TL;DR Inizia il reclutamento del personale per la neonata Agenzia per la Cybersicurezza Nazionale. Alla ricerca di laureati con ottimi voti in materie STEM, con competenze specifiche e puntuali. I quali si lasceranno tentare da un RAL di 50K€ e il rischio di restare impantanati nella burocrazia nazionale?
“La mia ricetta per il successo? L’entusiasmo.
Penso che valga perfino di più delle abilità professionali.”
Edward Victor Appleton
Pubblicato martedì 22 febbraio in Gazzetta Ufficiale il bando per i “Concorsi pubblici per la copertura di cinquanta posti di esperto di varie discipline, a tempo indeterminato, per l’Information and Communication Technology” necessario a rimpinguare le fila degli esperti che andranno a ricoprire, a vario titolo, ruoli all’interno della neonata Agenzia per la Cybersicurezza Nazionale.
Il bando è stato anticipato a mezzo stampa dalle dichiarazioni del Direttore dell’ACN, il Prof. Baldoni: “assumiamo 72 persone con stipendi a livelli Bankitalia […] L’obiettivo è far rientrare i talenti che negli ultimi anni sono andati all’estero per i due mali tipici del nostro Paese: salari bassi e poca meritocrazia […] Il concorso pubblico è aperto anche a giovani neolaureati. Essere geni del computer serve, ma non basta“.
La retribuzione prevista sembrerebbe essere di tutto rispetto, almeno per quanto riguarda la media nell’ambito ICT nella PA: 50.000€ lordi l’anno. Ma già dai requisiti di partecipazione richiesti dal bando, si capisce che non sarà, per i potenziali candidati, un obiettivo facile da raggiungere.
Oltre al voto minimo di 105/110 (requisiti già previsti anche per BankItalia, mi dicono), è richiesta la laurea in questi ambiti:
1. Laurea magistrale/specialistica, conseguita con un punteggio di almeno 105/110 o votazione equivalente, in una delle seguenti classi: ingegneria delle telecomunicazioni (30S/LM-27); ingegneria elettronica (32S/LM-29); ingegneria informatica (35S/LM-32); ingegneria dell'automazione (29S/LM-25); informatica (23S/LM-18); sicurezza informatica (LM-66); matematica (45S/LM-40); fisica (20S/LM-17); ingegneria gestionale (34S/LM-31); altra laurea equiparata a uno dei suddetti titoli ai sensi del decreto interministeriale 9 luglio 2009; ovvero diploma di laurea di «vecchio ordinamento», conseguito con un punteggio di almeno 105/110 o votazione equivalente, in una delle seguenti discipline: ingegneria delle telecomunicazioni; ingegneria elettronica; ingegneria informatica; informatica; scienze dell'informazione; matematica; fisica; ingegneria gestionale; altra laurea a esso equiparata o equipollente per legge.
Le figure cercate, 50 in totale, lavoreranno a Roma e sono:
A. Quindici esperti per le funzioni tecnico/amministrative di certificazione e ispezione con esperienza nell'applicazione di schemi di certificazione Common Criteria / ITSEC e/o come auditor ISO; B. Dieci esperti per le funzioni di tecnico hardware e tecnico di telecomunicazioni con esperienza nello sviluppo hardware (PCB, logiche programmabili, ASIC), in sistemi embedded e/o in ambito reti di telecomunicazioni; C. Quindici esperti per le funzioni di tecnico software con esperienza nello sviluppo software e/o nella sicurezza informatica; D. Quattro esperti per le funzioni di gestione e realizzazione di programmi industriali, tecnologici e di ricerca con esperienza in programmi di investimento di rilevanza nazionale ed europea nel campo della cyber security; E. Tre esperti per le funzioni di tecnico crittografo con esperienza nell'ambito della crittografia teorica o applicata; F. Tre esperti per le funzioni operative di cybersecurity con conoscenze in ambito della gestione degli incidenti informatici (triage, indicatori di compromissione, best practices di sicurezza informatica), dell'analisi malware, dell'analisi forense e cyber threat intelligence, dell'analisi e valorizzazione di dati e della gestione del rischio cyber.
