Come gestiscono le imprese italiane la cybersecurity? Il continuo evolversi delle minacce richiede figure sempre più qualificate in grado di padroneggiare contesti eterogenei e mutevoli, specie alla luce della scadenza del 25 maggio 2018, con l’entrata in vigore del Regolamento UE 2016/679, meglio noto come GDPR (General Data Protection Regulation). A causa della crescente complessità, le imprese stanno iniziando a prendere in considerazione la creazione di figure manageriali in grado di gestire le problematiche di information security. Da tale esigenza nasce il ruolo dello Chief Information Security Officer (CISO), che è responsabile di definire la visione strategica, implementare programmi a protezione degli asset informativi e di identificare, sviluppare e mettere in campo processi volti a mitigare i rischi derivanti dall’adozione pervasiva delle tecnologie digitali.
Sulla base delle evidenze della seconda edizione dell’Osservatorio Information Security & Privacy del Politecnico di Milano condotto su un campione di 951 CISO (Chief Information Security Officer), CSO (Chief Security Officer) e CIO (Chief Information Officer) di aziende italiane, emerge come in poco meno della metà del campione (il 46%) sia presente in modo formalizzato la figura del CISO, mentre nel 12% questa figura di fatto esiste anche se non è contemplata ufficialmente. Nel 9% del campione, poi, vi è l’intenzione di introdurre la figura del CISO entro i prossimi 12 mesi. Nel 65% dei casi in cui questa figura è presente, fa capo alla direzione ICT e riporta direttamente al CIO. Solo in un 10% dei casi il CISO riporta direttamente al CdA. Nel 7% delle aziende in cui è presente, il CISO riporta a una funzione Security corporate, nel 4% al Risk Management, sempre nel 4% alla funzione Operations e in casi marginali a Compliance, Finance e altre strutture.
Competenze e ambito d’azione del CISO
Il ruolo del CISO, secondo gli esperti del Polimi, sta evolvendo verso un profilo completo, che affianca alle competenze tecnologiche e organizzative soft skill relazionali, conoscenze del dominio di business e capacità di sviluppare e governare team complessi. Sì, perché aumentare la consapevolezza delle problematiche di cybersecurity richiede, oggi, una maggior capacita di comprendere il business, interfacciandosi con i responsabili di prodotto, e di comunicare al top management i rischi derivanti dalle nuove minacce con una visione a 360°. Le conoscenze di industry diventano distintive, a fronte di obblighi di compliance, legislazioni e minacce sempre più focalizzate su settori di mercato ben identificati. Dotarsi di competenze tecnologiche eterogenee richiede una progressiva strutturazione di ruoli e strumenti di governo: diventa fondamentale sviluppare capacita di project management, gestione e sviluppo del capitale umano. Il ruolo ricoperto dal CISO è cresciuto negli ultimi anni, arrivando a essere maggiormente strategico. La sua attività può essere orientata alla mera gestione e monitoraggio dei servizi di sicurezza informatica, quindi essere incentrata sulla gestione dei processi e delle tecnologie, oppure avere uno stampo più prettamente manageriale, con la responsabilità di controllo e supervisione di persone di estrazione e background differenti, dalla gestione del rischio alla compliance e privacy.
Pertanto, risulta quanto mai attuale la necessità di una gestione integrata della materia privacy&security: esperti di sicurezza, legali, risorse di compliance, tecnici e responsabili relazioni industriali devono saper dialogare e lavorare in team per il miglior presidio della tematica.
Competenze e ambito d’azione del Data Protection Officer
Il nuovo regolamento europeo sulla protezione dei dati, che sta vedendo la luce in questi mesi a livello europeo, prevede la possibile introduzione di una figura di Data Protection Officer (DPO).
Tale figura, già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo di responsabilità con competenze eterogenee, giuridiche, informatiche, di gestione del rischio e di analisi dei processi aziendali. La sua mission è quella di comprendere il contesto e di mettere in atto una politica di gestione del trattamento dei dati personali all’interno dell’organizzazione, per adempiere alle normative di riferimento.
Il GDPR prevede, poi, in alcuni casi specifici, l’obbligo di formalizzare nell’organigramma aziendale la figura del DPO, laddove:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico quando esercitano le loro funzioni giurisdizionali,
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e reati.
La Ricerca mostra che nel 18% dei casi la figura del DPO appare già formalizzata mentre nel 15% è una presenza di tipo informale. Il 31% del campione dichiara di volerla introdurre nei prossimi 12 mesi, mentre il restante 34% afferma che per il momento non saranno inserite figure di questo tipo. Nel 2% dei casi, infine, questa responsabilità è delegata a una figura esterna all’azienda.