| Undefined
Sembra un vecchio spot degli anni 2000 della IBM che, attraverso una straordinaria rivisitazione dei propri modelli di business, aveva ottimizzato la gestione dei servizi mainframe e Z-Series (per gli amanti delle nomenclature azzurre) industrializzando quello che sarebbe diventato lo standard di fatto della propria offerta.
Questo nuovo modello consentiva alla IBM di fidelizzare i clienti su tecnologie difficilmente sostituibili e di radicarsi definitivamente sul mondo dei financial services che, dal loro canto, potevano finalmente gestire i propri budget IT secondo le reali necessità di business. Di fatto, questo nuovo modello consentiva al mondo della finanza, che data la particolarità dei propri prodotti è soggetta a diversi sovraccarichi delle proprie infrastrutture in determinati giorni del mese o dell’anno, di attivare all’occorrenza la necessaria capacità computazionale.
Ebbene oggi stiamo assistendo all’esportazione di questo modello all’interno delle funzioni organizzative e più precisamente nel Human Resources.
Il CISO, ovvero il Chief Information Security Officer, quella figura incaricata di gestire la sicurezza IT dell’azienda, di proteggerla da attacchi informatici e, unitamente al responsabile IT, definire le evoluzioni infrastrutturali e applicative, sta diventando un servizio (o persona) on demand.
Se ve lo state chiedendo, la risposta è si, parliamo proprio di quella figura responsabile degli attacchi cyber, responsabile di proteggere l’azienda dai cyber criminali che vogliono impadronirsi dei dati aziendali o chiedere riscatti dopo aver bloccato l’operatività IT. Quella persona che gestisce quotidianamente e (credetemi) 24 ore su 24 il Security Operation Center per individuare ogni tipo di connessione anomala da e verso la propria azienda. E ancora sì, quel ruolo che è sinonimo di salvaguardia degli asset IT e che garantisce ai clienti la sicurezza dei servizi. Insomma, quell’individuo, che più di tutti ha una conoscenza dettagliata dell’organizzazione aziendale e dei propri asset infrastrutturali, sta diventando una figura attivabile all’occorrenza.
In realtà non siamo di fronte al primo episodio di questo fenomeno opportunistico che alcune aziende di consulenza stanno proponendo al mercato. Abbiamo già visto i primi timidi tentativi concentrarsi sulla figura del DPO (Data Protection Officer) appena dopo l’obbligatorietà imposta dalla GDPR (General Data Protection Regulation), ovvero il nuovo regolamento sulla privacy al quale tutte le aziende europee sono tenute ad attenersi scrupolosamente.
Probabilmente questo fenomeno (ce lo auguriamo) riscuoterà scarso successo nelle grande aziende e nelle organizzazioni internazionali, ma la possibile presa che potrebbe avere sulle piccole-medie aziende è destinata a rivoluzionare il mondo della security.
Se da un lato potremmo andare in contro ad un progressivo degrado delle capacità di contrasto degli attacchi informatici da parte di quelle che oggi sono le aziende più a rischio nel mondo della cyber security, dall’altro potremmo assistere ad una rivisitazione del modello di gestione della security, che permetterebbe a questo segmento aziendale di poter finalmente attingere da un parco di figure altamente professionali che oggi difficilmente vede interesse all’interno di queste realtà.
Una rivoluzione che richiederebbe supporto e investimenti da parte di diverse realtà nazionali. A partire dalle aziende di consulenza che dovranno investire in figure più professionalizzate, alle aziende fruitrici del servizio obbligati a rivedere i proprio modelli organizzativi, fino alla pubblica istruzione che dovrà necessariamente attrarre studenti in un area ad oggi drammaticamente poco frequentata (il nostro è tra i paesi che ancora stenta a decollare nelle aree tecnologiche) e offrire corsi con indirizzi specifici.
Potremmo immaginarci infatti futuri esperti di cyber security, adeguatamente formati e con background derivanti da anni di esperienze sul campo, mettere a disposizione delle piccole-medie aziende le proprie competenze e trasferire le best practices della sicurezza su aziende che oggi rappresentano il primo obiettivo delle associazioni criminali informatiche.
Elemento imprescindibile per la riuscita di una simile strategia dovrà essere la consapevolezza dei CEO che la security è un asset aziendale fondamentale, e quindi l’identificazione del “CISO on demand” dovrà seguire determinati processi di selezione che valorizzano le reali competenze anche a discapito di eventuali costi aggiuntivi, così da scoraggiare possibili offerte al ribasso (spesso manipolate da aziende fornitrici molto aggressive) del mercato che determinerebbero un degrado della qualità del servizio.
È infatti importante comprendere l’importanza delle piccole-medie aziende nel nostro paese e come esse rappresentino il vero motore produttivo e siano radicate nello strato sociale della nazione. Il possibile abbattimento dei livelli di sicurezza in questo insieme di aziende determinerebbe un impatto sociale che non può essere trascurato, ma di questo ci occuperemo in uno dei prossimi articoli.
Insomma, staremo a vedere se questo sarà un punto di svolta nella security delle piccole-medie aziende o ne decreterà una volta per tutte ... la fine.
Remo Marini @ F3RM1 Foundation