Il Disegno di legge n. 105/2019 recante disposizioni in materia di “perimetro di sicurezza nazionale cibernetica”: cosa cambia per il Security Manager.
di Stefano Gorla – Governance e Compliance Team leader InTheCyber
E’ ormai fuori di dubbio che la professione del Security Manager sta cambiando volto, o meglio, sta aggiungendo pezzi al già articolato puzzle delle competenze. Ma è anche ormai evidente che non è possibile arenarsi. Da pochi anni tale approccio, che definirei olistico, ha permesso a persone ed aziende illuminate di affrontare l’argomento ad ampio spettro.
La minaccia cyber è ormai dentro casa ed a differenza di quella fisica non è localizzata, non è temporizzata ed è anche multipla.
E’ quindi fondamentale affrontare un rapido, ma non stravolgente, cambio di rotta per formarsi e formare i Security Manager ad avere una visione, cultura e competenza più articolata.
Non sono più sufficienti le basi e le competenze di ieri: le minacce evolvono ed evolvono su piani differenti, aumentano le superfici di attacco e diminuisce la visibilità degli attaccanti.
Il disegno di legge n. 105 del 21 Settembre 2019 recante disposizioni in materia di “perimetro di sicurezza nazionale cibernetica” coglie e vuol fare cogliere questa opportunità, elevando anche, all’interno delle organizzazioni, il ruolo del Security Manager, ponendolo giustamente in funzioni dirigenziali. Questo processo si integra con tutto il percorso che sta avvenendo in Italia in merito alla sicurezza: vedi NIS, Cyber Act, perimetro Cibernetico.
Il ruolo diviene anche un ruolo di gestore, controllore e consulente. Per poterlo svolgere correttamente non basta aggiungere il tassello della cybersecurity ma è fondamentale aggiungere il tassello della Governance. Governance che può essere effettuata adottando modelli organizzativi quali CSF NIST, ISO 27001, GRC (Governance, Risk e Compliance).
E’ quindi fondamentale un percorso di aggiornamento, di formazione, di pratica sui vari campi e settori.
Solo attraverso un approccio olistico ed integrato, il Security Manager potrà svolgere quel ruolo chiave che serve all’organizzazione. Non è necessario essere super esperti delle materie, ma proprio l’approccio che viene utilizzato, permette al Security Manager di governare il processo globale della sicurezza in azienda, sapendo scegliere, se del caso e di volta in volta le competenze specifiche necessarie alle singole evenienze.