Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informatica

Pubblicato il 31 ottobre 2024

Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi la metà dei casi rappresentato da vulnerabilità potenzialmente critiche.

L’integrazione di pratiche di codifica sicure fin dall’inizio del processo di sviluppo del software è fondamentale per garantire l’individuazione e la risoluzione tempestiva delle falle. Questa necessità di misure proattive di secure-by-design per salvaguardare le aziende e le comunità da costosi disservizi, è evidenziata anche da recenti eclatanti incidenti, come quelli del Connect Secure di Ivanti e della libreria open-source XZ Utils.

Difendersi dai criminali informatici

Sebbene l’Agenzia per la Cybersicurezza Nazionale (ACN) stia spingendo le aziende ad aderire ai principi di secure-by-design, che rappresentano un positivo avanzamento verso la difesa dagli attacchi informatici, il sistema universitario italiano sembra essere ancora in ritardo nell’adeguare la formazione a queste nuove esigenze. Gli studenti, futuri sviluppatori, si formano in contesti dove la programmazione sicura è spesso trascurata, se non addirittura ignorata, evidenziando una preoccupante lacuna nella preparazione delle nuove generazioni di professionisti informatici.

Nonostante negli ultimi anni siano state sollevate diverse istanze per dare maggiore rilevanza alla cybersecurity nei corsi di laurea in informatica, la questione continua a essere relegata in secondo piano.

Come evidenziato nel recente report dell’ACN, la formazione di una forza lavoro qualificata in ambito di sicurezza informatica rappresenta una priorità strategica per il Paese. Nonostante alcune iniziative promettenti, come il protocollo firmato tra ACN e l’Università Bocconi, la cybersecurity rimane spesso una materia opzionale nei percorsi di studio. Questo scenario rischia di creare un gap tra le competenze richieste dal mercato del lavoro e quelle effettivamente possedute dai neolaureati, rendendo il sistema-Paese più vulnerabile agli attacchi informatici.

Di conseguenza, è giunto il momento di attivarsi seriamente per quanto riguarda l’insegnamento delle pratiche di secure-by-design. Le università devono affrontare la realtà del mondo informatico e dotare la prossima generazione di sviluppatori di software delle competenze essenziali per ridurre al minimo le vulnerabilità sfruttabili da potenziali attori delle minacce.

È fondamentale poter puntare su un coding sicuro

Le lacune tra ciò che il mondo accademico insegna e ciò che il settore richiede non sono insolite, ma di solito non rappresentano un problema poiché i neolaureati apprendono le competenze mancanti direttamente sul posto di lavoro. Nel campo dell’informatica, tuttavia, non è sempre così. Gli studenti che si affacciano al mondo del lavoro spesso risultano essere impreparati a scrivere codice sicuro e quindi contribuiscono al problema, lasciando il software esposto ad attacchi o malfunzionamenti.

Alimentati dall’apprendimento automatico e dall’AI, gli incidenti informatici stanno rapidamente diventando più sofisticati, oltre che più frequenti. Il problema si aggrava esponenzialmente quando la codifica assistita dall’AI (anche se non sicura) si diffonde nei programmi di informatica. Le ricerche suggeriscono che il codice sviluppato dall’intelligenza artificiale contiene la stessa percentuale di difetti del codice generato dagli esseri umani. Altre ricerche rivelano che, in più di un terzo dei casi, i programmatori non riescono a identificare codice AI non corretto.

Secondo il CISA, gli attacchi spesso sfruttano semplici punti deboli che qualsiasi sviluppatore con conoscenze di base sulla sicurezza potrebbe evitare attraverso una codifica più sicura. In questo senso, sarebbe fondamentale il ruolo delle università nel sottolineare nei propri corsi l’importanza di uno sviluppo software strettamente integrato con la sicurezza fin dall’inizio. Dotando gli studenti di strumenti per la sicurezza delle applicazioni (AppSec) comunemente utilizzati nelle aziende, li si aiuterà a capire come codificare in modo sicuro, insegnando loro che questo processo non deve essere eccessivamente difficile o dispendioso in termini di tempo.

Mettere strumenti AppSec a disposizione delle aule scolastiche e universitarie

Diversi fattori contribuiscono all’assenza di una formazione in materia, ma quello più evidente è che alcuni docenti semplicemente non conoscono a sufficienza il settore della sicurezza. Questo porta a un divario tra università e industria, che continua a crescere a causa della costante evoluzione della supply chain di strumenti per lo sviluppo del software. Il mondo accademico fatica a tenere il passo e gli studenti si perdono in questa situazione, lasciandosi sfuggire l’opportunità di apprendere competenze cruciali, oltre che molte richieste.

Gli sviluppatori devono acquisire le nozioni di base su come i vettori di attacco mettono a rischio le applicazioni. Ciò implica concetti specifici che mancano nei programmi di studio di informatica. Per questo, i moduli di formazione incentrati sulla codifica sicura e sui principi dell’AppSec devono diventare un prerequisito di qualsiasi corso.

