In futuro, su cosa si focalizzeranno le minacce alla sicurezza delle informazioni e che strada seguiranno le tecnologie? E in che modo queste tendenze influiranno sui ruoli e sulle assunzioni del personale nel settore IT o nell'organizzazioni IT che si occupano di sicurezza? Se gli esperti presenti al Gartner Information Security Summit ci hanno visto giusto, nei mesi a venire i ruoli nell'ambito della sicurezza IT dovrebbero riguardare meno le tecnologie e di più la strategia di gestione dei rischi. Ma potrebbe anche accadere che lo scenario diventi così complesso da comportare un cambiamento radicale indipendentemente dalla direzione presa.
Secondo l'opinione dei più competenti in materia di tecnologia, la maggior parte degli sforzi saranno focalizzati su fronte dell'evoluzione tecnologica e dei servizi volti a tutelare l'impresa, mentre la domanda di professionalità di basso livello sarà soddisfatta soprattutto dai mercati orientali dove i costi di manodopera sono più limitati.
In diversi di keynote, gli speaker hanno sottolineato un preciso aspetto: ai professionisti IT della sicurezza sempre più verrà chiesto di agire in qualità di consulenti di alto livello nella gestione delle strategie di risk management.
"Siete in grado di riportare al senior management l'attuale posizione della vostra organizzazione nei confronti del rischio globale, almeno in ambito IT? Preparatevi, perché vi verrà chiesto di farlo", ha sostenuto l'analista di Gartner Christian Byrnes.
Se i tecnici della sicurezza vogliono vedere incrementate le loro opportunità, ha detto Byrnes, avranno bisogno di padroneggiare discipline quli la gestione dei rischi, la gestione delle relazioni e la gestione dei processi.
Capire il business - il mantra per gli aspiranti CIO - è oggi un prerequisito anche per i CSO (Chief Security Officer). I responsabili della sicurezza hanno bisogno di crearsi competenze nell'ambito della comunicazione scritta e orale, per tradurre i rischi collegati alle informazioni in imperativi che la gestione aziendale può comprendere e affrontare.
Gli scenari
Nel futuro delineato da Byrnes, il tasso di minacce che richiedono nuove tecnologie per il loro rilevamento e la loro prevenzione diminuirà entro il 2013, portando a una riduzione complessiva della domanda di personale tecnico di sicurezza entro il 2016.
"Questo cosa vuol dire? Anzitutto un aumento della domanda di personale con un livello di conoscenza superficiale di tecnologia della sicurezza, e forse anche una generale diminuzione della necessità di conoscenze tecnologiche approfondite per molte delle tecnologie attualmente esistenti - ha aggiunto Byrnes -. La maggiore crescita della domanda di personale tecnologico si avrà sul versante dell'outsourcing, nei paesi con i salari più contenuti".
Come descritto dall'analista di Gartner John Pescatore, un secondo scenario che si potrebbe prospettare per il 2016 è che le minacce alla sicurezza abbiano quantomeno lo stesso livello di complessità attuale.
In un simile panorama, saranno gli utenti interni a far correre alle aziende i maggiori rischi, soprattutto in virtù della difficoltà di controllare le tecnologie, a partire dal cloud computing per arrivare al crowdsourcing, e questo renderà le imprese molto vulnerabili ad attacchi o a manipolazioni. A fronte di questa situazione, sarà necessario stabilire nuove regole che consentano ai professionisti della sicurezza di vivere sonni tranquilli in relazione al proprio posto di lavoro.
Ma anche in una situazione come quella delineata da questo secondo scenario, ha sottolineato Pescatore, è destinato a cambiare radicalmente il modo in cui chi si occupa di sicurezza delle informazioni svolge la propria attività.
I ruoli dell'information security che stanno scomparendo
In conclusione, quali ruoli all'interno dell'information security rimarranno e quali invece potrebbero scomparire? Secondo l'opinione di Pescatore, molte delle attuali posizioni verranno demandate in outsourcing, o quantomeno riviste in modo da ottimizzare il livello di integrazione tra l'IT e i processi di business. Chi oggi si occupa di ricercare le vulnerabilità nel 2016 sarà sostituito dalla nuova Vulnerability as a Service.
Gli esperti di firewall e di intrusion prevention saranno sostituiti dal Communications Search Manager, che avrà la responsabilità di rendere sicure tutte le comunicazioni aziendali, e non solo la rete che connette i computer.
Al posto dello staff di Event monitoring si avrà l'Incident Reporting as a Service. I penetration test diventeranno parte del processo di test per la sicurezza del business e l'attuale classificazione dei dati sarà soppiantata da un monitoraggio più accurato dei dati sensibili, che diventerà un passaggio obbligato per le aziende. La richiesta di architetti delle sicurezza raggiungerà il picco massimo nel 2015, quando questo ruolo diventerà parte dei team architetturali aziendali.
Ben Greenberg, ingegnere della sicurezza presso la società Hogan & Hartson LLP ha espresso un certo disappunto nei confronti della direzione che sta prendendo la sua professione.
"Io sono un geek e lo sarò sempre - ha dichiarato Greenberg -. Però è evidente il trend che impone al mio ruolo di diventare sempre più un manager e meno un ingegnere. Il lavoro pratico del tecnico di sicurezza ha lasciato il posto alla ricerca di soluzioni e al dire agli altri cosa fare".
A suffragio della sua affermazione, Greenberg ha portato un esempio: il suo team ha fatto un'analisi per identificare i sistemi necessari alla prevenzione delle intrusioni per due dozzine di uffici dell'azienda, però l'implementazione di tale sistema è previsto che sia affidata all'esterno, a un provider di managed security.
