La certificazione professionale CISSP è il traguardo più ambito per molti professionisti della sicurezza delle informazioni in tutto il mondo e può essere un ottimo indicatore per valutare il relativo grado culturale di una nazione. In un impulso di grande curiosità ho realizzato un’analisi statistica sul numero dei certificati CISSP dei paesi del mondo e sui trend di crescita recentemente registrati, con un focus specifico sulla situazione del nostro paese. Purtroppo, stando ai risultati ottenuti, l’Italia appare chiamata ad investire con urgenza per colmare un divario culturale alquanto significativo con i paesi europei ed occidentali in materia di sicurezza delle informazioni.

La certificazione CISSP (Certified Information System Security Professional) di (ISC)² è da tempo considerata il top delle certificazioni di sicurezza, perché è di fatto la più impegnativa e difficile da conseguire ed è l’unica richiesta obbligatoriamente per specifici ruoli di sicurezza in ambito governativo e militare, ad esempio dal Dipartimento della Difesa USA (DoD). Ancora oggi, dopo tanti anni, questa certificazione è la più completa ed esaustiva nell’ambito del security management, poiché copre un body of knowledge piuttosto ampio ed articolato, e prevede il superamento di un esame molto lungo ed impegnativo.

Qualche anno fa (novembre 2011) mi domandai quanti fossero i professionisti in possesso della certificazione CISSP in Italia per poi scoprire che allora erano solo 270. L’altro giorno ho scovato, sul sito di (ISC)², un’interessante pagina di cui non conoscevo l’esistenza e che elenca puntualmente il numero dei certificati CISSP nel mondo suddivisi per 166 paesi, con dati costantemente aggiornati. Ho così scoperto che nel nostro paese il numero è salito nel frattempo a 358, con una media di crescita negli ultimi sei anni pari a circa 15 certificati l’anno.

Sebbene possa considerare un vanto essere uno dei pochissimi in Italia a possedere questa ambita certificazione professionale – acquisita nel maggio 2009 al primo tentativo – a prima vista il regime di crescita nazionale mi è sembrato un po’ scarso e questa cosa mi ha incuriosito molto, tanto da spingermi a verificare se il dato è effettivamente così misero rispetto agli altri paesi del mondo. Sono riuscito a recuperare i dati del 2014 e del 2016, oltre ad una serie di altri dati che esporrò nel prosieguo dell’articolo. L’analisi ha prodotto risultati oltremodo interessanti che vorrei condividere con i miei lettori e tutti gli interessati a vario titolo alla certificazione CISSP.

Dati generali

Il totale dei professionisti certificati CISSP in tutto il mondo ammonta a 117.765, con una crescita di ben 23.724 nel triennio 2014-2017 (nel 2014 i certificati erano 94.041). Il trend di crescita a livello mondiale è di circa 7.900 certificati l’anno, pari a circa l’8%. Il paese che detiene il maggior numero di professionisti certificati sono gli Stati Uniti d’America con 76.858 CISSP, pari al 65,3% del totale, una quota in crescita dello 0,3% rispetto al 2014.

In estrema sintesi, fra i professionisti certificati CISSP nel mondo, due su tre sono statunitensi.

Classifica assoluta dei certificati CISSP

Com’era ampiamente prevedibile, i principali paesi anglosassoni, forti della loro cultura molto più avanzata in materia di sicurezza, la fanno da padroni. La classifica assoluta vede infatti nettamente in testa gli Stati Uniti con ben 76.858 certificati, seguiti dal Regno Unito con 6.111 e dal Canada con 4.899. Fra i paesi europei il primo è l’Olanda, al quinto posto con 2.163, seguita da Germania (8° con 1.823) e Francia (13° con 922).

Nella classifica assoluta l’Italia si trova al 25° posto (12° dei paesi europei), dopo Irlanda (401) e Danimarca (364), prima di Messico (340) e Israele (301).