Le prove di selezione, con i relativi argomenti, sono indicati all’Allegato A del bando e comprendono, a seconda delle figure, argomenti come teoria dei sistemi operativi, linguaggi di programmazione, framework di sicurezza informatica (ISO27001, NIST…), crittografia, open source intelligence (OSINT)…
Non sarà facile reclutare competenze simili, soprattutto perché chi le ha è già stato assunto con stipendi decisamente superiori da qualche lungimirante azienda oppure è già volato oltre confine, dove non solo lo stipendio ma anche la gratificazione spesso è decisamente superiore a quanto una PA riesce a offrire.
All’annuncio del Dott. Baldoni sul suo profilo LinkedIn ha fatto seguito un diluvio di commenti che vedono contrapporsi chi guarda con speranza al futuro dell’Agenzia come soggetto pubblico capace di stimolare, finalmente, la PA italiana sul tema della cybersecurity e chi, invece, forse memore delle esperienze pregresse e della realtà contemporanea, sottolinea l’inadeguatezza sia della retribuzione che l’esagerazione sui requisiti accademici previsti: in un settore dinamico come quello della sicurezza informatica non sono rari esperti del settore privi addirittura di laurea, animati esclusivamente dalla curiosità e dall’expertise tipico di chi, in un ambito innovativo come quello informatico, si è formato in autonomia confrontandosi “sul campo”.
Competenze molto particolari, quindi, dove non sempre la tradizionale formazione accademica riesce a restare al passo con i tempi.
Come ben sa chi lavora in questo ambito, la formazione continua è fondamentale, così come essere inseriti in circuiti nazionali e internazionali del settore, per restare aggiornato sulle minacce e sulle nuove tecniche sia di difesa che di attacco.
Tuttavia, anche sperando che la neonata Agenzia Nazionale per la Cybersicurezza possa avere successo e ottenere i risultati a cui sta puntando, credo che il problema sia sistemico e non possa trovare soddisfazione in un unico soggetto centralizzato, per quanto la roadmap sia piuttosto ambiziosa (seppur spalmata in diversi anni).
A Marzo 2022, infatti, dovrebbero essere migrate le competenze in cybersecurity attualmente in AgID e al MISE alla nuova Agenzia, per poi -entro fine Giugno 2022- arrivare all’avvio “dell’operatività del Centro di Valutazione e Certificazione Nazionale, per la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato“.
Già qualcosa è stato prodotto, come ad esempio il documento sulla “Strategia Cloud Italia“, balzata agli onori dei social per l’ormai famosa citazione in merito alla “crittografia nazionale” (che sia questo l’obiettivo del reclutamento del 3 esperti di crittografia?). Fa sorridere anche l’accenno al “controllo delle chiavi in Italia“, per le tipologie “Pubblico criptato e privato/ibrido su licenza“: di grazia, ma dove pensavate di farle controllare, le chiavi?
Per concludere, non citerò nuovamente le ormai note parole del Min. Colao in merito allo stato delle infrastrutture ICT della PA italiana di quasi un anno fa. Parole che, a mio modesto parere, avrebbero richiesto sia un soggetto centrale per coordinare e armonizzare le attività (ma non avevamo già l’Agenzia Italia Digitale?), comprese quelle relative alla cybersecurity, che una corposa iniezione di capitale (risorse economiche, personale e competenze) all’interno delle singole PA, con una verifica puntuale della situazione in ognuna di esse.
Per il momento, invece, sembra che dovremmo accontentarci di questa nuova ennesima Agenzia Nazionale, il cui sito web (www.acn.gov.it) include già un bel tracker di Google Analytics. Quando si dice che “chi ben comincia…“