Perch (e come) investire nel capitale umano in ambito cyber

Senza categoria

Di

 Michele Colajanni

 Il mondo cyber ha barriere all’ingresso di gran lunga inferiori a quelle di tutte le altre industrie. Gli investimenti in conto capitale sono praticamente nulli in quanto, grazie al cloud e ai modelli as a Service, gran parte delle risorse sono acquisibili come spese operative o tendono ad essere gratuite. In un simile contesto, l’uomo costituisce la vera differenza tra successo e fallimento. È una premessa valida ovunque, ma nel cyber tale caratteristica è estremizzata. La competizione nel mondo cyber è globale by design e i parametri per misurare il valore aziendale sono sempre più intangibili e basati sulle competenze, perché è da queste che scaturiscono gli altri indispensabili elementi valoriali.

Se la risorsa umana costituisce l’unico investimento con garanzie di ritorno, è comprensibile perché tutte le grandi imprese che operano con successo nel cyber si contendano da anni i migliori elementi a livello internazionale a suon di stipendi, benefici collaterali, premi basati sui risultati, formazione continua e, di recente, maggior tempo libero. Per qualche imponderabile motivo, l’Italia genera talenti cyber dotati degli elementi necessari per il successo nel mondo digitale: curiosità, creatività, intuizione e un pizzico di indisciplina. Questi fattori, uniti a passione, determinazione verso gli obiettivi, e competenze tecniche continuamente aggiornate, sono i fattori essenziali per il successo. Se i talenti costituiscono il valore aggiunto su cui bisogna investire nel mondo cyber, c’è da aggiornare a tutti i livelli le modalità di attrazione e valorizzazione. La risorsa umana cyber è molto particolare. Con la consapevolezza che si tratta di tipologie dai contorni sfumati e ogni categorizzazione è errata, è possibile distinguere tre figure prevalenti: l’hacker inside, il wannabee hacker tenace, e il wannabee in cerca di scorciatoie.

Gli hacker inside sono esseri rari e preziosi, dotati dalla natura come potrebbe essere un artista in qualsiasi altro ambito applicativo. Poco comunicativi e molto riflessivi, sono caratterizzati da passione, costanza, e curiosità nell’affrontare sfide sempre nuove. I bravi arrivano all’università già competenti su alcune verticalità sebbene, da tipici autodidatti, mancano di visione globale. Se trovano un docente valido, possono crescere seguendo l’antica filosofia: osserva il maestro, segui il maestro, cammina insieme al maestro, diventa il maestro. Non sono mossi da riconoscimenti sociali se non in ambiti ristretti, né inizialmente da quelli economici, ma dalla soddisfazione personale nell’aver dimostrato di avercela fatta così da essere pronti per una nuova sfida. Fortemente impregnati dello spirito positivista, collaborativo e ottimista che ha caratterizzato gli albori dell’informatica e di Internet, hanno un’etica hacker che non sempre coincide con il codice penale vigente, ma su questo si può lavorare.

I cosiddetti wannabee hacker sono di due tipi. Quelli consapevoli che la strada per diventare bravi è lunga e irta di ostacoli, ma sono muniti di tenaciache consente loro di arrivare lì dove l’artista hacker arriva per istinto naturale. Altri che, non essendo dotati né di doti naturali né di sufficiente forza di volontà, accettano la scorciatoia dell’hacking tramite tool, dimenticando che il vero hacker apre software e sistemi per desiderio di conoscenza, ma fondamentalmente è un costruttore e un divulgatore di sapere. Tuttavia, i tool disponibili in rete non sono a fini costruttivi e, in un mondo di software e configurazioni vulnerabili, tali strumenti consentono di ottenere risultati con poco sforzo, inducendo così i ragazzi verso percorsi errati. Non apprezzati dalla comunità hacker e consapevoli di non essere alla loro altezza, il loro istinto anti-sociale tende ad aumentare, così come la svalutazione per un apprendimento ritenuto inutilmente complesso. Si inizia da piccoli crimini adolescenziali e si rischia di finire in giochi più grandi, tipicamente indirizzati da qualche adulto con obiettivi opachi. Questo profilo è da evitare, mentre i primi due sono da ricercare e assumere. Come farlo richiede spirito innovativo, in quanto i metodi tradizionali non funzionano. Non funzionano offerte ai neo-laureati di stage e tirocini a poche centinaia di euro al mese anche da parte di grandi aziende, a meno di non chiamarsi Google che, tra l’altro, usa metodi di reclutamento e valorizzazione molto moderni. Non funzionano le antiquate barriere costituite dall’intervista con lo psicologo, come se questi sapesse valutare gli hacker dotati di princìpi, priorità e modi di affrontare la vita differenti da ogni altro impiegato. Nel caso migliore ai colloqui si annoiano, nel medio prendono in giro l’interlocutore, nel peggiore reagiscono male. L’intervista non si conclude bene e l’azienda perde un’occasione. Non funziona neanche l’atteggiamento del “ti offro uno stipendio, per cui adesso mi aspetto che tu sia contento di lavorare per me su qualsiasi progetto”. Simili metodi di reclutamento sono già un’etichetta per evitare certe aziende e, ai tempi dei social, le voci corrono rapidamente.

