Venerdì 26 maggio dalle 14.00 alle 16.00 ho tenuto una lezione sulla sicurezza in azienda agli studenti di quinta superiore in procinto di diplomarsi presso l’I.T.T. Giacomo Chilesotti di Thiene. La lezione è stata richiesta dall’istituto scolastico per il tramite dell’Associazione Italiana per la Sicurezza Informatica Clusit, la più importante associazione nazionale in materia di sicurezza informatica che ogni anno organizza il Security Summit e pubblica il Rapporto Clusit sulla Sicurezza ICT in Italia.

Al fine di rendere la lezione il più possibile utile per i ragazzi in vista della maturità e del possibile accesso al mondo del lavoro, la presentazione è stata divisa in tre parti, delle quali una introduttiva focalizzata sulle peculiarità della loro generazione, una dedicata ai concetti fondamentali della sicurezza in azienda e, infine, una indirizzata a concedere loro le migliori indicazioni per poter accedere ad un lavoro nel campo informatico o di sicurezza senza sgradite sorprese.

La prima parte della lezione è stata quindi dedicata alla Generazione Z (nati dal 1995 in poi), una generazione di bambini e ragazzi nati in una società ipertecnologica e iperconnessa, immersa costantemente nei social media, ma purtroppo con importanti carenze in termini di competenza tecnologica. Ad esempio, in pochissimi hanno un’idea chiara di cosa sia Internet e che differenza ci sia fra la grande rete mondiale e il Web, o un semplice browser, o addirittura le app di uno smartphone. Una generazione contraddistinta da una certa disinvoltura nell’utilizzo delle proprie credenziali d’accesso, per costruire le quali vengono spesso usate informazioni pubblicate sui social (es. nome, cognome, data di nascita, nome di parenti o passioni personali).

Si è parlato delle caratteristiche peculiari delle nuove generazioni: la difficoltà a distinguere fra realtà e virtuale, la sovraesposizione mediatica e l’intorpidimento dei sensi, l’attenzione frammentata, la scarsa conoscenza dei meccanismi sociali, l’incapacità diffusa di creare e mantenere relazioni profonde e significative, la necessità di gratificazioni istantanee e la carenza di difese contro lo stress e la depressione. Un piccolo focus è stato dedicato all’importanza delle informazioni nella società moderna, alle conseguenze che una disattenzione da social può comportare e al fenomeno del cybercrime.

La seconda parte ha riguardato la sicurezza in azienda, a partire dalla spiegazione del concetto di sicurezza di cui tanto si parla oggi, per poi passare agli obiettivi, gli elementi fondamentali, la sicurezza a più livelli (defense-in-depth), i concetti chiave, il ciclo di governo e i processi fondamentali, suddivisi fra processi di governo, di gestione e di controllo. Si è parlato anche dell’importanza dell’allineamento con il top management, della protezione delle informazioni critiche e della salvaguardia del business e del patrimonio aziendale.

“La sicurezza non è un prodotto, ma un processo (mentale)”.

La terza parte (e ultima) è stata dedicata all’entrata nel mondo del lavoro, iniziando dai possibili scenari futuri in materia di evoluzione tecnologica, di diffusione di cybercrime e cyberwar, e della nascita di nuove professioni in ambito informatico e di sicurezza delle informazioni. In materia di possibili percorsi professionali, sono stati illustrati i principali ambiti di competenza nel campo della sicurezza: governo, gestione, verifica, conformità, gestione del rischio e specializzazioni. Per ogni tipologia di competenze sono stati illustrati i ruoli chiave in azienda e le certificazioni professionali che è possibile conseguire in ciascun ambito, sia orizzontale che verticale.

Si è parlato inoltre dell’importanza della propria reputazione digitale, ovvero “cosa si dice di te“, “cosa fai (o hai fatto)” e “che immagine dai di te” con riferimento a ciò che si pubblica sui social media o sul Web, e che spesso diventa un controllo fondamentale per decidere se ammettere un candidato al colloquio oppure scartarlo senza dargli opportunità alcuna. Infine, sono state illustrate le caratteristiche fondamentali richieste per poter fare bene in azienda: comunicazione, relazione, collaborazione, leadership, costruzione della fiducia, tutti aspetti che richiedono tempo, pazienza, applicazione, equilibrio nell’uso delle tecnologie ed attenzione (proprio ciò di cui la nuova generazione è un po’ carente).

Perché i ragazzi appartenenti all’ultima generazione ottengano il successo che cercano, è indispensabile che imparino la virtù della pazienza, dell’applicazione, dell’impegno nel costruire qualcosa che richiede tempi anche lunghi, che migliorino le proprie abilità sociali e che siano in grado di controllare la loro innata dipendenza dai dispositivi digitali e dalle moderne tecnologie.

In conclusione della lezione, si è parlato dell’importanza della conoscenza, chiudendo con uno slogan molto importante:

“Non si può governare né proteggere ciò che non si conosce”.

Desidero ringraziare il prof. Guido Frigo per il gradito invito e il coordinamento dell’evento, nonché il Segretario Generale del CLUSIT Paolo Giudice per aver consigliato all’istituto il mio nominativo.

Ettore Guarnaccia