I ruoli del responsabile del Sistema informativo (CIO, Chief Information Officer, chiamato nelle piccole realtà IT Manager o System Administrator) e del responsabile della cybersicurezza (CISO, Chief Information Security Officer) in Italia sono di fatto espletati in quasi tutte le imprese pubbliche e private, seppur in modalità differenti e sovente insufficienti, ma solo nelle grandi strutture sono formalizzate e con il dovuto peso che le loro funzioni hanno e devono avere per il supporto che il Sistema Informativo fornisce a quasi tutte le attività e che ne consente la continuità operativa (business continuity).
Siamo ormai tutti nella società dell’informazione, l’informazione è un asset di rilevanza crescente in ogni settore, e tutti i sistemi informativi sono su Internet: tale apertura espone i nostri sistemi informativi, sempre più complessi e sofisticati, a numerosi rischi, aumentati nell’ultimo periodo con la pandemia Covid e con l’invasione dell’Ucraina, che ha fatto e sta facendo crescere tali rischi a livello geopolitico nell’ambito della (sempre attiva) guerra informatica.
La specificità italiana
Gli attacchi digitali intenzionali ai sistemi informativi in Italia crescono significativamente in termini sia di diffusione sia di sofisticazione, con le conseguenti difficoltà di individuarli e di contrastarli. Secondo diverse fonti specializzate, l’Italia risulta essere tra i primi paesi più bersagliati nel mondo, con un incremento significativo delle piccole e medie imprese coinvolte, ossia quelle che non hanno un budget dedicato alla sicurezza informatica e che non si sono dotate di competenze specifiche in materia per gestire questo genere di rischi.
In Italia, si vedano i dati ISTAT, il 95% delle imprese private ha meno di dieci dipendenti: ed anche le Pubblica Amministrazioni, soprattutto quelle locali (PAL), sono per la maggior parte organizzazioni piccole. Come approfondito anche nelle indagini annuali di AIPSI sugli attacchi digitali e le misure di sicurezza digitale in essere e in particolare nell’ultimo rapporto pubblicato le piccole e le micro imprese, pubbliche e private, non sono l’obiettivo principale di attacchi “targeted” (attacchi specifici e mirati) per frodi, ma al massimo di attacchi “massivi” su specifici settori merceologici o randomici, dovuti ad hacktivism, alla guerra informatica e talvolta al tentativo, nella massa, di trovare sistemi vulnerabili da parte di hacker alle prime armi o che sperano di mettere a segno qualche piccola truffa informatica, come gli attacchi ransomware rivolti aelle piccole realtà.
La necessità di un rapporto stretto
Per far fronte a questo contesto di altissima vulnerabilità, le funzioni del CIO e del CISO devono(o dovrebbero) operare in stretta ed efficace collaborazione, soprattutto nelle realtà di grandi dimensioni e notorietà oltre a quelle, pubbliche e private, che hanno delle conformità normative e di compliance da rispettare e che tipicamente rappresentano operatori di servizi essenziali come energia, trasporti, settore bancario e infrastrutture dei mercati finanziari.
E‘ in queste realtà che i loro ruoli sono definiti e ufficializzati negli organigrammi in un modo tale che dovrebbero garantire una chiara separazione delle loro responsabilità, la così detta “separation of duties” (SoD), per quanto rigurda la sicurezza digitale. Un tipico esempio di “non SoD” è il CISO che gerarchicamente e funzionalmente dipende dal CIO: nella fig. 1, come esempio, il CISO nella struttura del CIO o in staff alla Direzione Generali.
Il tema delle responsabilità dipende anche dalla chiara definizione di quali attività e compiti sono in carico all’uno o all’altro dei due ruoli. Da tempo questi temi sono noti e discussi e per maggior chiarezza ENISA, l’Agenzia europea per la cybersicurezza, ha recentemente pubblicato ECSF (European Cybersecurity Skills Framework con due rapporti. Il primo specifica 12 ruoli per la sicurezza digitale, il secondo fornisce indicazioni (User Manual) su come attuarli e gestirli nelle proprie organizzazioni (fig. 2).
Nell’indicare le specifiche competenze per ciascuno dei 12 ruoli previsti, ECSF fa riferimento allo standard e-CF, European Competence Framework (EN 16234-1:2019); così come ne fa riferimento il documento “Linee Guida per la qualità delle competenze digitali nelle professionalità ICT” di AgID per le Pubbliche
Il cronico deficit di risorse
Amministrazioni. ECSF e d e-CF sono framework molto utili per ben definire compiti, competenze, ruolo e responsabilità per CIO e CISO e più in generale per gli altri ruoli nell’ambito dell’ICT.
Ruoli con competenze che sono in continua evoluzione, data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali, e che dovrebbero essere qualificati anche attraverso autorevoli certificazioni individuali: sul mercato ne esistono molte con validità internazionale, a partire da quelle relative ad e-CF. Entrambi i ruoli di CIO e di CISO richiedono competenze interdisciplinari e manageriali, oltre che tecniche: competenze rare e costose, e per questo motivo il più delle volte vengono acquisite persone prevalentemente tecniche. Ma un amministratore di sistemi ICT è cosa ben diversa da un CIO, così come il gestore di firewall e di antivirus da un CISO.
La scarsità di personale con competenze specialistiche nell’ICT in Italia è un problema ben più ampio e grave, confermato dall’indagine europea DESI sulla digitalizzazione dell’economia e della società dei vari paesi dell’Unione Europea che pone l’Italia ultima in tutta l’Europa proprio per le competenze specialistiche ICT.
