su welfare e sulla salute fisica e mentale di queste generazioni di informatici, che invece di diventare e sentirsi “obsoleti” potrebbero diventare nuove risorse in un settore in cui molti sono entrati per puro interesse e curiosità, perchè all’epoca della prima generazione e in parte della seconda fare l’informatico era una questione di passione e non di titolo di studio.

Cosa ne pensate di questa riflessione?

My 2 cents.

Andrea

PaxLex · 16 Dicembre 2017, 7:10pm

Penso che mi fai sentire vecchio… direi un dinosauro sdentato! Ti dirò, non mi sento obsoleto, ma forse solo un po’ stanco. La passione è stata il vero motore in questi 35 anni senza la quale mi sarei arenato, ha forgiato un mio dopo di lavorare: approfondire il problema a livello hardware e/o software, trovare su internet fonti (operazione non sempre così scontata) e poi testare eventuali soluzioni per risolvere il problema. Nella PA ti è richiesto essere un po’ un “tuttologo” che le nuove generazioni non sono così pronte a fare, tuttavia spero di sbagliarmi. La sicurezza è un punto importantissimo e non sempre è facile da applicare: un mio caro collega preferiva intervenire per qualsiasi cosa piuttosto di lasciare al collega la decisione, ma questo comportava un continuo correre e se le scale sono tante puoi ben immaginare. Io preferisco istruire, ma anche questo non sempre è facile a causa del poco tempo e istruire non è cosa così scontata.

robertob · 17 Dicembre 2017, 6:16am

Andrea si parla anche di “bolla cyber”. Secondo il mio modesto parere la parola cyber è diventata una buzzword ed una moda che presto si sgonfierà e rientrerà nella normalità delle cose. Del resto una risorsa che guarda tutto il giorno log di firewall o altro tool non lo chiamerei un esperto di cyber sicurezza. Ma adesso conviene farlo per vendere risorse a tutti, specialmente alla PA.

Le competenze in ambito security invece permettono anche a figure non tecniche di fregiarsi del titolo “cyber-qualchecosa” che fa sempre bene per il loro portafogli ma che a lungo andare, ed è quello che sta succedendo, fa diventare il settore una specie di mercato in cui c’è un chiacchiericcio generale che somiglia sempre di più ad un rumore inutile e anzi dannoso.

Quando si ha a che fare con materie tecniche, le competenze tecniche non sono un optional a mio avviso e quando comincio a vedere troppi giornalisti che diventano “attori” di un settore tecnologico, allora quello è il mio indice di allarme

La riconversione degli informatici per me è un controsenso, chi decide di fare questa professione sa che è costretto (ma dovrebbe essere anche un piacere…) ad aggiornarsi sempre, altrimenti è fuori. Poi è chiaro che con l’esperienza si maturano altri skill che un novizio non ha: capacità architetturali, problem solving, fiuto per le piattaforme ed i linguaggi giusti e le loro evoluzioni. Non si tratta solo di sviluppare questo o quello con la nuova libreria JS o il nuovo linguaggio funzionale che magari ha una inefficienza paurosa, ma fa fico. Si tratta di “far funzionare le cose”, che è una dote sempre più rara.

Aggiungo altri 2 cents

Andrea_Tironi1 · 17 Dicembre 2017, 8:36am

Concetto molto centrato tipico anche della finanza: quando anche la “casalinga di Voghera” parla di un argomento assolutamente tecnico (che sia cybersecurity o bitcoin) allora solitamente si è vicini alla fine della bolla. Non è matematico, ma sicuramente statistico.

Spero altri contribuiranno al dialogo che si sta rivelando molto interessante.

Andrea_Tironi1 · 17 Dicembre 2017, 2:51pm

Esempio: https://fbcodepath.splashthat.com/

PaxLex · 17 Dicembre 2017, 5:05pm

Condivido a pieno questo pensiero.

robertob · 18 Dicembre 2017, 6:23am

Ora, questo è tipico di Facebook che ovviamente rende qualsiasi corso di Sicurezza Informatica un evento molto cool. Comunque c’è una indubbia necessità di allineare un po’ tutti i professionisti informatici rispetto alle crescenti esigenze di Sicurezza Informatica.