Un esempio di integrazione della codifica sicura nei corsi si può osservare alla Tufts University, nel Massachusetts. Ming Chow, professore associato presso il Dipartimento di Informatica, utilizza la tecnologia AppSec come strumento didattico per insegnare agli studenti a conoscere la codifica sicura e a trovare e correggere le falle.

Nel suo corso di “Introduction to Security”, ad esempio, Chow fornisce agli studenti un codice sorgente da analizzare manualmente per individuare eventuali vulnerabilità e creare un elenco di rischi tecnici. Gli studenti utilizzano poi uno strumento leader del settore che automatizza l’analisi e documenta le falle che non hanno notato con i test manuali. Rimangono sempre meravigliati dal numero di vulnerabilità che l’analisi automatizzata riesce a individuare.

Inoltre, utilizza la tecnologia AppSec per far redigere agli studenti un report sui difetti e le vulnerabilità dopo il loro progetto finale. Oltre ad apprendere preziose competenze di cybersecurity, gli studenti rispondono con grande entusiasmo all’opportunità di imparare a codificare in modo sicuro.

Conclusione

La mancanza di una formazione sulla codifica sicura nei programmi di informatica è una problematica costante. Ad oggi, purtroppo, il problema è diventato critico a causa di attacchi sempre più sofisticati e potenziati dalle tecnologie di intelligenza artificiale e di apprendimento automatico. Nel frattempo, le organizzazioni hanno incrementato in modo esponenziale la loro produzione di codice software, spesso con il supporto dell’AI.

La software security deve essere avviata all’inizio del ciclo di vita dello sviluppo del software, con programmatori che abbiano una conoscenza di base delle pratiche di secure-by-design. Questo requisito comprende anche i neolaureati che entrano nel mondo del lavoro.

Il mondo accademico deve porre una forte enfasi sulla codifica sicura e sui principi di sicurezza delle applicazioni come elemento centrale dei curricula informatici. Insegnare alla prossima generazione di sviluppatori di software come scrivere codice sicuro permetterà alle organizzazioni di gestire meglio i propri profili di rischio.

A cura di Massimo Tripodi, Country Manager Italia di Veracode



Contenuti correlati

  • Vectra AI SOC
    Mancano 5 milioni di esperti di cybersecurity – e adesso?

    ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...

  • Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia

    La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...

  • Carlo Salvi entra nell’era dell’Industria 5.0

    Carlo Salvi annuncia il suo ingresso nell’Industria 5.0, un’evoluzione cruciale che unisce l’ingegno umano alle tecnologie più avanzate per ridefinire il futuro della produzione industriale. Grazie al nuovo Credito d’Imposta per la Transizione 5.0, introdotto dal Decreto...

  • Nell’ultimo numero di KEYnote, la rivista di Wibu-Systems: proteggere i modelli di AI e ML

    L’ultimo numero della rivista KEYnote, la pubblicazione semestrale presentata dagli specialisti di protezione e licensing di Wibu-Systems, è appena stata rilasciata ed è disponibile in vari formati digitali di facile lettura. L’edizione Autunno/Inverno copre una vasta gamma...

  • Omron Europe ottiene la certificazione IEC 62443-4-1

    Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...

  • Advantech lancia il servizio di certificazione IEC 62443

    Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...

  • Manifattura additiva: trasformare l’industria con la stampa 3D: corso di formazione

    Dalla sinergia di due realtà innovative nate su iniziativa del Fondo Boost Innovation di CDP Venture Capital Sgr, come progetti di sistema per sostenere la competitività industriale del Paese, prende il via il percorso di formazione con...

  • CybergOn NIS2
    PMI sotto attacco: la direttiva NIS2 apre una nuova fase per la cybersecurity

    La direttiva NIS2 (Network and Information Security Directive) rappresenta l’occasione per introdurre una nuova consapevolezza nei consigli di amministrazione delle aziende, nell’ottica di elaborare una strategia di cybersecurity a lungo termine e incentivare la competitività garantendo la...

  • Yaskawa nuovo controller iC9226 automazione industriale
    Nuovo controller nella piattaforma di automazione Yaskawa in SPS

    In occasione di SPS Norimberga, Yaskawa continua l’espansione della sua piattaforma di automazione ‘iCube Control’, presentando il controller serie iC9226 in funzione. Il controller iC9226 funziona con il chip industriale Triton di Yaskawa e può controllare fino...

  • LAPP certificazione UL cavi mercato nordamericano
    Certificazione UL dei cavi per il mercato nordamericano con LAPP

    Il mercato nordamericano, e quello statunitense in particolare, sono mercati fondamentali per i produttori italiani di macchinari industriali, le cui soluzioni sono particolarmente apprezzate per qualità, alto livello di personalizzazione e attenzione ai dettagli. Avere successo in...

Scopri le novità scelte per te x