L’Agenzia per la Cybersicurezza Nazionale e il primo bando per la ricerca di 50 esperti

TL;DR Inizia il reclutamento del personale per la neonata Agenzia per la Cybersicurezza Nazionale. Alla ricerca di laureati con ottimi voti in materie STEM, con competenze specifiche e puntuali. I quali si lasceranno tentare da un RAL di 50K€ e il rischio di restare impantanati nella burocrazia nazionale?

“La mia ricetta per il successo? L’entusiasmo.
Penso che valga perfino di più delle abilità professionali.”
Edward Victor Appleton

Pubblicato martedì 22 febbraio in Gazzetta Ufficiale il bando per i “Concorsi pubblici per la copertura di cinquanta posti di esperto di varie discipline, a tempo indeterminato, per l’Information and Communication Technology” necessario a rimpinguare le fila degli esperti che andranno a ricoprire, a vario titolo, ruoli all’interno della neonata Agenzia per la Cybersicurezza Nazionale.

Il bando è stato anticipato a mezzo stampa dalle dichiarazioni del Direttore dell’ACN, il Prof. Baldoni: “assumiamo 72 persone con stipendi a livelli Bankitalia […] L’obiettivo è far rientrare i talenti che negli ultimi anni sono andati all’estero per i due mali tipici del nostro Paese: salari bassi e poca meritocrazia […] Il concorso pubblico è aperto anche a giovani neolaureati. Essere geni del computer serve, ma non basta“.

La retribuzione prevista sembrerebbe essere di tutto rispetto, almeno per quanto riguarda la media nell’ambito ICT nella PA: 50.000€ lordi l’anno. Ma già dai requisiti di partecipazione richiesti dal bando, si capisce che non sarà, per i potenziali candidati, un obiettivo facile da raggiungere.

Oltre al voto minimo di 105/110 (requisiti già previsti anche per BankItalia, mi dicono), è richiesta la laurea in questi ambiti:

1. Laurea magistrale/specialistica, conseguita con  un  punteggio
di almeno 105/110 o votazione  equivalente,  in  una  delle  seguenti
classi: ingegneria delle  telecomunicazioni  (30S/LM-27);  ingegneria
elettronica   (32S/LM-29);   ingegneria   informatica    (35S/LM-32);
ingegneria  dell'automazione  (29S/LM-25);  informatica  (23S/LM-18);
sicurezza  informatica  (LM-66);   matematica   (45S/LM-40);   fisica
(20S/LM-17);  ingegneria   gestionale   (34S/LM-31);   altra   laurea
equiparata  a  uno  dei  suddetti  titoli  ai   sensi   del   decreto
interministeriale 9 luglio 2009; 
    ovvero 
diploma di laurea di «vecchio  ordinamento»,  conseguito  con  un
punteggio di almeno 105/110 o votazione  equivalente,  in  una  delle
seguenti discipline: ingegneria delle  telecomunicazioni;  ingegneria
elettronica;    ingegneria    informatica;    informatica;    scienze
dell'informazione; matematica; fisica; ingegneria  gestionale;  altra
laurea a esso equiparata o equipollente per legge. 

Le figure cercate, 50 in totale, lavoreranno a Roma e sono:

A. Quindici esperti per le funzioni tecnico/amministrative  di
certificazione e ispezione con esperienza nell'applicazione di schemi
di certificazione Common Criteria / ITSEC e/o come auditor ISO; 
B. Dieci esperti per le funzioni di tecnico hardware e  tecnico
di telecomunicazioni con esperienza  nello  sviluppo  hardware  (PCB,
logiche programmabili, ASIC), in sistemi embedded e/o in ambito  reti
di telecomunicazioni; 
C. Quindici esperti per le funzioni  di  tecnico  software  con
esperienza nello sviluppo software e/o nella sicurezza informatica; 
D. Quattro esperti per le funzioni di gestione e  realizzazione
di programmi industriali, tecnologici e di ricerca con esperienza  in
programmi di investimento di rilevanza nazionale ed europea nel campo
della cyber security; 
E. Tre esperti per  le  funzioni  di  tecnico  crittografo  con
esperienza nell'ambito della crittografia teorica o applicata; 
F. Tre esperti per le funzioni operative di  cybersecurity  con
conoscenze in  ambito  della  gestione  degli  incidenti  informatici
(triage, indicatori di compromissione, best  practices  di  sicurezza
informatica), dell'analisi  malware,  dell'analisi  forense  e  cyber
threat intelligence, dell'analisi e valorizzazione di  dati  e  della
gestione del rischio cyber. 

