![Se hai trovato utile questo articolo, condividilo sui tuoi profili social!A distanza di quasi quattro anni dall’ultima analisi statistica, vediamo qual è la situazione dei certificati CISSP nel mondo e qual è il posizionamento dell’Italia […]](https://www.ettoreguarnaccia.com/wp-content/uploads/CISSP2021-Trends-640-620x300.jpg "Certificazione CISSP: analisi statistica dei dati mondiali e focus sull’Italia (2021)")
A distanza di quasi quattro anni dall’ultima analisi statistica, vediamo qual è la situazione dei certificati CISSP nel mondo e qual è il posizionamento dell’Italia sotto diversi aspetti, soprattutto in relazione ai risultati non certo esaltanti dell’analisi precedente. Ancora oggi la certificazione CISSP di (ISC)2 è una delle più ambite dai professionisti della cybersecurity e può costituire un indicatore del livello di investimento in sicurezza nelle singole nazioni del mondo. Analizziamo quindi l’attuale situazione sulla base dei dati pubblicati direttamente da (ISC)2, confrontandoli con quelli degli anni precedenti (2014 e 2017) per apprezzarne i relativi trend.
Dati generali
Il totale dei professionisti certificati CISSP nel mondo ammonta a 147.591 (dati di gennaio 2021), con una crescita di ben 53.550 certificati negli ultimi 7 anni (+36,3%) e una media di 7.650 nuovi certificati all’anno, in diminuzione rispetto alla media di 7.900 registrata nel periodo 2014-2017. I paesi che detengono il maggior numero di certificati CISSP e si confermano ai primi tre posti della classifica mondiale sono gli Stati Uniti con 92.938 certificati, pari a circa il 63% del totale mondiale (+52% dal 2014), il Regno Unito con 7.928 certificati (, 5,4% del totale, +70% dal 2014) e il Canada con 6.224 certificati (4,2% del totale, +45% dal 2014). Eccezionale la crescita della Cina, al quarto posto con 3.322 certificati (+296% dal 2014), e del Giappone, quinto con 2.911 certificati (+118% dal 2014), che salgono rispettivamente dal 13° e dal 10° posto superando nettamente Corea del Sud, Olanda e Australia.
Fra i paesi europei, dopo il Regno Unito, troviamo Olanda (2.866, +87,3%), Germania (2.607, +107%), Francia (1.171, +60%) e Svizzera (1.056, +60%). In Asia, dopo Cina e Giappone troviamo India (2.747, +74%), Singapore (2.481, +103%), Corea del Sud (2.378, -18%) e Hong Kong (1.908, +38%). Il continente africano è ancora un po’ indietro nella classifica mondiale, con i primi tre stati, Sudafrica (489, +34%), Nigeria (186, +48%) ed Egitto (113, +24%) molto lontani dalle prime posizioni. Discorso analogo per l’America del Sud, che ai primi tre posti piazza Brasile (442, +14%), Colombia (175, +48%) e Argentina (141, +22%) ma molto lontani dalle prime posizioni della classifica generale. L’Oceania beneficia della presenza di Australia (2.904, +70%) e Nuova Zelanda (358, +111%), mentre i restanti paesi hanno poche unità o sono addirittura sprovvisti di certificazioni. Infine, in America del Nord spadroneggiano Stati Uniti e Canada, seguiti da Messico (374, +29%) e Costarica (109, +506%).
Principali trend
I maggiori trend di crescita sono riscontrabili soprattutto in Asia dove, oltre ai già citati Cina e Giappone, sono da rilevare crescite eccezionali di Georgia (+1500% dal 2014), Bangladesh (+1000%) e Armenia (+450%). Fra gli stati con numeri rilevanti di certificati CISSP, spiccano le crescite negli ultimi 7 anni di Repubblica Ceca (+149%), Filippine (+148%), Romania (+116%), Nuova Zelanda (+111%), Germania (+107%), Polonia (+105%), Singapore (+103%), Irlanda (+96%), Olanda (+87%), India (+74%), Australia (+70%) e Regno Unito (+70%).
I maggiori trend di decrescita, invece, riguardano soprattutto Corea del Sud (-18%, passata da 2.894 a 2.378 certificati), Venezuela (-44%), Montenegro (-20%), Uruguay (-18%), Guatemala (-8%), Slovenia (-7%), Barbados (-6%) e altri piccoli stati. Sono entrati in classifica alcuni stati che non avevano mai avuto certificati CISSP, come Benin (4), Mongolia (3), Afghanistan, Brunei, New Caledonia e Northern Mariana Islands (2), per finire con Antigua e Barbuda, Angola, Capo Verde, Polinesia Francese, Mali, Ruanda, Suriname e Tagikistan. Escono invece dalla classifica Guadalupe e Nicaragua che hanno perso l’unico certificato CISSP che avevano.
Rapporto fra certificati CISSP e popolazione
Il paese con il miglior rapporto fra certificati CISSP e abitanti complessivi è Singapore, città-stato del sud-est asiatico, con una media di 420,74 certificati CISSP per milione di abitanti (2.481 CISSP su 5.896.686 abitanti), seguito dalle Isole Cayman con una media di 330,78 per milione (22 CISSP su 66.510 abitanti) e dagli Stati Uniti d’America con una media di 279,10 per milione (92.938 CISSP su 332.987.277 abitanti). Notevoli anche le concentrazioni di certificati CISSP in Hong Kong (252,56 per milione), Bermuda (241,77), Isole del Canale della Manica (Channel Islands con 239,66), Lussemburgo (179,15), Olanda (166,88) e Canada (163,44). Le concentrazioni più basse, invece, si registrano in Sudan e in Algeria con una media di 0,02 CISSP per milione di abitanti, in Angola con 0,03 CISSP per milione, in Burkina Faso e Mali con 0,05 CISSP per milione (esclusi ovviamente tutti gli stati senza alcun certificato CISSP).
Rapporto fra certificati CISSP e occupati (OCSE)
Se consideriamo il tasso di occupazione degli stati attualmente monitorati dall’Organizzazione per la Cooperazione e lo Sviluppo Economico (in inglese Organization for Economic Co-operation and Development, OECD), la più alta incidenza di certificati CISSP rispetto agli abitanti attualmente occupati si registra negli Stati Uniti d’America, con 416,14 certificati CISSP per milione di occupati (92.938 CISSP su 223.334.567 occupati), che sono seguiti da Lussemburgo (266,39 CISSP per milione di occupati), Canada (233,59) e Olanda (214,50). La concentrazione più bassa di CISSP rispetto agli occupati si registra invece in Russia, con soli 2,38 CISSP per milione di occupati (solo 243 CISSP su 102.123.826 occupati), seguita da Turchia (4,53 CISSP per milione di occupati), Messico (4,62), Colombia (5,91), Cile (8,57) e Slovenia (8,82).
Rapporto fra certificati CISSP e superficie
In relazione alla superficie in chilometri quadrati (Kmq), lo stato con la maggiore densità di certificati CISSP è di nuovo Singapore, con un certificato CISSP ogni 290 metri quadrati (mq), avendo 2.481 CISSP su una superficie di soli 719 Kmq, seguito da Hong Kong (1 ogni 582 mq) e Macao (1 ogni 1,83 Kmq). Notevoli le concentrazioni geografiche di Olanda (1 CISSP ogni 14,49 Kmq), Lussemburgo (1 ogni 22,72 Kmq), Regno Unito (1 ogni 30,73 Kmq), Corea del Sud (1 ogni 42,21 Kmq), Stati Uniti (1 ogni 105,79 Kmq), Giappone (1 ogni 129,84 Kmq) e Germania (1 ogni 137,16 Kmq).
