Il CISO: un nuovo ruolo per nuove sfide, l’intervista a Pierluigi Sartori

La sicurezza è un fattore sempre più critico da gestire nelle imprese e nelle organizzazioni. Attacchi sofisticati e numericamente in costante crescita espongono tutti, ambienti finance ma anche manifatturiero e azienda di servizi, a rischi significativi che vanno da quelli di immagine a quelli prettamente economici che finiscono per impattare potenzialmente sul business strategico stesso.

foto_Sartori2
Pierluigi Sartori è Responsabile Sicurezza Informatica Trentina S.p.A.

Nelle aziende cresce sempre più l’esigenza di un ruolo, di una figura professionale, che nel tempo ha cambiato volto e che ora è l’elemento di “cerniera” che ha il compito di comprendere il linguaggio e le scelte delle funzioni più tecniche d’impresa e di dialogare al contempo con il management più orientato alle scelte di business. E’ il CISO, il chief infromation security officer: ne abbiamo parlato con Pierluigi Sartori ,Responsabile Sicurezza Informatica Trentina S.p.A.

“Di certo si tratta di un ruolo che è profondamente cambiato: anni fa chi nelle aziende si occupava di sicurezza o era la classica figura del tecnico “smanettone” che sviluppava solo la componente prettamente tecnologica, o figure istituzionali magari competenti in altri ambiti ma non necessariamente sul tema sicurezza. Oggi la situazione è cambiata e la figura si è ibridata: il Ciso, e ancora di più il security manager, deve avere competenze tecniche per poter dialogare con i tecnici, capirne soluzioni e linguaggi, ma deve anche saper parlare col business per aiutarlo a comprendere il valore della sicurezza.” E non essere scambiati, come è accaduto a lungo, per meri compratori di attrezzatura tecnica. Il Ciso oggi deve, in altri termini, far comprendere al management che le cose possono essere fatte in diversi modi: “c’è il modo giusto e il modo sbagliato, il modo costoso e quello economico, se le cose si fanno sempre nel modo sbagliato e costoso è un chiaro danno, ma se uno riesce, anche grazie alle tecnologie a farle nel modo giusto e economico in base al valore e alle necessità d’impresa, è certamente meglio per tutti. Ecco il valore del Ciso oggi.”

Ma se è vero che parlare di sicurezza oggi è un trend di rilievo, qual è lo stato degli investimenti nelle imprese a tutela della sicurezza? Secondo Sartori la situazione non è delle migliori perché il mondo imprenditoriale pubblico e privato investe poco e molto spesso male per due motivi. Si tende a preferire il brand blasonato alla soluzione magari di nicchia che offre maggiore affidabilità e, ancora, molte aziende sono vittime di una concezione errata dell’informatica “ovvero che la sicurezza sia solo un problema di imprese IT. Non è così: tutte le aziende hanno oggi un patrimonio di informazioni da proteggere, qualunque esse siano.”

Il settore finance, ovvero banche, trading online e assicurazioni, sono i settori più attivi sulla sicurezza come sono sempre stati trattando una materia delicata come quella del denaro: in questi casi la sicurezza deve porsi a protezione del valore aziendale sia all’interno che all’esterno, ma oggi che nessuna azienda può dirsi, o dovrebbe dirsi, estranea al digitale quand’anche fosse solo con un sito web, tutte dovrebbero seriamente porsi il problema della protezione dei dati: “poniamo il caso che un dirigente di impresa abbia scambiato email molto informali con colleghi e tali mail vengano trafugate e messe in rete, quello che ne deriva non è un danno di immagine quand’anche fosse il dirigente di una ditta di bulloni? E se la medesima azienda avesse dei progetti di attrezzature sottoposti a brevetti e anch’essi finissero online, non sarebbe un danno di business?” La risposta ovviamente è affermativa e dimostra che l’investimento in sicurezza non è più rimandabile” anche se in presenza di un “semplice” sito web.

Per fare i giusti investimenti- spiega Sartori-  vale la logica del buon padre di famiglia: se il mio business vale 50mila euro l’anno e la soluzione di sicurezza ne richiede 100mila tale investimento potrebbe essere errato e quindi dannoso: ma se il danno di immagine potenziale che subirebbe l’ente se fosse oggetto di un attacco fosse ben peggiore di 50mila euro, ecco che anche questo discorso diventerebbe relativo. Ciò dimostra che tutto va valutato con attenzione.”

E non bastano le certificazioni a rendere le aziende luoghi sicuri. Molte sono le certificazioni oggi disponili, si va dall’ISO 27001 che lavora molto a livello organizzativo, al Cobit che è uno strumento molto maturo che va più a fondo su alcuni aspetti che l’ISO tralascia con obiettivi di controllo più puntuali. Ma, avvisa Sartori, va fatta una precisazione: “spesso le certificazioni vengono semplicemente esibite o usate come strumenti per partecipare a gare ed appalti pubblici. Intenderle solo in questo modo, senza interiorizzare il concetto di cultura della sicurezza, è estremamente pericoloso: all’azienda deve interessare il processo di sicurezza in sé, a prescindere dal riconoscimento della certificazione.”

L’Italia, le sue imprese, come si stanno muovendo? Secondo Sartori c’è movimento, c’è interesse crescente sul tema e la situazione non potrà che migliorare a patto che si tenga conto di due fattori: che si comprenda la necessità di avere una persona interna alle imprese che si occupi consapevolmente di sicurezza, che abbia un bagaglio di competenze, anche tecniche, necessarie; e, infine, che si realizzi la necessità di porre tale figura come riporto funzionale direttamente ai vertici delle imprese, ai Ceo o al board ma non nella funzione IT. “La sicurezza deve poter riportare necessità e urgenze a chi ha la responsabilità civile e pensale dell’azienda così che possa fare le sue più opportune valutazioni” conclude Sartori.

 

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here