La cybersecurity è sempre più centrale nella strategia aziendale, ma i segnali dalla forza lavoro raccontano una storia diversa: secondo il World Economic Forum il costo globale del cybercrime potrebbe raggiungere i USD $12.2 trilioni entro il 2031, mentre il Harvey Nash Tech Talent & Salary Report 2026 — basato su oltre 3.600 professionisti tech — evidenzia uno squilibrio tra responsabilità e ricompensa per chi opera nella sicurezza digitale. Questo scarto tra rischio percepito e valorizzazione può trasformarsi in un problema strutturale per le organizzazioni.
I dati chiave sono espliciti: solo il 29% degli specialisti di cybersecurity ha ricevuto un aumento nell’ultimo anno, rispetto al 56% dei colleghi in DevOps e al 51% di chi lavora in Product Management; quasi la metà (49%) intende cercare un nuovo impiego nei prossimi dodici mesi.
Allo stesso tempo, gli addetti alla sicurezza risultano tra i più insoddisfatti del settore, subito dopo QA/Testing e Infrastructure/Support. Queste cifre segnalano non solo un problema di remunerazione ma anche di retention e motivazione.
Il fenomeno del debito di rischio
Per comprendere le conseguenze della sottovalutazione della sicurezza conviene adottare la metafora del debito di rischio: come il technical debt, si accumula silenziosamente quando gli investimenti in persone, processi e strumenti non tengono il passo con l’espansione della superficie di attacco. Team sotto-pagati o sguarniti, volumi crescenti di allerta e architetture legacy non eliminano il rischio, lo rinviano. Il risultato è che la bilancia finanziaria sembra equilibrata nel breve termine, ma quando emerge un incidente il conto finale comprende tempi di ripristino più lunghi, impatto operativo, sanzioni regolamentari e danni reputazionali.
Come si accumula
Il debito di rischio si costruisce attraverso pratiche quotidiane: posizioni vacanti non coperte, carichi di lavoro che incrementano senza automazione, mancanza di percorsi di carriera e formazione limitata. Quando la funzione sicurezza è percepita come un freno alla velocità del business piuttosto che come un abilitatore, cresce il turnover e diminuisce la capacità di risposta. Questo circolo vizioso amplia le finestre temporali in cui le vulnerabilità restano sfruttabili, aumentando la probabilità e il costo degli attacchi.
Investire in team sostenibili
La soluzione non si esaurisce con l’aumento degli stipendi, anche se la remunerazione rimane un leva fondamentale per competenze scarse. CIO, CISO e leadership devono progettare modelli operativi sostenibili: definire percorsi di crescita dal livello junior a ruoli di architettura, garantire tempo retribuito per certificazioni e formazione, adottare tooling moderno e automazione per ridurre il burnout.
Integrando la sicurezza nei flussi di lavoro di prodotto e sviluppo, è possibile spostare gli sforzi dall’emergenza alla prevenzione, creando valore visibile per il business.
Ruolo e opportunità dell’AI
L’arrivo dell’AI è un elemento doppio: incrementa la superficie di attacco ma apre anche nuove traiettorie professionali. I modelli agentici e le piattaforme avanzate richiedono governance, controllo e policy robusti; chi lavora in cybersecurity può guidare questi ambiti, definendo guardrail operativi per evitare comportamenti indesiderati degli agenti. Inoltre, l’AI può automatizzare attività ripetitive, permettendo ai team di concentrarsi su analisi a più alto valore aggiunto e su attività strategiche di risk management.
Nuove competenze richieste
Per cogliere queste opportunità servono competenze miste: oltre alla profondità tecnica, i professionisti devono sviluppare abilità di comunicazione e di contesto di business, saper tradurre rischi tecnici in impatti economici comprensibili al consiglio di amministrazione.
I profili più richiesti combineranno conoscenze su threat detection e automazione con capacità di relazione e di definizione della strategia aziendale.
Portare la cybersecurity in consiglio
In ultima analisi, la disponibilità di risorse per la sicurezza è una questione di resilienza: trattare la cybersecurity come una capability strategica significa renderla visibile, valorizzarla e dotarla del supporto necessario da parte della leadership. I CISO devono raccontare il valore del lavoro dei loro team in linguaggio aziendale, quantificando mitigazioni e scenari evitati anziché limitarsi a dettagli tecnici. Le organizzazioni che sapranno farlo non solo tratterranno i talenti migliori ma costruiranno fiducia con clienti, regolatori e stakeholder, riducendo il rischio che un incidente diventi una crisi irreversibile.
