Le crescenti minacce in ambito cybersecurity, dalle violazioni degli account di posta alle presunte azioni di spionaggio informatico durante le elezioni americane, hanno iniziato a portare all’attenzione sempre più prepotentemente la necessità di dotarsi di nuove misure preventive e di protezione.

Chiaro indizio a supporto di questo sono le richieste sempre più numerose delle aziende di figure manageriali nel campo della sicurezza informatica. Dalla ricerca dell’Osservatorio Information Security&Privacy del MIP del 2016 si evince però come le realtà aziendali italiane siano ancora indietro rispetto al panorama internazionale. Per quanto gli investimenti in ambito IT siano aumentati del 5% nel 2016, le percentuali di budget IT dedicate alla sicurezza sono ancora molto basse. Un esempio? La presenza in azienda di due nuove figure chiave in tema di Cybersecurty: il CISO (Chief Information Security Officer) e il DPO (Data Protection Officer). Solo il 46% delle aziende presenta formalizzata nel suo organico la figura del CISO mentre il DPO risulta un ruolo definito nel 18% dei casi.

Per capire perché è importante per le aziende l’introduzione queste due figure, complesse e multidisciplinari, è necessario analizzarle e comprenderne ruolo e competenze.

Il CISO è il profilo manageriale a capo della sicurezza che ha due ruoli fondamentali, la pianificazione di strategie di sicurezza all’interno dell’organizzazione, mantenendo le relazioni con tutte le funzioni interne (executive, audit e legal) e allocando budget ad hoc e l’implementazione delle suddette strategie oltre che di linee guida e formazione per incentivare la consapevolezza sulle tematiche di sicurezza informatica. Di supporto a queste attività ci sono quelle di analisi di eventuali falle verificatesi nella sicurezza e relativo adeguamento delle strategie stesse.
Date le differenti attività, oltre che i diversi interlocutori con il quale si troverà a confrontarsi, quello del CISO dovrebbe essere un profilo multiforme, con indubbie competenze tecniche ma anche organizzative e negoziali, oltre che una solida conoscenza del business aziendale.

Il DPO è una figura emersa anche grazie al nuovo regolamento europeo sulla protezione dati, a regime definitivo entro maggio 2018. Il suo ruolo è quello di attuare una politica di trattamento dei dati personali adeguata al contesto organizzativo e in compliance alle policy legislative vigenti. Questo implica che dovrebbe avere competenze legali e regolatorie in materia di trattamento dati oltre che informatiche e organizzative.

Queste figure, il cui ruolo internamente all’azienda è ibrido e per questo non sono di facile reperimento sul mercato, dovrebbero riportare direttamente al board aziendale proprio per la rilevanza delle tematiche che si troveranno a trattare, in un periodo storico in cui, per dirla con le parole di Paolo Zanotti, IT director di Adp Italia, “le recenti vicende relative alla cyber war tra Paesi dimostrano l’importanza della posta in gioco”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Navigazione articoli