In particolar modo la sicurezza del software è da almeno un decennio la bestia nera del settore, ma continuo a vedere scatolotti che girano e basta (Firewall, IDS, WAF, etc). Scrivere codice sicuro non è banale, richiede formazione, conoscenza, mettersi nei panni dell’attaccante e un necessario aggiornamento rispetto alle ultime tecnologie web (visto che il web ad oggi è praticamente la porta della maggior parte degli attacchi).

Ed è ovvio che se il time to market è stretto non è che puoi star lì a fare i ricamini sul codice. D’altra parte la continuità del servizio resta per un’azienda il primo requisito di sicurezza informatica da rispettare, cosa che alcune volte viene messa in discussione da approcci un po’ troppo entuasiastici rispetto a presunti scenari di insicurezza informatica dall’espertone di turno che si è preso una tra le tante certificazioni di sicurezza, con una esperienza di software engineering e di programmazione praticamente nulla. O per andare agli opposti, avere una dirigenza (che non è tipicamente composta da informatici) che è completamente avulsa da qualsiasi ragionamento di rischio (non di sicurezza informatica). Insomma se ci fossero farei piuttosto dei corsi di “buon senso”.

Però continuo a chiedermi: che Informatico sei se nel 2017 continui solo a scrivere il tuo bel programmino in Java (o peggio COBOL) e tralasci tutto il resto? E ne vedo, anche di molto giovani. Non ci scordiamo che l’Informatica è ancora la grande fonte a cui si abbeverano tante figure poco skillate e con titoli non di settore.

Siamo arrivati a 10 cents

Andrea_Tironi1 · 18 Dicembre 2017, 7:18am

Aggiungo 5 cents, non miei ma di un professionista molto serio che legge questo forum e mi ha consigliato questa lettura. La lettura mi sembra molto attinente a quanto indicato da @robertob

https://landing.google.com/sre/book.html

Andrea

pherm · 22 Dicembre 2017, 11:25am

LinK: da leggere

Non credo ai corsi che dall’oggi al domani ti promettono di diventare un esperto di sicurezza. E onestamente conosco veramente pochi professionisti che sappiano veramente operare sul campo, almeno in Italia. Perché di quello si tratta. Il resto è pavoneggiarsi agli occhi dei profani.

PaxLex · 22 Dicembre 2017, 7:08pm

Indubbiamente @pherm, ad un profano sembrerai un hacker solo perché usi Linux invece di Windows e, se può essere divertente, mi sono sentito dire anche che ero un nerd comunista. Vabbé, ci rido sopra… però mi domando quanti siano i pregiudizi nella nostra moderna società e non solo nell’informatica. Ho letto l’articolo e condivido il pensiero Simone AKA evilsocket: ragionare più che memorizzare e non si finisce mai di imparare. Però, a meno che non ti mettano in un angolo e ti tolgano ogni risorsa. A quel punto devi avere il coraggio di cambiare, di mollare il conosciuto per buttarti nello sconosciuto. Non sempre (diciamo mai?) è facile, ma è possibile ed è possibile rimboccandosi le maniche e iniziando, anche a 55 anni, da zero.

pherm · 22 Dicembre 2017, 7:29pm

sono d’accordo con te. Non c’è età per imparare. Il punto è (semmai) che passa il messaggio che qualche corso (dove ti passano teoria e libri) faccia di te un esperto di sicurezza. Programmare vuol dire in primis scrivere codice e risolvere bug e trovare soluzioni. Il programmatore è come l’artigiano, ma la legna la deve forgiare con le sue mani, sebbene ci siano utensili che ti semplifichino il compito (ma non esiste il tool che fa magie in automatico).

Lo scopo del mio intervento era questo. E sottolinea che se proprio si vuole fare questo lavoro per lo meno devi sapere come proteggere da un attacco un’azienda. Quindi se si vuole ambire a questa professionalità -mia opinione personale- devi essere uno che riesce a stare dentro un red team.