Si parta dalla consapevolezza che il problema dei ragazzi competenti è di scegliere tra molteplici offerte di lavoro, non di trovarne uno. È una condizione che pochissimi altri coetanei vivono, ma molti uffici del personale del nostro Paese non hanno ancora colto la differenza. Se bravi, hanno letteralmente decine di alternative in Italia. Nel centro-nord Europa gli stipendi sono doppi; inoltre, anche il “vengo pagato per quello che valgo” è una barriera al ritorno in Italia più forte dello stipendio stesso. Aiuto molti ragazzi nell’orientamento post-laurea e quando mi imbatto in un hacker, so già che mi dirà: “a me non interessa lo stipendio, ma il gruppo di colleghi e gli stimoli che il lavoro può darmi”. Se i ragazzi sono diversi, se hanno possibilità di scelta, se la mobilità è rilevante, perché hanno colto che gli incrementi stipendiali si ottengono passando da un’azienda all’altra, tutte le aziende e le organizzazioni devono cambiare approccio. Dalle modalità di reclutamento alle modalità di lavoro e di valorizzazione. 

Le Forze dell’Ordine e della Difesa hanno un potenziale competitivo costituito dalle accademie per i neo-arruolati che, tuttavia, non pare ancora ben sfruttato. Così come a breve termine si deve puntare alla formazione continua del personale di ruolo, in un’ottica a medio-lungo termine, è indispensabile che la formazione cyber parta dalle sedi dove i ragazzi sono materiale malleabile, pronto all’apprendimento e disponibile h24. Per portare a termine un simile progetto, servirebbero tanti formatori competenti, ma questo non dovrebbe costituire un limite in quanto la loro disponibilità è tuttora più ampia della volontà di utilizzarli. Pertanto, le motivazioni del ritardo rimangono oscure. 

La ricerca spasmodica di talenti altamente qualificati è corretta, ma ci deve essere altrettanta cura nell’individuare o formare manager in grado di gestirli e farli crescere. Non è impossibile assumere ragazzi bravi e competenti. Tuttavia, non ha senso accumulare talenti in azienda quando, evangelicamente, la vera sfida è saperli valorizzare. In un contesto disruptive, quale quello che stiamo vivendo, vengono meno i tradizionali canali di trasmissione delle competenze. Quanto acquisito in esperienze di lavoro ventennale non è detto che sia ancora valido e, di nuovo, il mondo digitale estremizza questi problemi. Il principio del lifelong learning non è uno slogan vetusto quanto poco praticato, ma una regola di sopravvivenza. Tutti, ma proprio tutti quelli che intendono lavorare nel cyber devono conservare una mentalità socratica di studente a vita. Il “sapere di non sapere” non dovrebbe indurre al fiero vanto di non capire il funzionamento del mondo cyber o, peggio, al far finta di sapere, ma al desiderio di apprendimento continuo. Il mondo digitale, d’altro canto, favorisce la diffusione di conoscenza come mai nella storia umana. Tutte le aziende e organizzazioni dovrebbero favorire o addirittura pretendere l’aggiornamento continuo del proprio personale e soprattutto dei propri manager, che devono gestire dipendenti completamente diversi. Ad esempio, i ragazzi bravi hanno colto che, in uno scenario in continua evoluzione, è più importante essere premiati con tempo e fondi per aggiornamenti continui piuttosto che con qualche euro in busta paga. Inoltre, anche i bravi non sono in grado di fare tutto, quindi, all’interno delle aziende, bisognerebbe realizzare centri di competenza verticali diretti da un esperto del settore. Tuttavia, i progetti cyber più complessi, sia di difesa sia di difesa attiva, non sono mai verticali, ma richiedono competenze trasversali, per cui i membri dei vari centri di competenza possono essere valorizzati collaborando su progetti interdisciplinari con tempistiche predefinite. 

Se questi sono alcuni dei metodi da utilizzare, nel nostro Paese, la realtà è ben diversa. La formazione continua è vista con sospetto, come se il dipendente, allontanandosi metaforicamente dalla catena di montaggio, creasse un danno all’azienda. La richiesta più frequente che ricevo è del tipo “non si potrebbe fare con meno ore? perché ho visto che in altre sedi…”. Mi permetto di osservare che si rischia di sprecare tempo e denaro se si pensa che in una settimana si possa trasformare un qualsiasi dipendente in un penetration tester certificato, in un provetto analista forense o in un bravo security engineer. Al contrario, alla Cyber Academy riteniamo che, pur partendo da un bravo informatico, servano cinque-sei mesi a tempo pieno per formare simili professionalità. Per le nostre grandi organizzazioni e aziende, questo tempo è considerato eccessivo e incompatibile con il lavoro. Tra le certificazioni acquisite in pochi giorni e la formazione approfondita di competenze cyber, mi si consenta il paragone, c’è la stessa differenza tra l’aceto balsamico acquistato al supermercato e quello tradizionale. Poi, è questione di gusti.

In sintesi, è errato pensare che il mondo cyber richieda solo talenti tecnici verticali, così come ha poco senso investire in personale specializzato se i rispettivi manager non sono in grado di valorizzarlo. Le esigenze, i ruoli e le competenze cambiano rapidamente, per cui sono necessarie idee originali per attrarre e gestire i talenti che hanno molteplici alternative di lavoro. Serve la volontà e la capacità di individuare e applicare nuove forme di contratti e moderni percorsi di carriera in settori riconosciuti come strategici per la prosperità di ogni Paese evoluto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

CAPTCHA ImageChange Image

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Traduci
Facebook
Twitter
Instagram
YouTube