infosecItalia

Il penetration testing, come suggerisce il nome, è l’attività in cui si prova a entrare in un sistema per verificare se sia sicuro. Di solito si viene assunti da una azienda per testare la sicurezza di un gruppo di computer, di una rete, o di un edificio. Un Pen Tester è incaricato di comportarsi come il peggiore dei criminali, ma può farlo in modo assolutamente legale perché è la “vittima” stessa a averlo richiesto. Funziona un po’ come con i crash test: le aziende pagano degli esperti per distruggere una automobile, in modo da capire come migliorare la sicurezza.

Il lavoro di Pen Tester, e più in generale ogni lavoro connesso alla sicurezza informatica, è quindi impegnativo: bisogna tenersi continuamente in allenamento e aggiornati sulle ultime vulnerabilità scoperte da altri esperti di sicurezza. E bisogna anche mantenere buoni rapporti con i colleghi e i datori di lavoro (o i clienti, a seconda del proprio ruolo). È anche importante conoscere un gran numero di dispositivi hardware e software, avere una infarinatura di un po’ tutto e essere pronti a trovarsi davanti qualsiasi cosa. Ma è pure un impiego gratificante e, nei limiti delle forme contrattuali che esistono oggi giorno, anche un lavoro abbastanza sicuro. Per capire meglio la situazione lavorativa nel campo della sicurezza informatica in Italia, abbiamo realizzato un sondaggio: qui potete vedere alcuni dei grafici che abbiamo prodotto per commentare le risposte.

Disclaimer sulla statistica
Leggendo i dati del nostro sondaggio, e il commento dei risultati, non bisogna dimenticare che sono stati raccolti in forma anonima, ed è stata esercitata una analisi soggettiva per scremare le inevitabili risposte dei troll. Inoltre, le persone che hanno partecipato sono poco più di un centinaio, e per alcune domande il numero è appena di alcune decine. Quindi non possiamo considerare l’insieme delle risposte un campione statisticamente rappresentativo di tutti i lavoratori italiani nel campo della sicurezza informatica. Le risposte raccolte dal nostro sondaggio servono più che altro per avere una idea di massima della situazione, comunque un po’ più affidabile rispetto all’intervistare solo una o due persone.

 

Le competenze più richieste

La competenza più richiesta ai Pen Tester in Italia è l’exploit delle web app. Cioè le applicazioni in PHP o ASP, per esempio, che vengono installate sui server web. Seguono gli exploit remoti e locali, cioè il tentativo di entrare nei server e i computer dell’azienda. La meno richiesta, ma comunque considerata importante, è il phisical penetration testing, cioè l’ingresso in edifici che dovrebbero essere protetti da sistemi di sicurezza (lucchetti meccanici o elettronici) per l’importanza dei dati contenuti al loro interno.

I paesi in cui un Pen Tester è pagato di più

I tre paesi in cui un esperto di sicurezza, e un Pen Tester in particolare, viene pagato meglio sono in ordine la Germania, il Regno Unito, e la Svizzera. Seguono Stati Uniti e Francia: conoscere le lingue può quindi essere una buona cosa per avere la possibilità di lavorare all’estero.

Il gender gap nell’informatica

Sia femmine che maschi sono d’accordo sul fatto che le donne vengano pagate meno degli uomini nel complesso. Bisogna anche notare che vi è consenso sul fatto che alle donne vengano fornite meno opportunità di fare carriera. Questa è probabilmente la chiave di lettura corretta del problema del gender gap nell’informatica: le persone vengono pagate allo stesso modo per la stessa mansione, tuttavia le donne vengono mediamente penalizzate nell’avanzamento della carriera. Questo fa sì che mediamente le mansioni più remunerative vengano assegnate a degli uomini. Il fenomeno è complicato, ma in altri ambiti lavorativi si è notato come la paga media di una donna senza figli sia sostanzialmente identica a quella di uomo. Questo fa supporre che la maternità sia ancora considerata un “problema” da alcuni datori di lavoro. Non abbiamo però abbastanza dati per capire se questo sia vero anche nel campo dell’informatica.

Quanto tempo si dedica al lavoro?

C’è una differenza sostanziale di vedute tra i Pen Tester più giovani, tra i 26-35 anni, e i meno giovani, tra i 36 e i 50 anni, per quanto riguarda il tempo da dedicare al lavoro. I più giovani infatti sostengono per la maggioranza che il tempo da dedicare al lavoro sia tutto sommato accettabile, mentre i meno giovani ritengono che il lavoro occupi troppo tempo nella propria vita e la cosa sia fonte di stress. Questo si può spiegare con la sindrome da Burn Out, tipica di mestieri ad alta responsabilità come il Penetration Testing. Purtroppo, il nostro sistema sanitario e di previdenza sociale non è molto moderno per quanto riguarda il riconoscimento dello stress da lavoro.

