Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informatica
Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi la metà dei casi rappresentato da vulnerabilità potenzialmente critiche.
L’integrazione di pratiche di codifica sicure fin dall’inizio del processo di sviluppo del software è fondamentale per garantire l’individuazione e la risoluzione tempestiva delle falle. Questa necessità di misure proattive di secure-by-design per salvaguardare le aziende e le comunità da costosi disservizi, è evidenziata anche da recenti eclatanti incidenti, come quelli del Connect Secure di Ivanti e della libreria open-source XZ Utils.
Difendersi dai criminali informatici
Sebbene l’Agenzia per la Cybersicurezza Nazionale (ACN) stia spingendo le aziende ad aderire ai principi di secure-by-design, che rappresentano un positivo avanzamento verso la difesa dagli attacchi informatici, il sistema universitario italiano sembra essere ancora in ritardo nell’adeguare la formazione a queste nuove esigenze. Gli studenti, futuri sviluppatori, si formano in contesti dove la programmazione sicura è spesso trascurata, se non addirittura ignorata, evidenziando una preoccupante lacuna nella preparazione delle nuove generazioni di professionisti informatici.
Nonostante negli ultimi anni siano state sollevate diverse istanze per dare maggiore rilevanza alla cybersecurity nei corsi di laurea in informatica, la questione continua a essere relegata in secondo piano.
Come evidenziato nel recente report dell’ACN, la formazione di una forza lavoro qualificata in ambito di sicurezza informatica rappresenta una priorità strategica per il Paese. Nonostante alcune iniziative promettenti, come il protocollo firmato tra ACN e l’Università Bocconi, la cybersecurity rimane spesso una materia opzionale nei percorsi di studio. Questo scenario rischia di creare un gap tra le competenze richieste dal mercato del lavoro e quelle effettivamente possedute dai neolaureati, rendendo il sistema-Paese più vulnerabile agli attacchi informatici.
Di conseguenza, è giunto il momento di attivarsi seriamente per quanto riguarda l’insegnamento delle pratiche di secure-by-design. Le università devono affrontare la realtà del mondo informatico e dotare la prossima generazione di sviluppatori di software delle competenze essenziali per ridurre al minimo le vulnerabilità sfruttabili da potenziali attori delle minacce.
È fondamentale poter puntare su un coding sicuro
Le lacune tra ciò che il mondo accademico insegna e ciò che il settore richiede non sono insolite, ma di solito non rappresentano un problema poiché i neolaureati apprendono le competenze mancanti direttamente sul posto di lavoro. Nel campo dell’informatica, tuttavia, non è sempre così. Gli studenti che si affacciano al mondo del lavoro spesso risultano essere impreparati a scrivere codice sicuro e quindi contribuiscono al problema, lasciando il software esposto ad attacchi o malfunzionamenti.
Alimentati dall’apprendimento automatico e dall’AI, gli incidenti informatici stanno rapidamente diventando più sofisticati, oltre che più frequenti. Il problema si aggrava esponenzialmente quando la codifica assistita dall’AI (anche se non sicura) si diffonde nei programmi di informatica. Le ricerche suggeriscono che il codice sviluppato dall’intelligenza artificiale contiene la stessa percentuale di difetti del codice generato dagli esseri umani. Altre ricerche rivelano che, in più di un terzo dei casi, i programmatori non riescono a identificare codice AI non corretto.
Secondo il CISA, gli attacchi spesso sfruttano semplici punti deboli che qualsiasi sviluppatore con conoscenze di base sulla sicurezza potrebbe evitare attraverso una codifica più sicura. In questo senso, sarebbe fondamentale il ruolo delle università nel sottolineare nei propri corsi l’importanza di uno sviluppo software strettamente integrato con la sicurezza fin dall’inizio. Dotando gli studenti di strumenti per la sicurezza delle applicazioni (AppSec) comunemente utilizzati nelle aziende, li si aiuterà a capire come codificare in modo sicuro, insegnando loro che questo processo non deve essere eccessivamente difficile o dispendioso in termini di tempo.
Mettere strumenti AppSec a disposizione delle aule scolastiche e universitarie
Diversi fattori contribuiscono all’assenza di una formazione in materia, ma quello più evidente è che alcuni docenti semplicemente non conoscono a sufficienza il settore della sicurezza. Questo porta a un divario tra università e industria, che continua a crescere a causa della costante evoluzione della supply chain di strumenti per lo sviluppo del software. Il mondo accademico fatica a tenere il passo e gli studenti si perdono in questa situazione, lasciandosi sfuggire l’opportunità di apprendere competenze cruciali, oltre che molte richieste.
Gli sviluppatori devono acquisire le nozioni di base su come i vettori di attacco mettono a rischio le applicazioni. Ciò implica concetti specifici che mancano nei programmi di studio di informatica. Per questo, i moduli di formazione incentrati sulla codifica sicura e sui principi dell’AppSec devono diventare un prerequisito di qualsiasi corso.
Un esempio di integrazione della codifica sicura nei corsi si può osservare alla Tufts University, nel Massachusetts. Ming Chow, professore associato presso il Dipartimento di Informatica, utilizza la tecnologia AppSec come strumento didattico per insegnare agli studenti a conoscere la codifica sicura e a trovare e correggere le falle.
