FORMAZIONE

C-Level preparati sulla cyber security: una necessità e un’opportunità

Si deve capire quali informazioni proteggere, il modello di business ed organizzativo, poi definire una strategia e declinarla operativamente

di Gianni Rusconi

(REUTERS)

4' di lettura

Nell’universo manageriale italiano mancano ancora adeguate competenze per rispondere in maniera proattiva alle nuove minacce informatiche in cui la percezione del rischio è ancora bassa. Gli attacchi sferrati dai cyber criminali ad imprese pubbliche e private sono (purtroppo) un tema sempre di stretta attualità ed è opinione comune che non si sia fatto ancora abbastanza per aumentare la conoscenza e la consapevolezza di questo fenomeno dentro le organizzazioni, e trasversalmente a tutte le risorse aziendali.

Il corso post-laurea “Executive Skill Lab Resilient Information Manager” (in partenza il 30 novembre) organizzato da Luiss Business School in collaborazione con Innovery, multinazionale italiana specializzata in soluzioni di sicurezza informatica, va per l’appunto nella direzione di sensibilizzare il management, e soprattutto i manager che si possono definire “non addetti ai lavori” ma sono comunque parte attiva nella difesa aziendale, a gestire al meglio le minacce cyber, facendo proprie nozioni di visione strategica-organizzativa per una governance efficace della sicurezza delle informazioni in rete.

Loading...

Un percorso di apprendimento “blended” unico in Italia assicura Pamela Pace, la responsabile del corso e Direttrice Generale di Obiectivo, società controllata dal Gruppo Innovery, il cui obiettivo è principalmente quello di stimolare una svolta culturale importante in un Paese in cui la percezione del rischio cyber è ancora (troppo) bassa.

Perché è ancora così diffuso il problema della scarsa consapevolezza dei rischi informatici? È una mancanza di responsabilità del management?
I
n generale è un tema che può considerarsi ancora “nuovo” e che tipicamente viene associato a tematiche tecnologiche, e quindi di diretta competenza dei manager attivi in questa area. È una credenza molto diffusa pensare che con la sola applicazione delle tecnologie l’organizzazione sia completamente coperta dai rischi cyber e questo falso mito è stato in parte indotto dagli operatori di settore, che troppo spesso affrontano la gestione della cyber security come un'applicazione puntuale di contromisure tecniche e non, come sarebbe invece corretto, attraverso un processo diffuso all'interno dell'organizzazione.

Perché un C-Level dovrebbe essere formato sulla cybersecurity quando in azienda (nelle medie e grandi) vi sono già figure come il Cio o il Ciso?
Perché la cyber security è per l'appunto un processo che deve essere pensato e condiviso dentro l'azienda, e non una mera applicazione di tecnologie. Volendo semplificare il concetto: se adottiamo misure di sicurezza per il nostro appartamento abbiamo una ragionevole certezza di essere protetti, ma se non ne estendiamo le regole d’uso a tutti gli abitanti della casa, si potranno verificare comunque dei problemi. Nelle aziende vale più o meno lo stesso principio. Si deve innanzitutto capire quali siano le informazioni che si vogliono proteggere e il modello di business ed organizzativo, poi definire una strategia di cyber security adatta e quindi declinarla operativamente. Questa declinazione operativa passa per tante attività non tecnologiche che sono, e sempre più saranno, sotto la responsabilità e la supervisione dei C-level. Questa è quella che noi chiamiamo governance diffusa.

Oggi manca la necessaria collaborazione a livello di management quando si tratta di sicurezza?
La vastità di temi da gestire e l’enorme perimetro di riferimento, crescente al crescere del livello di digitalizzazione delle aziende, rende impossibile pensare che il solo manager di riferimento, sia esso il Chief Information Officer, il Chief Information Security Officer o anche il Chief Digital Officer, possa riuscire a governare tutto da solo. È necessario cambiare punto di vista e non annoverare la cyber security tra i temi di secondo piano, proprio perché è uno degli aspetti direttamente connesso all'evoluzione digitale che abiliterà le aziende a traguardare il proprio futuro. E questa presa di coscienza deve avvenire in primis nei manager.

Cosa serve per sensibilizzare i leader a gestire meglio il problema delle nuove minacce?
La cosa più importante, a mio avviso, è sfatare il mito che la cyber security sia un problema dei soli tecnici. E questo primo obiettivo si può raggiungere attraverso dei percorsi formativi che aiutino tutti i manager a comprendere meglio cosa sia la cyber security, dotandoli degli strumenti di base per maneggiare questi temi senza timore. Dal mio punto di vista è difficile immaginare un futuro in cui qualsiasi tipo di manager non si dovrà confrontare con un nuovo modo di fare business e questo nuovo modello, in cui la digitalizzazione è padrona assoluta della scena, non può esistere senza cybersecurity. Nessun manager potrà quindi affrontare i cambiamenti senza un bagaglio culturale che comprenda anche la gestione dei rischi informatici.

Il “Resilient Information Manager” potrebbe diventare in futuro una nuova figura professionale?
Se lo intendiamo come la creazione di una vera e propria nuova figura non credo, ci sono già tanti profili professionali che assolvono perfettamente a questo ruolo come il Chief Information Security Officer o il Chief Risk Officer. Sono invece più propensa a credere che ci sarà una maggiore diffusione di responsabilità su questi temi all’interno dell’organizzazione, e pertanto che i diversi manager saranno anch’essi attori principali nell’attuazione della strategia di cyber security aziendale.


Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti