Le professioni più richieste del 2021: esperto di sicurezza informatica

Fasano - L'esperto di sicurezza informatica è tra le figure professionali più enigmatiche. Il suo compito è rilevare, controllare, prevenire e risolvere eventuali minacce alla sicurezza di reti di computer e archivi di dati. 

Potremmo definirli dei veri e proprio nerd professionisti, dato che operano in maniera continua alla nostra sicurezza nel complesso mondo di internet. 

Tra i vari esperti del settore abbiamo contattato il giovane montalbanese Fabio Lombardi, 36 anni, nato in provincia di Milano e cresciuto a Montalbano dall'età di 4 anni. Ha coltivato fin da giovanissimo la sua passione per l'informatica, una vocazione che ha determinato l'integralità del suo percorso educativo e lavorativo. Diplomato all'Istituto Tecnico Industriale e Scientifico di Martina Franca (oggi IISS E. Majorana n.d.r.) nei cinque anni che si rivelarono tra i più preziosi per alimentare questa passione e apprendere le basi dei linguaggi di programmazione, le telecomunicazioni e il funzionamento dei sistemi operativi. Tra professori incredibilmente preparati, una struttura all'avanguardia e dei colleghi tra i più̀ creativi, Fabio finisce subito per scoprire una seconda passione che diventò presto predominante, quella dell'hacking, il lato nascosto quasi misterioso dell'informatica, ovvero, in parole semplici, come riuscire a mettere alla prova le difese di un sistema informatico al fine di ottenere degli accessi privilegiati. Negli anni successivi Fabio ha ottenuto una laurea triennale in Ingegneria Informatica al Politecnico di Bari, per poi conseguire una doppia laurea magi- strale in Ingegneria Informatica e Sicurezza dei Sistemi di Informazione presso il Politecnico di Torino e l'Institut Poly- technique de Grenoble ENSIMAG in Francia. Alla fine degli studi ha vissuto un anno a Londra per uno stage presso un'azienda di sviluppo software per l'aeroporto di Heathrow, per poi rientrare in Francia a Grenoble e poi a Parigi per intraprendere la sua carriera principalmente nell'ambito della sicurezza informatica. Oltre dieci anni di attività, tra sviluppo software, la creazione di una startup, test di intrusione e audit per dei grandi gruppi europei. Nel 2017 ha lanciato un'iniziativa di incontri pedagogici di “Cybersecurity Meetups” che oggi con- tano 460 aderenti, 9 sessioni organizzate con picchi di affluenza fino a 300 persone. In seguito, dopo quattro anni presso BNP Paribas (BNL in Italia) come Ingegnere in Sicurezza Informatica, da due anni è il Responsabile del Diparti- mento del controllo interno di cybersecurity del Gruppo Poste Francesi. Manager di un team di dieci persone il suo scopo è di mettere alla prova le difese informatiche dei sistemi delle aziende per le quali lavora al fine di identificare, e in seguito far correggere, i punti deboli che potrebbero un giorno essere sfruttati da attacchi reali, lanciati da veri pirati malintenzionati. 

È un esperto di sicurezza informatica, ma di preciso di cosa si occupa? «Grazie per questa opportunità – dichiara a Osservatorio –. Il mio compito può essere spiegato in modo molto semplice come l'ideazione, l'implementazione e il testing delle difese necessarie per resistere agli attacchi informatici che potrebbero essere realizzati da individui o organizzazioni criminali di vario tipo (detti anche comunemente hackers o pirati informatici). In particolare, la mia area di specializzazione è la cosiddetta Offensive Cybersecurity (la sicurezza informatica offensiva) ovvero mettersi al posto di un pirata e provare, a ogni modo, a trovare delle vulnerabilità o dei punti deboli che un vero malintenzionato potrebbe un giorno realizzare contro i sistemi di cui mi occupo. Lo scopo è quindi di rendere più resistenti le infrastrutture di rete, le applicazioni e i siti internet contro i Cyber Attacks. Questa attività può essere anche associata al termine di Ethical Hacking (“Pirataggio Etico”, in contrapposizione al vero pirataggio) oppure co- me una specializzazione degli organi di controllo e di audit nelle aziende. Se vogliamo trovare un'analogia con il mondo reale, è come se ci occupassimo di verificare che la sicurezza delle porte, delle chiavi, delle finestre e di tutti gli accessi possibili a una abitazione sia la più resistente possibile ai tentativi di intrusione e furto». 