Le prove di selezione, con i relativi argomenti, sono indicati all’Allegato A del bando e comprendono, a seconda delle figure, argomenti come teoria dei sistemi operativi, linguaggi di programmazione, framework di sicurezza informatica (ISO27001, NIST…), crittografia, open source intelligence (OSINT)…

Non sarà facile reclutare competenze simili, soprattutto perché chi le ha è già stato assunto con stipendi decisamente superiori da qualche lungimirante azienda oppure è già volato oltre confine, dove non solo lo stipendio ma anche la gratificazione spesso è decisamente superiore a quanto una PA riesce a offrire.

All’annuncio del Dott. Baldoni sul suo profilo LinkedIn ha fatto seguito un diluvio di commenti che vedono contrapporsi chi guarda con speranza al futuro dell’Agenzia come soggetto pubblico capace di stimolare, finalmente, la PA italiana sul tema della cybersecurity e chi, invece, forse memore delle esperienze pregresse e della realtà contemporanea, sottolinea l’inadeguatezza sia della retribuzione che l’esagerazione sui requisiti accademici previsti: in un settore dinamico come quello della sicurezza informatica non sono rari esperti del settore privi addirittura di laurea, animati esclusivamente dalla curiosità e dall’expertise tipico di chi, in un ambito innovativo come quello informatico, si è formato in autonomia confrontandosi “sul campo”.

Competenze molto particolari, quindi, dove non sempre la tradizionale formazione accademica riesce a restare al passo con i tempi.

Come ben sa chi lavora in questo ambito, la formazione continua è fondamentale, così come essere inseriti in circuiti nazionali e internazionali del settore, per restare aggiornato sulle minacce e sulle nuove tecniche sia di difesa che di attacco.

Tuttavia, anche sperando che la neonata Agenzia Nazionale per la Cybersicurezza possa avere successo e ottenere i risultati a cui sta puntando, credo che il problema sia sistemico e non possa trovare soddisfazione in un unico soggetto centralizzato, per quanto la roadmap sia piuttosto ambiziosa (seppur spalmata in diversi anni).

A Marzo 2022, infatti, dovrebbero essere migrate le competenze in cybersecurity attualmente in AgID e al MISE alla nuova Agenzia, per poi -entro fine Giugno 2022- arrivare all’avvio “dell’operatività del Centro di Valutazione e Certificazione Nazionale, per la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato“.

Già qualcosa è stato prodotto, come ad esempio il documento sulla “Strategia Cloud Italia“, balzata agli onori dei social per l’ormai famosa citazione in merito alla “crittografia nazionale” (che sia questo l’obiettivo del reclutamento del 3 esperti di crittografia?). Fa sorridere anche l’accenno al “controllo delle chiavi in Italia“, per le tipologie “Pubblico criptato e privato/ibrido su licenza“: di grazia, ma dove pensavate di farle controllare, le chiavi?

Per concludere, non citerò nuovamente le ormai note parole del Min. Colao in merito allo stato delle infrastrutture ICT della PA italiana di quasi un anno fa. Parole che, a mio modesto parere, avrebbero richiesto sia un soggetto centrale per coordinare e armonizzare le attività (ma non avevamo già l’Agenzia Italia Digitale?), comprese quelle relative alla cybersecurity, che una corposa iniezione di capitale (risorse economiche, personale e competenze) all’interno delle singole PA, con una verifica puntuale della situazione in ognuna di esse.

Per il momento, invece, sembra che dovremmo accontentarci di questa nuova ennesima Agenzia Nazionale, il cui sito web (www.acn.gov.it) include già un bel tracker di Google Analytics. Quando si dice che “chi ben comincia…“