ASSOCIATI, FACCIAMO UN LAVORO DA MARATONETI
Intervista VIP a Yuri Rassega
“Studiare con continuità, allargare continuamente la visione, rafforzare il dialogo con colleghi e stakeholders, comprendere che non esistono “due culture” contrapposte, sapere umanistico e abilità tecniche che si fanno la guerra. Il CISO del futuro dovrà maturare un profilo sfaccettato per fare tutto questo, praticando sensibilità diverse se vuole ottenere risultati. Innalzare la “resilienza” di sistema è un nostro compito precipuo, nella consapevolezza che possiamo contribuire con il nostro impegno a migliorare le nostre organizzazioni e la società nel suo complesso”.
La sicurezza è una sfida in divenire. Possiamo provare a definire il ruolo e la funzione del Ciso?
CISO è l’acronimo che, come è noto, viene utilizzato per identificare chi guida i processi aziendali di gestione del cyber rischio. Si tratta di una figura relativamente giovane, che ha seguito l’evoluzione dell’Information Technology. Se si vuole parlare di ruoli e mansioni non si può prescindere dal contesto attuale, segnato da trasformazioni epocali che stiamo vivendo. L’identità del security manager non può non modificarsi in relazione alla metamorfosi sociale e organizzativa che caratterizza la società tutta. Aree di business, filosofie produttive, il modo di fare e concepire l’impresa sono fattori che incideranno sui nostri compiti e sul ventaglio di responsabilità che ci riguardano. Da una puntuale ridefinizione del CISO, che oggi si impone, le imprese non possono che trarne un diretto beneficio, con ricadute positive sui fattori della competitività.
Il CISO con quali attori della catena del valore deve interloquire nell’orizzonte di una sicurezza che non ha nulla a che vedere con la visione tradizionale della tutela del “recinto” e dello “spazio fisico”, ma che oggi si misura con la terza dimensione dell’“infosfera”?
Il cambio di focus richiesto all’intera value chain ha imposto una protezione a 360 gradi degli asset. Gli attaccanti hanno ormai come obiettivi la rete, i dispositivi digitali, il “tesoro” di dati e informazioni che corrono sui binari virtuali. Per fare bene il nostro lavoro non possiamo certo “limitarci” a sventare la minaccia, ma dobbiamo curare in maniera integrata e continua un approccio alla materia della sicurezza, che presenta un habitus fortemente interdisciplinare. Bisogna conoscere e presidiare con accortezza le aree strategiche dell’azienda, per individuare le possibili vulnerabilità, aspetto quest’ultimo decisivo nella dinamica del mercato competitivo. Occorre un dialogo e uno scambio di know-how costante con tutti i soggetti all’interno dell’azienda. In quest’ottica risulta particolarmente prezioso maturare skills di carattere relazionale.
Capacità di valutazione del rischio è una competenza per definizione trasversale. Come va praticata?
Per fare delle scelte precise, che sono il “sale” di quest’attività, bisogna adottare metriche di tipo non puramente ed esclusivamente tecnico. Quello che un CISO mette in atto è un lavoro inizialmente lontanissimo dalle macchine che poi va a proteggere. Vanno presi in esame i diversi “pesi” del rischio, che in limitata percentuale va “accettato” e “controllato”. Il nostro mestiere è divenuto più affascinante e nello stesso tempo più problematico, credo sia un bene perché ci costringe a tenere alta l’attenzione su questioni di frontiera.
Nella “società del rischio”, per usare la celebre definizione di Ulrich Beck, la sicurezza è una delle grandi questioni del nostro tempo. Associarsi aiuta a far maturare la giusta consapevolezza della centralità della sicurezza come valore?
Associarsi vuol dire mettere in campo un “tessuto connettivo di intelligenze” e di riflessione condivisa. Esistono nel nostro ambito molte associazioni che in varie forme e modi si preoccupano di seguire i temi della cyber security, che trovano sempre più spazio in molti organi di informazione. Bisogna tenere presente che per portare avanti un ventaglio ampio di competenze non basta la semplice passione che tutti noi che facciamo questo mestiere alimentiamo e nutriamo. Esigenze crescenti di compliance, di adeguamento normativo, la progettazione delle attività di awareness, l’aggiornamento continuo delle competenze, hanno determinato la nascita di ASSOCISO, che vuole essere un punto di convergenza, di confronto, teso a sviluppare un sentimento e un metodo di formazione comune.
Come hanno risposto le aziende alla vostra proposta associativa?
Molto buono il livello di risposta non solo delle grandi e medie imprese ma anche delle piccole, cosa per nulla scontata e che perciò va sottolineata. Nel fitto tessuto delle PMI credo sia, infatti, molto importante che si faccia strada una culture security diffusa. Obiettivo non semplice ma certamente necessario per innalzare la “resilienza” di tutto il sistema paese. Associso vuole avere un dialogo ordinato con tutti gli stakeholder, per affinare un profilo identitario del manager della security aperto al cambiamento e nel contempo per creare una piattaforma di dialogo dinamica. Tutte le aziende senza distinzione devono oggi occuparsi di cyber security, per farlo devono capire in fretta le area di competenza da sviluppare.
Le normative in arrivo, pensiamo alla NIS 2, amplieranno il numero dei soggetti che dovranno occuparsi di sicurezza informatica, disegnando processi molto precisi. Imparare a riutilizzare le best practices sarà un vantaggio non da poco. A questo fine stiamo già progettando iniziative, in ambito associativo, per diffondere la cultura della sicurezza, che deve diventare un patrimonio comune.
Cosa si sta facendo per migliorare le collaborazioni internazionali su una materia come la cyber security, per definizione senza frontiere?
La materia, come Lei giustamente osserva, è per sua natura globalizzata. Si verifica però che mentre le practices e gli approcci di risposta sono per molti aspetti vicini, le normative per logica e struttura formale sono molto differenti tra i Paesi. Gli stimoli perché le aziende si attivino su questi temi non mancano, il problema riguarda la difformità legislativa, che è lo specchio di tradizioni e culture giuridiche molto diverse. In Europa, come è noto, ci si muove per direttive, che impongono successive trasposizioni negli ordinamenti nazionali, che spesso divergono. Il caso della NIS 1 e NIS 2 è emblematico, così come quello di una certificazione europea ancora lontano da venire.
Anche sulla velocizzazione della risposta credo si potrà fare molto meglio. Sono comunque ottimista, siamo allenati a navigare nel mare della complessità, il nostro è un lavoro da maratoneti della sicurezza. Bisogna fare le cose col tempo, senza stancarsi mai. Strade omogenee se ne troveranno. Negli ultimi anni è esplosa anche la materia normativa, su una disciplina che era letteralmente sconosciuta. In questo scenario occorre essere prima di tutto presenti e fare sistema, dando corpo a quella intelligenza collettiva sui processi, che il filosofo Pierre Lévy giustamente auspicava, in uno scritto che è rimasto un punto di riferimento della riflessione teorico-pratica sulla contemporaneità.