Considerando la classifica rispetto alla composizione del G8, si può evincere come l’Italia sia purtroppo il settimo paese fra le otto grandi, seguito solo dalla Russia (a tal proposito va evidenziato che la Russia è stata inclusa nel G8 in virtù del suo potenziale militare e dell’importanza politica sul panorama mondiale, non per il suo peso finanziario). Allargando il confronto al G20, il nostro paese si trova al 14° posto, dietro al Sudafrica e davanti al Messico. USA, Regno Unito, Canada, Germania, Giappone e Francia sono di gran lunga davanti, così come Corea del Sud, Australia, India e Cina.

Rapporto fra certificati CISSP e popolazione

Poiché la classifica assoluta non tiene conto di alcun altro fattore oltre al mero numero di certificati, ho voluto verificare in che modo potessero variare le posizioni qualora si confrontasse il totale dei certificati CISSP di ciascuna nazione con il totale della popolazione, misurandone il rapporto in unità per milione di abitanti. L’analisi ha prodotto risultati interessanti e ha riservato alcune simpatiche sorprese.

Con un rapporto di 6.349 certificati per milione, troviamo adesso al primo posto in classifica le isole minori esterne degli Stati Uniti d’America, ovvero quelle nove isole appartenenti alle aree insulari degli Stati Uniti nell’oceano Pacifico e nel mare Caraibico. In realtà in tutte le nove isole i certificati CISSP sono solamente 2, mentre la popolazione complessiva ammonta (ufficialmente) a soli 315 individui, composti interamente dai dipendenti delle stazioni meteorologiche scientifiche e dal personale militare di stanza, pressoché tutti concentrati sull’atollo Johnston. Da ciò deriva un rapporto certificati-popolazione così favorevole da posizionare le isole sul gradino più alto del podio.

Al secondo posto troviamo l’Olanda, con un rapporto di 346 certificati per milione, seguita dalle Isole Cayman (302 c.p.m.), da Singapore (294 c.p.m.) e, al 5° posto, da un’altra sorpresa: il territorio britannico dell’Oceano Indiano (BIOT). Questo territorio ha un rapporto di 250 certificati per milione, dovuto al fatto che i sei atolli e le oltre 1.000 isolette dell’arcipelago Chagos, posti a metà strada fra l’Africa e l’Indonesia, contano circa 4.000 abitanti e 1 solo certificato CISSP. Solo sesti gli Stati Uniti, con un rapporto di 236 certificati per milione, quindi Hong Kong (204), Jersey (165), Bermuda (152) e Lussemburgo (144).

E l’Italia? Anche in questa classifica la situazione non è purtroppo lusinghiera: il nostro paese si ritrova relegato al 79° posto con un rapporto di soli 6 certificati CISSP per milione di abitanti, al pari di Romania, Giordania, Macedonia, Santa Lucia e Belize.

Considerando la classifica rispetto al G8, il nostro paese resta comunque al settimo posto, seguita ancora dalla sola Russia per i motivi anzidetti, con gli USA al primo posto seguiti da Canada e Regno Unito. Allargando ancora il confronto al G20, l’Italia sale di tre posizioni rispetto alla classifica assoluta, occupando l’11° posto dopo il Sudafrica e davanti ad Argentina, Messico e Brasile. Il podio è sempre prerogativa di Stati Uniti, Canada e Regno Unito, seguiti a distanza da Australia, Corea del Sud, Germania, Giappone e Francia.

Rapporto fra certificati CISSP e tasso di occupazione nazionale

Volendo approfondire ulteriormente il tasso di diffusione dei professionisti certificati nel mondo del lavoro dei vari paesi, mi sono divertito ad applicare al totale della popolazione i tassi di occupazione rilevati nel 2016 dall’Organization for Economic Co-operation and Development (OECD), dall’Office for National Statistics (ONS) del Regno Unito e da Eurostat.

