Escludendo le grandi imprese e quelle medie con un’organizzazione strutturata o una forte vocazione all’innovazione su base tecnologica, per il resto in Italia è abbastanza comune avere a che fare con realtà dove l’information technology viene internamente delegata a pochissime figure specializzate. In questo contesto, chi gestisce l’It si trova spesso a occuparsi anche di cybersecurity, per ragioni soprattutto di natura economica o culturale: “Si tende a considerare il tema solo dal punto di vista tecnologico”, osserva Maurizio Tondi, director security strategy di Axitea, “perdendo così di vista quanto invece si abbia a che fare con qualcosa di strategico, con impatti diretti sul business in caso di furto di dati sensibili, blocco di siti Web o ransomware con richieste di riscatto”.
Sarebbe, quindi, opportuno distinguere i due ruoli, definire un piano strutturato di sicurezza It e affidarne l’esecuzione e il controllo a chi ha competenze in questo ambito. Sulla scorta di quello che hanno fatto le realtà meglio organizzate, dovrebbe esistere in organico almeno la figura del Chief Information Security Officer (Ciso), quando non un team dedicato: “Tuttavia, laddove le dimensioni non rendano conveniente procedere con una simile scelta, la soluzione risiede nell’outsourcing o nell’appoggio a una realtà specializzata in sicurezza, che possa mettere a disposizione dell’azienda competenze avanzate e un certo grado di indipendenza”, suggerisce Tondi
Maurizio Tondi, director security strategy di Axitea
Dietro questo tipo di scelta si nasconde la necessità di evitare alcuni rischi non trascurabili. La sofisticatezza delle minacce oggi in circolazione rende essenziale una conoscenza approfondita delle tecniche di difesa e un aggiornamento costante. Inoltre, l’It si trova spesso sotto la pressione delle richieste provenienti dal business e tende a dare maggior priorità alla loro soddisfazione, a detrimento della focalizzazione sugli aspetti di protezione di dati, sistemi e dipendenti. Uno degli elementi critici nella gestione delle infrastrutture, per esempio, riguarda la corretta implementazione delle patch: “In linea di massima, spetta all’It procedere con gli aggiornamenti”, indica Tondi, “ma solo disponendo di un presidio diretto sulla cybersecurity sarà possibile verificare che questo lavoro sia svolto in modo continuo e puntuale. In sostanza, i ruoli vanno separati per evitare un possibile conflitto di interessi nel caso in cui controllore e controllato siano la stessa persona”.
Parlando di realtà poco strutturate, Axitea indica la via maestra dell’affidamento delle tematiche di cybersecurity a società esterne specializzate che dispongano di un Soc (Security Operation Center), in grado di erogare servizi gestiti: “In questo modo, l’It manager potrà concentrarsi sulle attività aziendali strategiche, garantirsi la continuità operativa con un adeguato controllo del rischio e risposte rapide a eventuali attacchi, mantenendo però la governance all’interno, con report periodici e dashboard in tempo reale se necessario”; conclude Tondi.