Al di là delle grandi organizzazioni, nella maggior parte delle medie e piccole (e ancor più per le piccolissime) sia private che pubbliche, i ruoli di CIO e CISO o non ci sono, o sono espletate a livello solamente tecnico. In molti casi, infine, sono delegate a consulenti o società informatiche. Il CIO opera di fatto quale IT Manager, ossia di gestore operativo del sistema informativo, che il più delle volte deve occuparsi pure della gestione degli strumenti di cybersicurezza. La questione più preoccupante è che l’IT Manager, e talvolta anche i CIO ed ancor più i CISO, non sono coinvolti nelle decisioni strategiche sull’informatica da parte del vertice aziendale, che considera l’ICT solo come un costoso problema tecnico e/o come una “commodity”. Quanti sono CIO in Italia che riportano direttamente al Direttore Generale e/o che fanno parte del “board of director”? E quanti sono i CISO che riportano funzionalmente, se non gerarchicamente, all’area legale? Il problema di fondo è la quasi generale mancanza di consapevolezza, da parte del vertice dell’azienda/ente, dell’importanza del sistema informativo e della sua sicurezza per il funzionamento dell’azienda/ente. Un problema culturale, che associazioni come AIPSI e CIOClub Italia cercano (e cercheranno sempre più) di colmare con le loro attività e iniziative.
La mancanza di competenze interne è compensata con il ricorso a consulenti esterni o a società specializzate. Ma non avendo, soprattutto al vertice, un minimo di competenza in merito a questi argomenti, talvolta si scelgono come esperti millantatori, inesperti, se non veri e propri truffatori. E l’”idonea” sicurezza digitale rimane un’area scoperta che in caso di incidenti (tra cui i temibili data breach e soprattutto il ransomware) rappresentano per qualunque realtà un danno non solo diretto – legato alla perdita dei dati e, frequentemente, al loro recupero previo pagamento di un riscatto – ma anche e soprattutto per via degli ingenti danni di immagine e di disservizio provocato dal blocco totale dell’operatività per settimane o addirittura per mesi.
Dai temporary manager ai Managed Security Services
In Italia, almeno per organizzazioni medio grandi private, si ricorre talvolta al “temporary management” per il ruolo di CIO e, pur più raramente, anche per il CISO. L’esperienza di un temporary manager in diverse aziende/enti può portare il valore aggiunto necessario in termini di sensibilità sull’argomento, autorevolezza e linguaggio appropriato nell’esposizione al management e risolutezza nel portare a termine un eventuale progetto di miglioramento (tempi, risorse, budget, azioni). Il mercato degli Interim in Italia ancora non è decollato come nei paesi anglosassoni e del nord Europa, spesso a causa della diffidenza delle medie imprese per i lavoratori non dipendenti (e quindi difficili da gestire in via gerarchica).
Analogamente a quanto avviene nel resto del mondo, per far fronte a questi problemi “di personale” per la cybersicurezza, stanno crescendo i MSS, Managed Security Services, per la terziarizzazione della gestione operativa della sicurezza digitale, tipicamente erogata da uno o più consulenti, o da una o più aziende specializzate, e i CSaaS, CyberSecurity as a Service, erogati in cloud e che possono essere direttamente gestiti ed utilizzati dall’azienda/ente o dalle Terze Parti che forniscono i MSS.
Questi servizi rappresentano un’efficace soluzione soprattutto dove mancano, o non possono esserci, specifiche competenze interne, come nelle piccole e micro-organizzazioni. Consentono, e consentiranno sempre più nel prossimo futuro, di realizzare l’idoneo livello di cybersicurezza, e non solo per le piccole realtà.
CIO e CISO: identità e caratteristicheAl di là dei problemi di SoD evidenziati in precedenza, il CIO può anche svolgere le funzioni del CISO, come sovente avviene in realtà medio grandi, grazie alle competenze eterogenee che possiede (o che dovrebbe possedere): tecniche, organizzative, manageriali esecutive e di coordinamento. Infatti, il CIO governa sia le parti applicative, infrastrutturali e di gestione dei dati e di conseguenza è in grado di implementare programmi per la sicurezza degli asset informativi e di seguire best practice per limitare il più possibile i rischi legati al cybercrime. Non sempre questa soluzione può essere considerata ottimale, in quanto non tutti i CIO (tipicamente di estrazione applicativa) possiedono la giusta sensibilità sull’argomento e quindi sviluppano le competenze specifiche necessarie.
CIO e CISO non sono due ruoli in contrapposizione o incompatibili tra di loro. Piuttosto, collaborando effettivamente e indipendentemente dal loro posizionamento nell’organigramma dell’azienda/ente, rappresentano un binomio che può fare la vera differenza per rendere sicuro, affidabile e resiliente il sistema informativo. Entrambi hanno, o dovrebbero avere, capacità manageriali e conoscere la realtà dei processi e del business/attività delle organizzazioni, oltre che del sistema informativo.
Il CIO ha visione e responsabilità più ampie, a 360 gradi, della realtà in cui opera, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT e la relativa supply chain; il CISO ha una responsabilità e una specializzazione verticale sul suo ambito molto più di quanto possa averla il CIO. Diventa indispensabile, infatti, saper riconoscere le nuove minacce, intercettare i sempre più avanzati vettori di attacco, ma anche individuare le evoluzioni normative, orientate all’adozione di misure intese a rafforzare la sicurezza.
Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, nonché formare l’organizzazione in materia di sicurezza informatica. Questa figura dovrebbe essere istituzionalizzata in azienda alla stessa stregua del Responsabile del Servizio di Prevenzione e Protezione (RSPP), con relativi compiti e budget specifici assegnati, o acquisita dall’esterno, ma con persone e aziende effettivamente competenti in materia. Proprio le certificazioni, individuali e aziendali, di queste “terze parti” possono essere un primo indicatore qualificante delle competenze ed esperienze necessarie.
Contributo editoriale sviluppato in collaborazione con AIPSI e CIOClub Italia