Nel suo corso di “Introduction to Security”, ad esempio, Chow fornisce agli studenti un codice sorgente da analizzare manualmente per individuare eventuali vulnerabilità e creare un elenco di rischi tecnici. Gli studenti utilizzano poi uno strumento leader del settore che automatizza l’analisi e documenta le falle che non hanno notato con i test manuali. Rimangono sempre meravigliati dal numero di vulnerabilità che l’analisi automatizzata riesce a individuare.
Inoltre, utilizza la tecnologia AppSec per far redigere agli studenti un report sui difetti e le vulnerabilità dopo il loro progetto finale. Oltre ad apprendere preziose competenze di cybersecurity, gli studenti rispondono con grande entusiasmo all’opportunità di imparare a codificare in modo sicuro.
Conclusione
La mancanza di una formazione sulla codifica sicura nei programmi di informatica è una problematica costante. Ad oggi, purtroppo, il problema è diventato critico a causa di attacchi sempre più sofisticati e potenziati dalle tecnologie di intelligenza artificiale e di apprendimento automatico. Nel frattempo, le organizzazioni hanno incrementato in modo esponenziale la loro produzione di codice software, spesso con il supporto dell’AI.
La software security deve essere avviata all’inizio del ciclo di vita dello sviluppo del software, con programmatori che abbiano una conoscenza di base delle pratiche di secure-by-design. Questo requisito comprende anche i neolaureati che entrano nel mondo del lavoro.
Il mondo accademico deve porre una forte enfasi sulla codifica sicura e sui principi di sicurezza delle applicazioni come elemento centrale dei curricula informatici. Insegnare alla prossima generazione di sviluppatori di software come scrivere codice sicuro permetterà alle organizzazioni di gestire meglio i propri profili di rischio.
A cura di Massimo Tripodi, Country Manager Italia di Veracode
Contenuti correlati
-
Black-out digitale: le fabbriche italiane nel mirino dei criminali informatici?
Consideriamo uno scenario plausibile: un attacco ransomware compromette i sistemi OT di un’azienda manifatturiera, crittografando i sistemi di controllo di robot e macchine utensili. L’impatto? Linee di produzione bloccate, interruzione delle attività e richieste di riscatto milionarie....
-
Ransomware, Kaspersky registra +20% di attacchi ai sistemi industriali
Kaspersky ha pubblicato il report Q2 2024 sulla cybersecurity degli Industrial Control Systems (ICS), rivelando un aumento del 20% degli attacchi ransomware rispetto al trimestre precedente. Il report sottolinea la crescente minaccia ai settori delle infrastrutture critiche...
-
Nuovo firewall industriale SNi10 da Stormshield per la tutela delle infrastrutture OT
Stormshield, esperto europeo nel mercato della cybersecurity, annuncia il suo nuovo firewall SNi10. Questo nuovo dispositivo completa la famiglia delle soluzioni Stormshield ad alte prestazioni per la tutela delle infrastrutture OT e risponde alle specifiche esigenze di...
-
L’impatto dell’apprendimento pratico con norelem Academy
Nell’ultimo decennio, i settori manifatturiero e ingegneristico si sono evoluti rapidamente e i recenti progressi tecnologici hanno rappresentato un’interessante opportunità per colmare il divario di competenze del settore. Con l’evoluzione della tecnologia, cambiano anche le competenze fondamentali...
-
Sicurezza informatica: Clusit sottolinea l’importanza di dotarsi di piattaforme sicure e trasparenti
Clusit, l’Associazione Italiana per la Sicurezza Informatica, ritiene che incidenti come quello recentemente accaduto relativamente all’inibizione dell’accesso alla Content Delivery Network di Google causato da un ticket caricato su Piracy Shield il 19 ottobre scorso debbano far...
-
Formazione e skill: l’oro delle aziende secondo FasThink
Se Industria 4.0 ha avuto come punto cardine l’automazione e l’interconnessione tra le macchine, con l’avvento di 5.0 siamo vedendo il focus spostarsi sulla collaborazione uomo-robot, che va a completare e ampliare i concetti della quarta rivoluzione...
-
Security Summit, in 200 a Verona per fare il punto sulla cybersecurity
Si è conclusa con successo la 13a edizione di Security Summit Verona, il convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, con Astrea, agenzia di comunicazione ed eventi specializzata nel settore della sicurezza informatica: oltre 200...
-
Servizio ai clienti in un podcast nella proposta di automazione Turck Banner
Turck Banner Italia ha avviato una nuova iniziativa per coinvolgere i propri clienti con una modalità in cui il contenuto tecnico si integra in una forma di comunicazione diretta come una telefonata di lavoro, ma trasposta in...
-
Soluzioni di automazione su misura Keba in SPS 2024
Keba Industrial Automation sarà presente SPS 2024 di Norimberga (Pad. 7, Stand 470) dove punterà su soluzioni integrate, digitalizzazione e intelligenza artificiale. La versatilità del portfolio prodotti si riflette in Kemro X, la piattaforma aperta e flessibile...
-
La cybersecurity Cisco entra nell’ospedale Santobono Pausilipon di Napoli
La cybersecurity di Cisco entra nell’Azienda Ospedaliera di Rilievo Nazionale Santobono Pausilipon (AORN), unica Azienda Ospedaliera pediatrica del Sud Italia, nonché uno dei principali poli nazionali di riferimento nell’assistenza per infanti, sia nel settore dell’emergenza-urgenza che dell’alta...