Assume sempre più un valore di straordinaria importanza il ruolo dell’ICT Security Manager, come quello di altri professionisti della sicurezza informatica e cresce nelle aziende la necessità di figure di questo tipo.
I cyber criminali infatti stanno diventando sempre più abili e i loro attacchi sempre più sofisticati. Allo stesso tempo aumentano i rischi per le imprese che, oltre ai loro perimetri fisici, devono proteggere anche i confini virtuali sempre più estesi, complici anche le tecnologie di tipo cloud, mobility e IoT.
Tutte le analisi sul tema indicano tuttavia l’esistenza di un gap importante tra domanda e offerta e secondo la società di ricerca Cybersecurity Ventures nel 2021 ci saranno a livello globale 3,5 milioni di posizioni aperte in quest’ambito.
Indice degli argomenti
Chi è e cosa fa l’ICT Security Manager
Il responsabile della sicurezza informatica, in particolare, è una figura fondamentale per tutte le aziende con una presenza importante nel cyber spazio ma non solo, in quanto offre le competenze necessarie per verificare e garantire la sicurezza, la qualità e la conformità agli standard tecnologici del sistema informativo interno.
È inoltre uno specialista IT noto alle grandi aziende del settore hi-tech e nei SOC (Security Operation Center), ma ancora poco valorizzato nei contesti con minore cultura della prevenzione, piccole imprese e PA, dove il ruolo di ICT Security Manager viene generalmente ricoperto dagli IT Manager sebbene debba svolgere compiti molto specifici e non di generica amministrazione dei sistemi.
Secondo quanto riportato nelle specifiche CWA IT 6424-European ICT Professional Profiles, l’ICT Security Manager ha il compito di definire la politica di sicurezza del sistema informativo, valutare i rischi connessi all’uso di specifici strumenti informatici, controllare e supervisionare l’intera infrastruttura tecnologica aziendale. Infine, deve assicurare che tutte le informazioni disponibili siano correttamente fruibili rimanendo al contempo protette da qualsiasi tentativo di accesso non autorizzato.
In poche parole, deve garantire la sicurezza del business aziendale.
L’ambito lavorativo dell’ICT Security Manager
Come dicevamo prima, l’ICT Security Manager opera nelle aziende attive nel cyber spazio e appartenenti a qualsiasi settore interessate a garantire la qualità del proprio sistema informativo. Visto il suo ruolo, il responsabile della sicurezza informatica può operare sia internamente sia esternamente all’azienda. In quest’ultimo caso può garantire una assoluta indipendenza delle proprie valutazioni tecniche ed organizzative.
L’importanza dell’ICT Security Manager all’interno dell’organizzazione aziendale è sottolineata anche dal fatto che il suo diretto interlocutore è la Direzione Generale oppure la Direzione Amministrativa, operando ovviamente in stretto contatto con il reparto di gestione dei Sistemi Informativi.
ICT Security Manager: i compiti e le competenze
Vista la particolarità del ruolo ricoperto, l’ICT Security Manager dovrà quindi focalizzare la sua attenzione sulla protezione dei dati e delle informazioni attraverso l’individuazione e l’applicazione di processi, politiche, standard, procedure e linee guida.
Lavorando nell’ambito della sicurezza informatica dovrà inoltre occuparsi di gestione del rischio, governance, conformità alle normative, continuità operativa e disaster recovery, proprietà intellettuale, integrità aziendale e finanziaria, spionaggio industriale, privacy e indagini informatiche forensi.
È importante, inoltre, che l’ICT Security Manager certifichi le proprie competenze secondo i criteri identificati dall’unica norma di certificazione per le professioni in ambito informatico a livello nazionale che è la UNI 11506. Inoltre, a supporto della UNI 11506, ci sono anche le norme indicate nella UNI 11621-2 Parte 2 che, tra i vari profili professionali, comprende anche quello di ICT Security Manager.
Esistono comunque altre certificazioni di riferimento che consentono al responsabile della sicurezza informatica di completare il suo percorso formativo. Tra queste, quelle consigliabili, considerate tra le migliori dagli stessi esperti di cyber security, possiamo citare:
- Certified Information Systems Security Professional di ISC2;
- Certified Information Systems Manager di ISACA;
oppure le più “istituzionali”:
- ISO 27001;
- ITIL (Information Technology Infrastructure Library);
- CISA (Certified Information Systems Auditor);
specifiche per l’audit dei sistemi. Infine, ci sono le certificazioni più vicine alla cultura hacker come la Ceh-Certified Ethical Hacker.
Il consiglio per tutti, sempre valido in questi casi, è quello di seguire non solo corsi e percorsi di formazione strutturati, ma anche muoversi in modo autonomo secondo un principio di apprendimento permanente, tenendosi aggiornati leggendo la documentazione prodotta dagli enti di ricerca, dalle università (ricerche di mercato, report, whitepaper ecc.) e dai fornitori di tecnologia per la sicurezza; ma anche partecipando agli incontri delle associazioni di sicurezza e alle conferenze sulla sicurezza informatica.
La formazione gioca la sua parte, ma soltanto il tempo e l’esperienza migliorano le competenze operative.
Lo stipendio: quanto viene pagato un ICT Security Manager
Alla luce di quanto detto finora è chiaro quanto sia importante valorizzare correttamente la figura dell’ICT Security Manager. Ma com’è il mercato del lavoro per questa figura? In genere, le retribuzioni per un ICT Security Manager sono in linea con altre figure del settore, ma purtroppo si paga ancora una generale scarsa cultura aziendale in tema di sicurezza. Una simile figura professionale può invece trovare importanti sbocchi lavorativi nelle grandi realtà aziendali in cui la funzione del responsabile della sicurezza viene inquadrata correttamente.
Sotto il profilo della carriera, invece, è difficile che un ICT Security Manager possa arrivare a ricoprire ruoli dirigenziali, anche se avrà responsabilità sempre crescenti e giocherà in futuro sicuramente un ruolo chiave. Soprattutto in nicchie specialistiche dove già oggi si registra un aumento della domanda di security manager: pensiamo, ad esempio, all’e-commerce e alla mobility. Mentre nei prossimi anni aumenteranno le richieste nell’ambito della Internet of Things, dei servizi cloud e della computer forensics.
Cybersecurity 360 Summit: si parla di sicurezza informatica
Chiunque volesse approfondire il discorso sull’importanza della sicurezza informatica in azienda e quindi, in particolare, sul ruolo chiave di figure specializzate come quella dell’ICT Security Manager, non può perdersi l’appuntamento con il Cybersecurity 360 Summit che si terrà il prossimo 14 novembre a Roma e che, attraverso il confronto tra i maggiori rappresentanti del mondo politico, amministrativo e dell’imprenditoria, si propone di delineare lo stato di avanzamento della strategia nazionale in materia di sicurezza informatica, analizzando gli strumenti adottati alla luce dei nuovi obblighi imposti dal nuovo quadro normativo europeo.