Fra i 46 paesi considerati nell’analisi (sui 166 complessivi), in testa troviamo l’Olanda con un rapporto di 462 CISSP per milione, seguita dagli Stati Uniti (341 c.p.m.) e dal Lussemburgo (219 c.p.m.).

Scendono in classifica il Canada (192 c.p.m., dal 2° al 4° posto) e il Regno Unito (126 c.p.m., dal 3° al 6° posto), mentre si affacciano sui primi posti l’Irlanda (5°/130), la Svizzera (7°/124), l’Australia (8°/121), la Finlandia (9°/112) e la Danimarca (10°/89).

Anche stavolta l’Italia non brilla e si ritrova relegata al 33° posto (su 46) con un rapporto di soli 10 certificati per milione, dopo Costarica, Islanda e Lituania, e seguita da Portogallo, Cile e Slovenia. Considerando la composizione del G8, l’Italia è sempre al 7° posto seguita solo dalla Russia, mentre, allargando il confronto al G20, il nostro paese occupa il 9° posto su 16 (per 4 nazioni del G20 i tassi di occupazione non sono disponibili), preceduta da Francia, Giappone e Sudafrica, e seguita da Messico, Turchia e Brasile.

Analisi dei trend nel trienno 2014-2017

Ho recuperato i dati dei certificati CISSP nei vari paesi del mondo al 27 luglio 2014 e al 1 marzo 2016, perciò ho potuto analizzare l’andamento della crescita di ciascuna nazione. Anche in questo caso si possono trarre diverse indicazioni molto interessanti, con qualche sorpresa.

Nella top ten relativa alla media di certificati nel biennio 2014-2016 troviamo al primo posto gli Stati Uniti con 3.994 nuovi CISSP, al secondo il Regno Unito (+373) e al terzo la Cina (+173). A seguire Olanda (+161), Canada (+142), Germania (+130), Giappone e Singapore (+83), Australia (+77) e India (+70). La media registrata nel triennio 2014-2017 conferma sostanzialmente le stesse posizioni. L’Italia risulta al 27° posto nel biennio 2014-2016 (+12) e al 28° posto nel triennio 2014-2017 (+15).

Considerando la crescita registrata nell’ultimo anno (2016-2017), al primo posto della top ten troviamo sempre gli Stati Uniti (+7.731), al secondo il Regno Unito (+709), mentre al terzo sale il Canada (+322). A seguire Giappone (+315), Olanda (+311), Cina (+309), Germania (+307), Australia (+265), Singapore (+243) e India (210). In generale la top ten comprende sempre gli stessi dieci paesi.

Nell’ultimo anno il maggior tasso di crescita fra le prime dieci è della Cina (+26.1%), seguita dal Giappone (+21%) e dalla Germania (+20,3%). L’Italia è sempre relegata al 28° posto con una crescita di 22 certificati nell’ultimo anno (+7 rispetto alla media del triennio) e un tasso di crescita del 6,5%.

Analizzando i valori assoluti di crescita nel triennio 2014-2017, in cima alla top ten troviamo gli Stati Uniti (+15.719 CISSP), il Regno Unito (+1.454) e la Cina (+654), seguiti da Olanda (+633), Canada (+606), Germania (+566), Giappone (+480), Australia (+418), Singapore (+409) e India (+350). Il maggiore tasso di crescita nel triennio 2014-2017 è sempre della Cina (+78%), seguita da Germania (+45%) e Olanda (+41,4%). L’Italia occupa il 27° posto con una crescita assoluta di soli 46 certificati nel triennio 2014-2017 e un tasso di crescita del 14,7%.

