Per anni abbiamo sentito la stessa storia: c’è una carenza globale di talenti nel campo della sicurezza informatica. E se avessimo guardato il problema nel modo sbagliato? Il vero problema non è solo una questione di numeri, ma di focus. Non abbiamo solo un problema di assunzioni, abbiamo un problema di strategia.

Prendendo in prestito le parole di Peter Drucker: “Management è fare le cose nel modo giusto; leadership è fare le cose giuste”. Per troppo tempo, il dibattito sulla cybersecurity si è concentrato sul fare le cose nel modo
giusto: ricoprire ruoli, implementare strumenti, seguire framework. Ma la vera sfida ora è fare le cose giuste: definire priorità strategiche, integrare la sicurezza nel business e sapersi muovere attraverso le incertezze.

Sì, le competenze tecniche scarseggiano, ma il divario più pressante si trova altrove, nella leadership. Competenze strategiche come governance, gestione del rischio e pianificazione a lungo termine mancano proprio ai livelli in cui contano di più. La nostra ultima ricerca rivela che, mentre il 76% delle imprese
riconosce un divario di competenze, la vera scarsità si trova ai livelli medio-alti. Quasi la metà (46%) segnala una carenza in ruoli di leadership che richiedono una supervisione strategica. Non è un problema di reclutamento. È un problema di leadership.

Più tecnologia richiede più umanità (aumentata)

L’ascesa dell’intelligenza artificiale nella sicurezza informatica non sta rendendo superflui gli esperti umani. Al contrario, sta cambiando radicalmente il loro ruolo. Man mano che l’AI si fa carico dell’analisi dei dati e del rilevamento delle minacce, l’attenzione dei talenti umani deve spostarsi dall’operativo allo strategico. Le competenze che contano di più ora sono la risoluzione di problemi complessi, il pensiero creativo e la capacità di gestire sofisticati team uomo-macchina.

La tecnologia è un moltiplicatore di forze, ma non sostituisce un giudizio solido. L’AI può rilevare un’anomalia, ma ci vuole una presenza umana per comprendere il contesto aziendale, valutare la propensione al rischio e prendere una decisione strategica. Le imprese che si limitano a inserire la tecnologia senza investire nelle competenze umane per gestirla stanno perdendo di vista l’obiettivo. Stanno automatizzando compiti, non costruendo resilienza.
La vera sfida non è solo trovare persone che sappiano usare gli strumenti, ma coltivare leader che possano costruire una cultura della sicurezza proattiva, adattiva e allineata con gli obiettivi più ampi dell’azienda.

Dalla gestione delle emergenze alla preparazione per il futuro

Le conseguenze di questo vuoto strategico stanno diventando evidenti. La nostra ricerca mostra che l’85% delle imprese sta subendo un impatto negativo tangibile a causa della carenza di competenze. Due terzi stanno colmando il divario con soluzioni a breve termine. Più della metà (57%) ha ritardato o accantonato iniziative di sicurezza critiche.

Questo è un gioco pericoloso. Ritardare un aggiornamento di sicurezza o applicare una correzione temporanea a un sistema non solo aumenta la vulnerabilità, ma blocca l’innovazione e ostacola la crescita. Trasforma la cybersecurity in una funzione reattiva, di “pronto intervento”, quando invece deve essere un fattore abilitante, proattivo e strategico.

Per costruire una vera resilienza, abbiamo bisogno di un cambio di mentalità. Ciò significa abbandonare la visione della sicurezza a compartimenti stagni e reattiva, per integrarla nel DNA dell’azienda. Significa dare priorità allo sviluppo della leadership insieme alla formazione tecnica. E significa scegliere partner che non offrano solo strumenti, ma competenze strategiche.

La crisi delle competenze non è scomparsa, si è evoluta. I vincitori in questa nuova fase saranno coloro che riconosceranno che la resilienza si basa sulla strategia, non solo sul personale.