Le tutele dei lavoratori sono sufficienti?

La maggioranza dei lavoratori dell’informatica ritiene che al momento le tutele lavorative siano appena sufficienti. Solo tra i 26 e i 35 anni c’è una buona percentuale di lavoratori che considera buone le tutele attualmente disponibili. Per il resto, spicca la percezione di tutele assolutamente insufficienti in parte tra i 26 e i 35 ani, ma soprattutto tra i 36 e i 50 anni. Che è singolare se unito al dato sulla necessità della costituzione di un sindacato, ma è probabilmente dovuto a una generale sfiducia nel fatto che un sindacato possa migliorare la situazione. In altre parole, gli adulti tra i 36 e i 50 anni considerano la situazione delle tutele dei lavoratori della sicurezza informatica fortemente sbilanciata verso l’insufficienza, ma non è chiaro se la situazione possa essere migliorata.

Si sente la mancanza di un sindacato?

I lavoratori dell’informatica si trovano spesso in quella sorta di limbo dei diritti del lavoro, per cui sono trattati di fatto come dipendenti di aziende, ma vengono considerati dei “liberi professionisti” sulla carta, e quindi non hanno una rappresentanza sindacale. Considerando che l’informatica è il “mestiere” del futuro, è preoccupante pensare che la maggioranza della forza lavoro potrebbe trovarsi senza una rappresentanza e quindi senza la possibilità di far valere i propri diritti. Tutte le classi di età dei lavoratori della sicurezza informatica ritengono importante la costituzione di un sindacato per gli informatici. Ma è interessante notare la distribuzione dei “no” nelle varie classi: i più contrari all’esistenza di un sindacato sono i lavoratori tra i 26 e i 50 anni. Invece chi ha tra i 18 e i 25 anni, oppure oltre i 50 anni, è generalmente più favorevole all’esistenza di un sindacato. Lo si può spiegare considerando la preoccupazione pensionistica: i più anziani sono preoccupati dalla possibile modifica di leggi che possano allontanare il proprio pensionamento, mentre i più giovani sono preoccupati dalla possibilità di non veder proprio arrivare la propria pensione. La fascia lavorativa intermedia è probabilmente preoccupata dal fatto che un sindacato possa mettere in fuga le aziende e ridurre la probabilità di trovare lavoro.

In quali regioni c’è più lavoro?

La Lombardia è chiaramente la regione italiana in cui conviene vivere per lavorare come esperti di sicurezza informatica. Seguono il Lazio e il Veneto. Purtroppo, il Sud Italia non rientra nemmeno nelle prime 5 regioni, che appartengono tutte al centro-nord. Questo conferma una desolante mancanza di opportunità di lavoro nel mezzogiorno persino per i mestieri legati all’informatica, che non dovrebbero avere bisogno di grandi infrastrutture e enormi capitali.

Dove si studia l’informatica?

Le persone che si occupano di sicurezza informatica devono la loro preparazione in buona parte all’autodidattica. Una minore parte è dovuta alle competenze apprese nella scuola dell’obbligo, e solo in minima parte l’università e i corsi online si sono rivelati utili per apprendere nozioni utili al proprio lavoro. Questo è probabilmente dovuto anche al fatto che in Italia non esiste un dipartimento universitario per chi voglia occuparsi di sicurezza informatica, e che in generale il nostro sistema scolastico è carente dal punto di vista dell’insegnamento dell’informatica.

Naturalmente, i troll esistono e non possiamo farci nulla. Questo estratto dalla tabella ci ricorda che se i cinepanettoni hanno tanto successo ci sarà pure un motivo: evidentemente qualcuno ritiene divertente questo tipo di comicità. Ovviamente, le risposte di questo tipo sono state rimosse dal dataset finale, assieme a quelle contraddittorie.

Le domande del questionario sono tante e ovviamente non abbiamo lo spazio, nemmeno qui sul sito web, di commentarle tutte. Chi è interessato a approfondire il discorso, può vedere tutti i dati grezzi e le elaborazioni qui:
https://github.com/zorbaproject/infosecItalia
Nel repository sono presenti anche gli script utilizzati per produrre i grafici automaticamente con R, l’ambiente di programmazione per statistici.