Ai primi tre posti della classifica dei migliori tassi di crescita nel triennio 2014-2017 troviamo tre autentiche sorprese, ovvero tutte isole del Regno Unito, con in testa le isole normanne del Baliato di Jersey con un +400%, i cui certificati CISSP sono passati dai 3 del 2014 ai 15 del 2017 (+12). A seguire un’altra isola normanna, il Guernsey, con +400% (da 1 a 5 e +4), quindi al terzo posto l’Isola di Man con +350% (da 2 a 9 e +7). Considerando solo i 55 stati che avevano almeno 50 certificati CISSP nel 2014, invece, il miglior tasso di crescita triennale è della Cina (+78%), seguita da Filippine (+65,7%), Repubblica Ceca (+56,8%), Polonia (+45,8%), Germania (+45%), Olanda (+41,4%), Nuova Zelanda (+38,2%), Austria (+36,2%), Giappone (+36%) e Ungheria (+34,5). Anche in questo caso la posizione occupata dall’Italia non è molto lusinghiera: il nostro paese è solo al 43° posto su 55, con un tasso di crescita triennale del 14,7%.

Italia: è urgente investire di più sulla cultura nazionale

Se si vuole considerare il numero di professionisti certificati CISSP come un indicatore del grado di attenzione generale che una nazione può vantare in materia di sicurezza delle informazioni, allora l’Italia ha di sicuro ancora molta strada da fare. L’analisi svolta illustra una situazione alquanto deludente per un paese che punta molto sul settore terziario, in particolare il terziario avanzato, e viene da una lunga storia di potenza industriale, anche se ormai in buona parte tramontata dopo l’entrata nell’Euro. Sarebbe stato interessante confrontare il tasso di crescita con quello delle altre certificazioni di settore (CISA, CISM, CCISO, GIAC, ecc.) per verificare se il trend è analogo, ma a conferma della scarsità di crescita ipotizzata posso portare la mia personale esperienza negli esami di certificazione sostenuti, ai quali hanno sempre partecipato gruppi relativamente ristretti di candidati.

Il 25° posto dell’Italia per numero assoluto di certificati CISSP indica che siamo dietro a nazioni con tradizioni e retaggi storici molto meno lusinghieri dei nostri, ed è confermato dal 26° posto occupato dal nostro paese nella classifica degli stati per indice di sviluppo umano, in cui risultiamo inferiori, ad esempio, a Slovenia, Belgio, Lussemburgo, Liechtenstein e Irlanda.

Analogamente, siamo dietro a quasi tutti i paesi del G8 e alla maggior parte di quelli del G20, soprattutto nel rapporto fra certificati e popolazione complessiva e fra certificati e popolazione occupata. Sebbene non abbia i mezzi per calcolarla, esiste probabilmente una correlazione di questi risultati con il PIL (Prodotto Interno Lordo) e con il PIL rapportato al Potere di Acquisto (PPA), per i quali siamo rispettivamente al 7° posto e al 10° del G8 (e rispettivamente al 9° e 10° posto del G20), quindi in posizioni analoghe a quelle riscontrate per le certificazioni CISSP.

Non certo esaltante anche il tasso di crescita dei certificati CISSP, per il quale l’Italia è dietro a nazioni molto meno blasonate.

Mi sono divertito ad analizzare in qualche modo i pochi dati messi a disposizione da (ISC)² e quelli pubblicamente disponibili, pertanto i risultati di questa analisi vanno esaminati e considerati con il giusto senso critico. Tuttavia, appare evidente come la scarsa crescita dei professionisti certificati sulla sicurezza delle informazioni sia un chiaro segnale di quanto sia complicato e difficile integrare la cultura della sicurezza e del rischio nel mondo del lavoro e, più in generale, nella società italiana.

Essere uno dei pochi “eletti” (si fa per dire, eh!) è una magra consolazione: ritengo sia indispensabile ed urgente investire molto di più a livello nazionale sulla cultura di sicurezza, sulla protezione delle informazioni e sulla salvaguardia del business aziendale, poiché il divario con gli altri paesi occidentali si sta ampliando e va recuperato al più presto.

Ettore Guarnaccia