La Cyber Security come leva strategica del business

In occasione dell’apertura dell’Executive Master in Cybersecurity e data Protection, abbiamo organizzato una Open Lesson su “La Cyber Security come leva strategica del business, le opportunità del PNRR e il nuovo ruolo del CISO".

Nella discussione è emerso come, nell’attuale contesto di digital transformation, sia opportuno che le aziende e le istituzioni attuino il necessario cambio di paradigma per gestire il binomio cyber security-business adottando un approccio orientato ai risultati, in modo da bilanciare investimenti e rischi con le esigenze aziendali. Sarà così possibile sia conseguire gli obiettivi di business, sia garantire la continuità aziendale. Il CISO moderno deve quindi saper sostenere contemporaneamente la sicurezza sia della tecnologia che del business, convertendosi appunto da esperto di tecnologia a leader della sicurezza per il business.

In particolare Gabriele Faggioli (Presidente Clusit - Associazione Italiana per la Sicurezza Informatica) nel presentare i risultati del rapporto Clusit ha sottolineato come le priorità di investimento in sicurezza siano aumentate dal 2020 al 2021, in particolare in relazione al mondo bancario (attualmente il settore maggiormente colpito) e fermo restando che i malware sono ad oggi la forma di attacco più utilizzata. Nonostante questo, il ruolo del CISO spesso non viene identificato all’interno delle aziende, il che tende a complicare la situazione.

Massimo Artini, (ex-V. Presidente Commissione Difesa, dal 2021 NATEX per la NATO Communication Agency) è quindi intervenuto proprio per evidenziare le due principali problematiche del sistema nazionale: budget relativi alla sicurezza spesso non sufficienti per coprire le numerose minacce e profonda carenza di consapevolezza tra i manager che spesso poco comprendono le dinamiche. La strategia nazionale prevede comunque alcune soluzioni operative attraverso l’operato dell’Agenzia cibernetica nazionale (direttive, formazione personale, certificazioni hw e sw dei sistemi) e il PNNR (istruzione e ricerca, digitalizzazione-innovazione e sicurezza nella PA). In tal senso, gli obiettivi dell’agenzia per il 2022 sono di implementare la ACN (Agenzia per la Cybersicurezza Nazionale), di attivare i bandi del PNRR e di incrementare la promozione a livello aziendale di strumenti mirati a far raggiungere un livello di competenza elevato in tema di Cybersecurity, avendo l’UE a garantire la coerenza nella gestione della sicurezza cibernetica, dato il ruolo fondamentale che quest’ultima ricopre per l’autonomia strategica della stessa UE.

In chiusura, una tavola rotonda moderata dal giornalista di Radio24 Enrico Pagliarini, ha affrontato i temi relativi a "Il ruolo del CISO (Chief Information Security Officer) nelle aziende". Sono intervenute sul tema diverse figure di riferimento del settore, tra cui Domenico De Angelis (Responsabile Group Guidance, Strategic Intelligence and Cyber Culture, Intesa Sanpaolo), Yuri Rassega (CISO, ENEL) e Stefano Vaninetti (Director Cyber Security Sales, South EMEAR, Cisco).

De Angelis ha in particolare sottolineato come la sfida sia quella di far crescere la cyberculture sia all’interno dell’azienda sia verso l’esterno (ad esempio per i clienti). Bisognerebbe inoltre essere presenti nelle scuole e nelle università per diffondere l’importanza del ruolo del CISO. Come esempio si è fatto riferimento all’SMS con link malevolo, una delle truffe attualmente più diffuse, e a come basterebbe che le persone stessero attente al contenuto del messaggio. Fortunatamente a breve partirà una campagna pubblicitaria volta proprio a sensibilizzare i privati, mentre esistono già diverse iniziative per la piccola/media impresa (es. phishing test) e alcuni sgravi fiscali per favorirle. Il CISO in questo senso ha il compito fondamentale di far percepire al management come un investimento possa diminuire il rischio e come certi strumenti permettano di gestire meglio un problema di sicurezza informatica. Proprio su questi ultimi temi Yuri Rassega ha raccontato il ruolo del CISO in ENEL, in particolare per ciò che riguarda la standardizzazione dei processi, compresi quelli informatici, per facilitare l’identificazione di un CISO unico con servizi Cybersecurity end to end. Il CISO in ENEL governa i processi standard (guideline, certificazioni, cooperazione con stakeholders, vulnerability assessment etc.) riportando al CEO che due volte all’anno monitora strategia e risultati. Il CISO deve quindi avere skill manageriali per parlare con il top management, ma anche competenze tecniche per guidare un team di professionisti con competenze molto diverse ma con un’attitudine comune: la curiosità. In chiusura Stefano Vaninetti ha spiegato come il ruolo del CISO cambi a seconda del paese e della dimensione dell’azienda, a volte sedendo al tavolo del business per concordare le strategie future.

Se sei interessato ad approfondire le tematiche scopri la prossima edizione del Master Executive Master Cybersecurity e Data Protection, un percorso innovativo che forma professionisti in grado di prevenire gli attacchi Cyber e organizzare l’azienda in una cultura della sicurezza, attraverso l’adozione di processi operativi in linea con le Best Practices internazionali e gli obblighi normativi.