Come è cambiato il suo lavoro con il lockdown? 

«Come tutti i lavori che possono essere fatti a distanza, vi è stata una notevole accelerazione nell'ideazione di nuovi metodi di lavoro e realizzare i nostri audit anche a distanza. Se c'è una cosa positiva che il lockdown ha permesso di fare è di dimostrare al top management che il lavoro da casa può funzionare benissimo e che la nostra attività si può adattare perfettamente a questo nuovo modo di lavorare. Abbiamo realizzato un audit della infrastruttura della rete interna per una filiale in Croazia senza muoverci dai nostri uffici di Parigi. Una cosa impensabile prima del lockdown. Il challenge più importante è stato sicuramente mantenere il legame sociale tra i colleghi e di non perdere di vista i membri del team meno espansivi. Penso che tra caffè virtuali, sessioni di allenamento all'hacking tutti insieme, e naturalmente qualche aperitivo a distanza, siamo riusciti a mantenere il legame intatto anche in periodo Covid». 

Questo progressivo ritorno alla normalità ha mutato la sua professione?

«Il lavoro ibrido è diventato ormai la normalità, un mix ufficio-casa si sta instaurando in quasi tutti i settori dove vi è la possibilità. Addirittura alcune aziende hanno deciso di chiudere definitivamente i loro uffici e passare al full remote. Di natura pro-innovazione e con lo spirito hacking che mi porta sempre a voler rompere gli schemi predefiniti, non posso far altro che apprezzare questa tendenza nel nome della libertà e l'equilibrio vita privata e lavorativa. So- no comunque più propenso al modo ibrido, piuttosto che al full remote, perché sono convinto che il vedersi di persona almeno due volte a settimana permette un miglior scambio di idee e una superiore energia di gruppo. L'importante in questo nuovo modo di lavorare è fidarsi a vicenda, avere un senso di libertà che convenga agli uni e agli altri e cercare di vedersi a una frequenza idonea ai bisogni lavorativi. Da un punto di vista puramente sulla sicurezza informatica, c'è però da dire che la diffusione massiva dello smart working ha anche fatto nascere nuovi pericoli e vulnerabilità per i dati e gli asset aziendali. Immaginate tutti quei dati e documenti sensibili che prima restavano sul vostro pc in locale in ufficio e che adesso si ritrovano su un computer portatile in casa, o in un vagone di un treno, in un McDonald's o un cowork space, per citarne alcuni. In con- temporanea, l'altra tendenza del BYOD (Bring Your Own Device) ovvero il fatto di poter usare in ambito lavorativo il proprio smartphone o il proprio computer portatile personale, aggiunge un li- vello di complessità supplementare alle difese di sicurezza de ideare e da mettere in atto. In un mondo in cui la vita per- sonale e professionale si mischiano in continuazione e le email vengono lette sul tavolo nel salone di casa, l'esposi- zione dei dati sensibili non è mai stata così alta». 

Secondo l'Istat l'esperto di sicurezza informatica è tra le professioni più richieste del 2021. Ritiene che lo sia anche in questi primi mesi del 2022? 

«Non ho alcun dubbio che la tendenza continui a crescere nei prossimi cinque anni. Secondo uno studio realizzato da Cybersecurity Ventures, una referenza mondiale in ambito di ricerca sull'economia legata alla sicurezza informatica, mancherebbero nel mondo 3 milioni e mezzo di esperti in cybersecurity di cui almeno 142 mila in Europa. Con queste cifre, aggiunte al fatto che ogni ambito delle nostre vite diventa sempre più digitale e i nostri dati sempre più di valore, gli attacchi e rischi informatici continue ranno a crescere nei prossimi anni senza ombra di dubbio, e con loro il bisogno di protezione. L'immagine dell'hacker isolato con il cappuccio che di notte si diverte a piratare il Facebook del compagno di classe è ormai un ricordo lontano o comunque non rappresenta più il rischio principale. Organizzazioni intere di cybercriminali sono ormai operative, con gerarchie, stipendi e promo- zioni. Gli attacchi ormai si fanno tra stati interi e quello che anni fa poteva sembrare un film di fantascienza, sta diventando realtà: la cyber war è già in atto e ne abbiamo tutti un esempio concreto nel tragico contesto che in questo pe- riodo colpisce l'Ucraina e l'Europa tutta intera. Il gruppo hacker russo “Conti” conosciuto per una serie di attacchi spietati contro le infrastrutture di ospedali, centrali elettriche e trasporti pubblici sono alcuni degli esempi che dimostrano come l'impatto degli attacchi informatici sono sempre più gravi e generalizzati a tutti. Fine maggio, lo stesso gruppo hacker ha messo in ginocchio l'intero sistema governativo del Costa Rica determinando per la prima volta nella storia uno stato d'emergenza nazionale causato da un attacco informatico». 

