Quantcast

Cyber-risk, manager cercansi per “fare la guardia”

In Italia il perimetro della sicurezza informatica nelle aziende non è adeguatamente presidiato perché mancano figure manageriali evolute, come evidenzia l’Osservatorio 4Manager

17 Novembre 2021

Angelo Curiosi
Cyber-risk, manager cercansi per “fare la guardia”

La digitalizzazione dell’economia sta trasformando profondamente il mondo della produzione soprattutto in termini di automazione della produzione e delle vendite. Questo processo offre enormi opportunità, ma pone anche sfide del tutto inedite e altamente complesse per le imprese e la governance pubblica. Una delle minacce più complesse da affrontare è costituita dalla crescente diffusione di operazioni di cyberwarfare e cybercrime, che nell’ultimo biennio sono state fortemente incentivate dalla diffusione dell’home working causato dal Covid-19. Il Rapporto Clusit 2021 segnala che l’anno della pandemia ha fatto registrare il record negativo di attacchi informatici. Il 55% degli attacchi è stato perpetrato per estorcere denaro; il 45% con finalità di “espionage” e di “information warfare”. Il 56% degli attacchi andati a buon fine hanno avuto un impatto “alto” o “critico” sull’organizzazione colpita dai cyber criminali.

Nonostante la crescente pericolosità del fenomeno, il nostro sistema produttivo continua a manifestare una scarsa maturità organizzativa. Secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, solo nel 41% delle grandi organizzazioni la responsabilità della sicurezza informatica è affidata a una figura manageriale dedicata.

A proposito di competenze manageriali per la sicurezza informatica, l’Osservatorio 4Manager rileva l’emersione di ruoli manageriali dedicati alla governance, alla gestione del rischio e alla valutazione della conformità di procedure e sistemi; figure, queste, che vanno ad affiancarsi ai tradizionali ruoli tecnici dedicati alla prevenzione e alla reazione agli attacchi informatici (es. ingegneri della sicurezza). In termini tendenziali, l’evoluzione e la complessità delle minacce informatiche sembrerebbero richiedere ruoli manageriali in grado di analizzare gli incidenti, di rivedere processi e procedure, di collegare gli aspetti tecnici della sicurezza informatica con tutto il resto dei processi aziendali, a partire da quelli che coinvolgono le risorse umane. Inoltre, questi manager devono essere in grado di valutare l’impatto che i progetti aziendali – es. automazione, IoT, 5G, smart working, commercio elettronico, ecc. - producono sulla sicurezza informatica.

Al classico ruolo dei tecnici vanno affiancate competenze di governance, compliance e risk management

Particolarmente interessante è l’attenzione posta da questi manager verso l’ambiente esterno all’azienda e in particolare verso le minacce informatiche alla supply chain che possono danneggiare la logistica, i fornitori, la sicurezza nello scambio di informazioni, ecc. Queste figure, in altri termini, superano il concetto di “difesa perimetrale”, tradizionalmente affidato alle figure tecniche di sicurezza informatica, per estendere la nozione di sicurezza anche a soggetti, procedure e processi esterni all’azienda (es. mappatura dei fornitori lungo tutta la catena di approvvigionamento, analisi dei sub-contractors, analisi dei flussi informativi con l’esterno, ecc.).

Dal punto di vista delle competenze hard, questi manager devono conoscere:

- Le tecnologie per la sicurezza informatica

- Gli standard di sicurezza

- Risk Management

- Legal, Gdpr e Compliance normativa.

L’analisi delle job description mostra una particolare importanza attribuita anche alle competenze trasversali:

- Abilità comunicative, soprattutto verso il mondo non IT;

- Spiccata attitudine all’apprendimento.

Dal punto di vista quantitativo l’Osservatorio 4Manager ha individuato poco meno di 400 manager esclusivamente dedicati alla sicurezza informatica. La maggioranza opera nel Nord Italia, con Milano in testa con circa cento unità. Roma e, ben distaccata, Napoli, sono le uniche città del Centro Sud Italia con un numero apprezzabile di manager per la sicurezza.

La domanda di queste figure manageriali è molto elevata, con una crescita nell’ultimo anno che sfiora, in media, il +15%. Altrettanto elevata è la difficoltà a individuare questi manager. I settori più dinamici, in termini di domanda, sono: servizi informatici, servizi bancari e finanziari; energia; consulenza. Una scarsa dinamicità della domanda si rileva in settori particolarmente colpiti nel corso degli ultimi mesi, primo tra tutti il settore sanitario e la pubblica amministrazione.

L’Amministratore delegato di Tim e Vicepresidente di Confindustria per il digitale Luigi Gubitosi: «Cybersecurity leva strategica per la trasformazione digitale»

È necessario sostenere lo sviluppo di una filiera nazionale della sicurezza informatica che aggreghi centri di ricerca, accademie, imprese e startup e che sia in grado di offrire soluzioni e servizi di cybersecurity e di favorire la formazione di competenze specializzate, incentivando imprese e Pubblica Amministrazione ad investire. La connettività diffusa, la crescente disponibilità dei servizi “online” e degli oggetti in grado di accedere ad internet e scambiare dati tra loro, sono fattori che contribuiscono ad ampliare l’ecosistema digitale soggetto a possibili attacchi informatici. È essenziale sviluppare prodotti e soluzioni tecnologiche seguendo il principio “security by design”, prendendo atto che nessuna tecnologia connessa in rete potrà mai essere considerata “cyber-risk free”, affiancando questo processo con azioni di sensibilizzazione e formazione nei confronti di cittadini, imprese e istituzioni sul corretto utilizzo delle tecnologie digitali.

Il Presidente di Federmanager e 4.Manager Stefano Cuzzilla: «Un asset essenziale per la ripartenza del nostro sistema produttivo»

La digitalizzazione è un asset strategico per la ripartenza del nostro sistema produttivo – ha dichiarato il Presidente di Federmanager e 4.Manager, Stefano Cuzzilla –. Non è un caso che il 25% delle risorse del Pnrr sia destinato alla transizione digitale. Bisogna investire nel sistema digitale per recuperare il ritardo accumulato sia a livello di competenze, molto al di sotto della media europea, sia a livello di infrastrutture tecnologiche. Servirà un cambio di passo anche sotto il profilo della sicurezza, per prevenire i rischi informatici e i fenomeni legati allo spionaggio industriale che si sono moltiplicati con la diffusione dello smart working e con la presenza sui mercati internazionali di potenze commerciali sempre più aggressive. La sicurezza informatica è un driver strategico per l’impresa che, con il supporto del cybersecurity management, protegge i suoi dati dagli attacchi cibernetici, in un mondo iperconnesso e digitalizzato.

Lascia il tuo commento

Condividi le tue opinioni su Economy

Caratteri rimanenti: 400