Le concentrazioni più basse al mondo (esclusi i paesi con 0 CISSP) si riscontrano in Algeria (1 solo CISSP su 2.381.741 Kmq di superficie complessiva), Sudan (1 solo CISSP su 1.854.105,41 Kmq totali), Angola (1 solo CISSP su 1.246.700 Kmq) e Mali (1 solo CISSP su 1.240.190 Kmq complessivi). Da notare le basse concentrazioni in Russia (243 CISSP con una media di 1 CISSP ogni 70.363,71 Kmq), Islanda (1 ogni 14.714 Kmq) e Cile (1 ogni 8.225 Kmq).
La situazione dell’Italia
I professionisti certificati CISSP in Italia sono 437, pari allo 0,3% del totale mondiale. Nella classifica complessiva dei 170 paesi mondiali con almeno un certificato CISSP all’attivo, l’Italia risulta al 25° posto assoluto, preceduta da Sudafrica (489), Finlandia (477), Danimarca (462) e Brasile (442), e seguita da Arabia Saudita (399), Israele e Messico (374). La posizione in classifica risulta stabile rispetto alla precedente analisi del 2017, mentre la crescita è stata del +22,1% rispetto al 2017 (100° posto) e del +40,1% rispetto al 2014 (101° in classifica). Fra i 45 paesi europei con almeno un certificato CISSP, l’Italia risulta al 13° posto, fra Danimarca e Austria, mentre se prendiamo in considerazione i paesi che compongono il G20, il forum dei leader dei 20 paesi più industrializzati che rappresentano i due terzi del commercio e della popolazione mondiale, oltre che l’80% del PIL mondiale e l’87% dei CISSP nel mondo, l’Italia è ancora relegata al 14° posto (esattamente come nel 2017), dietro al Brasile e davanti all’Arabia Saudita. Inoltre, l’Italia è all’8° posto fra i 19 paesi della Zona Euro dietro Olanda, Germania, Francia, Spagna, Belgio, Irlanda e Finlandia.
Nel rapporto fra certificati CISSP e popolazione l’Italia sale di tre posizioni, dal 79° posto con una media di 5,9 CISSP per milione di abitanti nel 2017 al 76° posto di oggi con una media di 7,24 CISSP per milione, dietro a Sudafrica (8,14), Uruguay (7,75) e Belize (7,41), e davanti a Nuova Caledonia (6,94), Oman (6,68) e Montenegro (6,37). Considerando il rapporto fra certificati CISSP e occupati (secondo stime OCSE), invece, l’Italia scende dal 33° al 34° posto (su 40 paesi), con soli 12,46 CISSP per milione di occupati, sorpassata dal Portogallo (14,97). Non è una posizione lusinghiera e nemmeno l’aumento del rapporto CISSP/occupati da 10,3 a 12,5 è sufficiente a garantire un reale progresso nella classifica. Infine, considerando il rapporto tra certificati CISSP e superficie, l’Italia si piazza al 58° posto con 1 CISSP ogni 691,24 Kmq, dietro a Francia (468,90), Polonia (473,06), Slovacchia (521,60), Svezia (637,36) e Spagna (652,85), e davanti a Finlandia (709,54), Nuova Zelanda (747,79) e Portogallo (878,34).
