Per la cyber security un percorso Stem integrato nel sistema scolastico

S cience, technology, engineering, mathematics sono le quattro parole d’ordine quando si pensa a come formare le decine di migliaia di esperti in cyber security che mancano al nostro Paese. Non solo in Italia, ma anche nel resto del mondo, si afferma che dalle discipline Stem dipenda il futuro della sicurezza cyber, ma questa potrebbe diventare una trappola micidiale perché non tiene minimamente conto della trasversalità di una disciplina come questa. Per riassumere con un frase di Bruce Schneier, crittografo e matematico: «Se pensate che la tecnologia possa risolvere i vostri problemi di sicurezza, allora non avete capito né i problemi né la tecnologia». Questo è un buon punto di partenza per comprendere cosa serve per affrontare il tema della cyber security.

In questo senso nulla come delle esemplificazioni sono utili per comprendere quanto sia pericoloso fossilizzarsi su posizioni tecnico scientifiche. Partiamo da un luogo comune tragicamente vero: otto volte su dieci un incidente è determinato dall’essere umano. Per risolvere questo problema servono migliaia di educatori che preparino gli utenti a usare in modo consapevole i sistemi, un lavoro adatto a pedagogisti, psicologi e filosofi. Veniamo a un altro tema scottante: a indagare e perseguire i criminali informatici saranno le forze dell’ordine e la magistratura. Questo significa migliaia di laureati in legge che abbiano cognizione di causa rispetto alle nuove tecnologie, a cui se ne aggiungeranno altrettanti destinati a gestire all’interno delle organizzazioni la conformità alle sempre più numerose norme nazionali, europee e internazionali che regolamentano la società dell’informazione. Una situazione tragicomica è legata alla comunicazione in caso di incidente. Le organizzazioni sembrano incapaci di gestire le informazioni legate a un problema di sicurezza sia verso l’esterno che al proprio interno. In prospettiva saranno indispensabili migliaia di professionisti, magari giornalisti o laureati in Scienze della comunicazione, che possano evitare le forme di autolesionismo praticate da decine di organizzazioni pubbliche a private quando si tratta di confrontarsi con gli stakeholder siano essi cittadini, azionisti, clienti, fornitori o autorità di controllo.

Questo ci porta direttamente a un tema strettamente correlato, ovvero la gestione di una crisi derivante da un incidente cyber. In questo caso servono almeno competenze organizzative, finanziarie e giuridiche, un mix che difficilmente il mondo Stem può offrire, ma forse più vicine a quel mondo che tendiamo ad associare a percorsi di laurea come Economia e commercio. Se poi si trattasse di una crisi internazionale che coinvolge degli Stati, forse potrebbero essere utili degli esperti in Scienze politiche e diplomatiche. L’elenco potrebbe essere ancora molto lungo, ma sono ragionevolmente certo che a questo punto qualcuno sta immaginando che le discipline Stem non sono il problema, ma la soluzione.

In effetti si potrebbe ipotizzare che estendendo queste materie a percorsi formativi giuridici e umanistici il problema sia risolto. In realtà si tratta di una “mezza soluzione” perché guarda soltanto una faccia della medaglia. Se rovesciamo la questione ecco che i nodi vengono immediatamente al pettine. Immaginiamo un gruppo di ingegneri e programmatori che deve sviluppare un software che prevede il trattamento di dati personali. Veramente sarebbero in grado di farlo senza avere idea di quali norme cogenti sono applicabili? Un ragionamento analogo vale per qualsiasi altro aspetto della cyber security : i professionisti Stem devono avere gli elementi di base per comprendere le problematiche della gestione di una crisi, della comunicazione, delle implicazioni finanziarie di un incidente, delle modalità di educazione degli utenti. In caso contrario il dialogo con gli specialisti di altre aree sarebbe impossibile. Appare evidente come il tema non sia semplicemente diffondere l’idea che le discipline Stem debbano essere trasversali a qualsiasi iter formativo, ma piuttosto comprendere che la cyber security è un percorso a sé stante. A maggior ragione perché al suo interno stiamo assistendo a una rapida diversificazione delle professionalità. Se dieci anni orsono si potevano distinguere due macro-categorie, una orientata agli aspetti tecnologici, l’altra a quelli gestionali, oggi si possono contare un numero di specialità pari o superiore a quelle presenti in ambito medico. Aggiungiamo che esattamente come in un ospedale sono indispensabili anche infermieri, tecnici sanitari e via dicendo. Questo implica strutturare un intero sistema formativo a più livelli, a partire dalle scuole superiori. È interessante l’esperimento dell'Istituto di istruzione superiore A. Badoni che ha introdotto un piano formativo in materia di sicurezza delle informazioni per gli studenti dell’ultimo triennio. Non meno lodevoli sono le iniziative portate avanti da molti Istituti tecnici superiori che consentono di conseguire qualifiche specialistiche post-diploma, che da qualche tempo hanno attivato percorsi specifici in materia di cyber security. Quasi un atto dovuto, invece, il progressivo impegno delle università nel proporre lauree triennali e magistrali specifiche e una serie di master e corsi di specializzazione. Ma se l’intero sistema educativo nazionale è in movimento perché dovremmo preoccuparci? Per la semplice ragione che tutti avanzano in ordine sparso, perché siamo in assenza di un quadro di riferimento delle professionalità e ancora meno dell’indicazione di quali, per ognuna di esse, debbano essere le competenze necessarie da acquisire. Effettivamente comparando i piani di studio dei diversi Its e di diverse università si possono rilevare profonde discrepanze: in linea di principio nulla di male, peccato che il titolo di studio sia sostanzialmente lo stesso. Per tornare al paragone con gli studi di medicina, è come se tutti fossero semplicemente dei medici-chirurghi e non dermatologi, cardiologi, neurologi e via dicendo. Una situazione che rappresenta un problema per aziende e pubbliche amministrazioni e per gli stessi diplomati e laureati, tanto che si potrebbe coniare la paradossale definizione di titolo di studio “specialistico-generico”.

NEWSLETTER

Scuola+

Scopri di più

Libri

Agenda del risparmio 2024

Scopri di più