Qual è la formazione per diventare esperto di sicurezza informatica?

«La prima cosa da avere in mente è che per poter aggirare e mettere alla prova un sistema è necessario avere delle profonde e importanti conoscenze di come i sistemi informatici funzionano. Quindi un percorso di studi che possa permettere di apprendere lo sviluppo software, i principi delle reti di telecomunicazioni, il funzionamento dei sistemi operativi è essenziale come base di par- tenza. Consiglierei quindi una laurea in Informatica o in Ingegneria Informatica con una specializzazione in Sicurezza Informatica per la magistrale. Ma questo non basterà di certo, è un mondo competitivo dove gli hacker e le difese di- ventano sempre più complesse e bisogna essere propensi a voler continuare a imparare nuove tecniche e effettuare regolarmente nuove formazioni e certifica- zioni. Quindi le parole chiave sono passione, determinazione, curiosità e tanta pazienza. Immaginate come un enigma sul quale vi ci state scervellando da ore e ore senza nessuna soluzione in vista. Abbandonare, abbassare le braccia sarebbe più che comprensibile, ma in quel preciso istante l'atteggiamento e la mentalità giusta devono assolutamente prevalere. La giusta mentalità o mind-set è sicuramente la cosa più importante: una capacità ad avere un punto di vista diverso dal previsto, creativo e fuori dagli standard e dai canoni prestabiliti è la chiave del successo, il tutto condito da tante ore di studio e pratica per conoscere le giuste tecniche di attacco. Quando assumo un nuovo membro del mio team guardo con attenzione gli studi effettuati, cerco di determinare se il candidato ha questa capacità di pensare “out of the box” e soprattutto se dispone di una vera passione per il settore. Oggi giorno esistono innumerevoli piattaforme online di “allenamento all'hacking”, siti in cui applicazioni volutamente vulnerabili sono messe a disposizione degli studenti per esercitare le loro tecniche di attacco. Del tempo passato su questi siti di allenamento è sicuramente, alla fine dei conti, la cosa che fa di più la differenza su un curriculum che ricevo. Metto qui alcuni di questi siti per i nostri lettori: rootme.org, hackthebox.com, tryhackme.com. Le certificazioni Certified Ethical Hacker (CEH) e Offensive Security Certified Professional (OSCP) permettono un green pass in questo mondo a occhi chiusi».

Cosa si sente di consigliare a un giovane liceale per spingerlo a intraprendere questa professione? 

«Abbiamo già parlato di tanti aspetti di questo mondo entusiasmante, un settore in crescita esponenziale, i dati aziendali e personali delle persone che sono sempre più l'obiettivo di gruppi hacker internazionali, un panorama geopolitico mondiale che allarga le minacce di sicurezza nel mondo cyber avendo un impatto sulla vita di milioni di persone... Un mondo che forse può far paura ma che allo stesso tempo ha un bisogno primordiale di esperti, di ethical hackers, di formatori, di sensibilizzatori, di managers dei rischi, di architetti, di qualcuno che possa capire queste minacce e di mettere in atto le difese necessarie. Per i più sensibili alla protezione della nazione stessa, lavorare presso l'Agenzia per la Cybersicurezza Nazionale (ACN) potrebbe essere uno dei posti più prestigiosi e ovviamente di interesse nazionale primordiale. Se tutto ciò non dovesse bastare a convincerlo, cercherei di presentargli l'essenza stessa della motivazione di un ethical hacker, quella cosa che ci ha spinti tutti, prima o poi, a intraprendere questa strada: il gusto di vincere una sfida intellettuale con la per- sona che ha messo in atto il sistema di difesa, una partita a scacchi, alla quale dopo ore di gioco e tentativi, lo scacco matto è di provare quella adrenalina, quell'inspiegabile soddisfazione di essere diventato “Administrator” del sistema e avere il controllo totale sulla piattaforma ideata da qualcun altro».