La strada è ancora lunga…
Lo scrivevo quattro anni fa e sono costretto a ribadirlo anche oggi: se consideriamo il numero di professionisti certificati CISSP come un indicatore del grado di sensibilità di una nazione verso l’importanza cruciale della cybersecurity, allora l’Italia è ancora troppo indietro rispetto a diversi altri paesi e c’è ancora molto da fare. Lo ha detto chiaramente anche Franco Gabrielli, sottosegretario alla Presidenza del Consiglio nonché Autorità Delegata per la Sicurezza della Repubblica, in audizione alla Camera in relazione all’istituzione dell’Agenzia per la Cyber-sicurezza Nazionale (ACN), specificando che l’Italia è arrivata tardi, poiché le infrastrutture critiche nazionali e i settori essenziali dello Stato sono sottoposti a minacce di ogni tipo, costituite da criminalità organizzata, terrorismo e soggetti spinti da interessi legati alla competizione fra nazioni. Gabrielli ha anche ricordato che in Germania (9° posto al mondo per numero di certificati CISSP) l’agenzia per la sicurezza cyber è nata nel lontano 1991 e oggi conta 1.200 dipendenti, mentre in Francia (13° al mondo per CISSP) una funzione operativa analoga esiste dal 2009 e dispone di oltre un migliaio di addetti. Sempre Gabrielli riconosce un deficit di cultura nazionale in materia di cybersecurity ed esorta a recuperare il terreno perso investendo sulle competenze.
Ha recentemente rincarato la dose Vittorio Colao, Ministro per l’Innovazione Tecnologica e la Transizione Digitale, denunciando lo scarso livello di sicurezza del 93-95% dei server della Pubblica Amministrazione italiana. In generale, la carenza di competenze in materia di cybersecurity è un problema nazionale piuttosto serio: se risulta quasi impossibile trovare personale competente in materia di sviluppo informatico e innovazione digitale, figuriamoci quanto sia arduo in materia di sicurezza cibernetica e digitale, un problema che oggi è molto sentito anche nelle piccole e medie imprese, storicamente lontane dal tema. Nel decreto di istituzione dell’Agenzia per la Cyber-sicurezza Nazionale si evidenzia la straordinaria necessità ed urgenza di attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale, poiché la vulnerabilità di reti e sistemi può portare al malfunzionamento o all’interruzione di funzioni essenziali dello Stato, con potenziali gravi ripercussioni su cittadini, famiglie, imprese e pubbliche amministrazioni, fino a causare un pregiudizio per la sicurezza nazionale.
Non c’è dubbio che la crescente e sempre più rapida evoluzione tecnologica e digitale debba essere seguita da vicino da precise strategie di cybersecurity e da un analogo aumento delle competenze in materia. Ben vengano le facoltà universitarie che offrono corsi di laurea in cybersecurity, ma buona parte delle competenze si sviluppano attraverso studio specializzato, esperienza sul campo e, perché no, anche qualche fallimento. Le certificazioni professionali sono un ottimo complemento alla preparazione universitaria e all’esperienza diretta, perché forniscono una chiara metodologia d’approccio e un body of knowledge che copre tutti gli aspetti della cybersecurity, senza limitarsi ad ambiti settoriali specifici. Con l’avvento della pandemia planetaria da Covid-19 il settore informatico ha subìto una spinta decisa verso la digitalizzazione e l’operatività da remoto, si pensi alla diffusione dello smart working e alle aziende de-materializzate, ma questa repentina accelerazione ha comportato anche nuovi rischi e nuove minacce per la sicurezza del business e dei dati aziendali e personali.
L’ultima Relazione sulla Politica dell’Informazione per la Sicurezza pubblicata il 1° marzo 2021 evidenzia che tra il 2019 e il 2020 si è verificata una crescita del 20% del numero di attacchi informatici a soggetti pubblici e privati italiani. Nel corso del 2020, il target privilegiato dai cybercriminali con l’83% degli attacchi è costituito dai soggetti pubblici, con un aumento del 10% rispetto al 2019. Fra i privati, i settori più colpiti sono quello bancario, quello dei servizi IT e quello farmaceutico-sanitario. Se negli ultimi 5 anni la spesa globale in sicurezza informatica è cresciuta del 44% (superando i 60 miliardi di dollari) con un aumento del 25% durante il periodo pandemico, le competenze e le buone pratiche di sicurezza sono ancora molto lontane da un livello considerato accettabile. I numeri dei professionisti certificati CISSP in Italia, purtroppo, confermano tutto questo.
Ettore Guarnaccia
