La sicurezza informatica ha ormai un ruolo centrale all’interno di ogni contesto aziendale, in particolar modo per la protezione delle infrastrutture critiche, dove investimenti sempre più grandi per far fronte al crescente numero di violazioni, portano le aziende a concentrare la sicurezza nelle mani di Chief Security Officer esperti. Key4biz ha intervistato Andrea Chittaro, Head of Global Security & Cyber Defence Department presso Snam, la principale utility del gas in Europa, nominato di recente Presidente dell’Associazione dei Professionisti della Security Aziendale (AIPSA).
Key4biz. Quanto è importante la sicurezza e la protezione delle infrastrutture critiche al giorno d’oggi?
Andrea Chittaro. E’ importante perché queste infrastrutture forniscono “servizi essenziali” al paese ai cittadini, come sottolineato dalla più recente definizione proposta dalla Direttiva NIS. Attendiamo ora la concreta applicazione della Direttiva del 2008 sulle Infrastrutture Critiche Europee che prevede, tra l’altro, l’introduzione della figura del “Security Liaison Officer”. Nel frattempo hanno preso il via diverse iniziative di partenariato pubblico-privato, altre sono state rinnovate e/o consolidate. C’è una crescente consapevolezza della necessità di fare “sistema” anche in Italia.
Key4biz. Purtroppo ancora sono poche le aziende che hanno nel proprio organico una figura con una responsabilità specifica come la sua. Quali sono oggi le principali sfide per il CSO?
Andrea Chittaro. La prima e più importante è sul piano culturale. C’è una grande necessità di far comprendere sempre più il valore aggiunto tangibile di un approccio “olistico” alla Security, cioè di creare strutture che includano tutti i domini verticali della sicurezza. Ciò e’ essenziale in un’epoca dove la distinzione tra spazi fisici e logici non ha più cittadinanza. Solo da una visione complessiva possono nascere opportunità per la creazione di valore che poi è lo scopo principale dei singoli business. La figura del CSO deve diventare il riferimento unico sulla gestione del rischio di security delle proprie aziende.
Key4biz. Il 16 maggio scorso è stato approvato in Consiglio dei Ministri il Decreto Legislativo per attuare in Italia la Direttiva NIS entrata in vigore il 26 giugno. Ritiene che adesso l’attuale quadro normativo e gli ambiti di applicazione previsti dal Decreto garantiscano un adeguato livello di protezione?
Andrea Chittaro. Il quadro normativo ha un’utile funzione di indirizzo. Ma è l’azienda che deve poi sottoporsi ad una sorta di “autodiagnosi” per comprendere dove si posiziona in un’ideale modello di sicurezza. Significa ritagliare su se stessa ed il proprio modello di business la soluzione di governance ed operativa più confacente. E’ un lavoro a volte lungo ed anche complesso. La sicurezza deve seguire percorsi virtuosi e prevedere investimenti adeguati. Se tutto questo viene affidato a dei professionisti della Security Aziendale i benefici sono assicurati.
Key4biz.Alle aziende spetta un ruolo fondamentale per migliorare la sicurezza e la protezione in ambito cyber delle proprie strutture, ma è altrettanto fondamentale la cooperazione con il pubblico. Come si vorrà muovere L’AIPSA a tale riguardo?
Andrea Chittaro. AIPSA intende porsi come interlocutore autorevole e privilegiato per Istituzioni e Stakeholders nel processo di definizione delle migliori politiche di sicurezza, sull’asse pubblico-privato, nell’interesse preminente del sistema paese. Rappresentiamo molte delle più grandi aziende italiane e pensiamo di poter portare un contributo qualificato al dibattito su questi temi. Oltre a questo ci siamo dati come obiettivo quello di formare la “Next Generation” dei Security Manager. Che è la sfida che più mi appassiona.
