La trasformazione digitale, guidata dai trend emergenti come i big data, cloud computing, l’internet of everythings, social&mobile, richiede nuove tecnologie, modelli organizzativi, competenze e regole per garantire insieme l’innovazione e la protezione degli asset aziendali.
Per far fronte a modelli di innovazione sempre più rapidi e dirompenti, l’approccio delle aziende verso l’informazione security deve maturare lungo due direzioni principali: da una parte diventa basilare sviluppare consapevolezza strategica e vision, dall’altra mettere in campo azioni e piani concreti, dal punto di vista dei ruoli organizzativi e degli approcci tecnologici.
L’evoluzione dei sitemi informativi, caratterizzati oggi da ambienti sempre più complessi ed eterogenei, il ricorso a soluzioni cloud, l’ampliamento dei confini aziendali con la diffusine dello smart working, l’emergere delle soluzioni di information security e le tematiche connesse con la gestione della riservatezza dei dati. Le ricerche confermano la tendenza delle aziende a ritenere l’informazione security e la privacy come temi rilevanti e fondamentali.
La gestione dell’informazione security richiede figure sempre più qualificate in grado di padroneggiare contesti eterogenei e mutevoli. I modelli di governance sono particolarmente variegati e pretendono le presenza, e spesso la coesistenza, di diversi meccanismi di coordinamento.
A causa della crescente complessità, le imprese hanno iniziato a prendere in considerazione la creazione di figure manageriali in grado di gestire le problematiche di information security. Da tale esigenze nasce il ruolo dello Chief Information Security Officer (CISO), che è responsabile nel definire la visione strategica, implementare programmi a protezione degli asset informativi e di identificare, sviluppare e mettere in campo processi volti a mitigare i rischi derivanti dall’adozione pervasiva delle tecnologie digitali.
Dal punto di vista delle responsabilità in ambito compliance, è chiaro che il CISO non deve essere il soggetto cui competono le valutazioni e/o le interpretazioni normative e le scelte sottostanti all’adempimento alle normative stesse. Per fare un esempio, se per l’installazione di un sistema di sicurezza fosse necessario un accordo sindacale ex art. 4 Statuto dei Lavoratori, non dovrebbe essere il CISO a porsi la domanda ed a impostare e gestire il processo di adempimento a tale obbligo di legge. Spetterebbe invece a lui stendere la policy interna inerente il sistema di sicurezza stesso, interfacciandosi con altre figure aziendali.
Pertanto, risulta quanto mai attuale la necessità di una gestione integrata della materia privacy&security: esperti di sicurezza, legali, risorse di compliance, tecnici e responsabili relazioni industriali dovranno saper dialogare e lavorare in team per il miglior presidio della tematica.
Fonte: Osservatorio Information Security & Privacy – School of Management del Politecnico di Milano.
