Per i giovani una carriera nel ramo della cyber security è ora un’opportunità straordinaria. E da questa spinta professionale può venire anche un progresso per il Paese. Anzi: la crescita di competenze nella cyber è qualcosa di cui abbiamo necessità assoluta.
Sono punti che emergono dall’esperienza di Andrea Chittaro e Massimo Cottafavi, due noti esperti della materia.
Ci conosciamo da tantissimi anni e, nel caso di Massimo, posso dire che abbiamo iniziato insieme la carriera e da allora siamo sempre rimasti nello stesso ambito. Con Andrea condividiamo la passione Associativa e l’essere in questo momento Presidenti di due importanti Associazioni che fanno del tema della sicurezza l’elemento centrale della propria azione.
Indice degli argomenti
Una carriera nella cybersecurity
Andrea e Massimo, voi rappresentate contemporaneamente un’azienda importantissima per la quale la sicurezza informatica è una priorità assoluta e un’associazione che fa della sensibilizzazione sulla sicurezza aziendale in senso generale la propria ragion d’essere. Come mai avete scelto questa carriera e che opportunità di lavoro vedete per le ragazze e i ragazzi che vogliono seguire la vostra esperienza?
ANDREA
In realtà il mio attuale incarico è l’approdo di un’esperienza complessa e variegata che mi ha portato, in oltre 35 anni di carriera ad occuparmi di sicurezza prima sul fronte istituzionale e poi su quello privato. Devo dire che nell’ultimo decennio, grazie anche alla forte spinta della trasformazione digitale, le attenzioni verso le istanze della security aziendale si sono moltiplicate esponenzialmente. E, di pari passo, la crescente presa d’atto che la security è un insieme di discipline fortemente interrelate che richiedono competenze e spinte motivazionali che ben si sposano con quelle della c.d. next generation dei security manager. Proprio questo approccio integrato e multi disciplinare ha fatto si che molti giovani si siano avvicinati a questa professione partendo da formazioni accademiche più disparate. Le opportunità gliele dobbiamo creare noi che ricopriamo ruoli apicali nelle organizzazioni valorizzando le loro figure e la percezione del loro contributo in azienda.
MAX
Nel mio caso tutto è iniziato più di venti anni fa sui banchi universitari; è in quel periodo che ho avuto modo di capire come la security, per quanto all’epoca ancora poco trattata a livello manageriale, fosse potenzialmente centrale per supportare la capacità delle aziende di generare valore e di portare avanti nel tempo strategia ed attività operative. Per i giovani le prospettive sono estremamente interessanti in particolare, ma non solo, sul fronte cyber. La forte spinta verso i processi digital ha reso ormai evidente che per sostenere il cambiamento e gli importanti investimenti cui le aziende stanno andando incontro non si può prescindere dalla presenza di personale di security che sieda tanto nei tavoli decisionali quanto nei team di progetto. Al contempo oggi viene chiesto alle imprese di dimostrare il proprio impegno sul fronte ESG ed anche in tale ambito la cyber security ha molto da dire. Da non sottovalutare infine la crescente attenzione posta dal legislatore e dalle diverse Autorità di settore nei confronti della tutela delle informazioni e dei servizi critici. Tutto ciò significa che servono e che serviranno sempre più persone eclettiche con competenze trasversali e propensione a guidare il cambiamento.
Chi sono Chittaro e Cottafavi
- Andrea Chittaro: ha iniziato la sua carriera come Ufficiale dell’Arma dei Carabinieri nel 1986. Nell’arco di 24 anni ha ricoperto vari incarichi di comando nelle principali organizzazioni dell’Arma in diverse regioni italiane, occupandosi di ordine pubblico, criminalità organizzata, eversione interna ed internazionale. Dal luglio 2010 è entrato a far parte del Gruppo Snam dove oggi è Senior Vice President e dirige il Dipartimento Global Security & Cyber Defence. Dalla sua costituzione fa parte dell’Advisory Board di OsintItalia. Dal giugno 2018 è Presidente di AIPSA, l’Associazione Italiana Professionisti della Security Aziendale.
- Massimo Cottafavi: ha maturato più di 20 anni di esperienza nei diversi ambiti della Business Security. Nel corso del tempo ha operato in ambito accademico (Università Commerciale L. Bocconi) e nel settore della consulenza, dove ha ricoperto per conto di Security Reply (Gruppo Reply) il ruolo di Responsabile dei servizi di security governance, risk and compliance. Entrato in Snam nel 2015, è oggi responsabile, a livello di Gruppo e all’interno del Global Security & Cyber Defence Department, del coordinamento e della gestione delle attività di cyber security e business resilience. Dal 2018 è membro del Consiglio Direttivo e Tesoriere di AIPSA e membro dell’Advisory Board dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.
Ruolo di Aipsa
La sicurezza informatica è sempre stata al centro dell’attenzione di AIPSA o invece è tema cresciuto di importanza negli ultimi anni?
ANDREA
Aipsa nasce alla fine degli anni ’80 in un contesto sociale ed economico che aveva altre priorità. La security in azienda era guidata da rischi e strutture diverse. L’avvento delle nuove tecnologie e l’affermarsi del digitale hanno portato alla presa di coscienza che i confini dovessero allargarsi e guardare altrove. Ma, soprattutto, che tutto ciò dovesse integrarsi in un modello virtuoso che spingesse le aziende a dotarsi di strumenti e competenze nuove rispetto al passato. La figura del Security Manager è decisamente cambiata e si sta evolvendo di conseguenza.
MAX
Sono membro di AIPSA da 13 anni e posso dire con assoluta certezza che le tematiche di sicurezza informatica non sono sempre state centrali nell’attività e nelle iniziative dell’Associazione, cosi come del resto non lo sono state per lungo tempo all’interno delle aziende. I diversi Direttivi succedutisi nel tempo, recependo anche le istanze provenienti dagli associati, hanno garantito uno spazio sempre maggiore alla tematica specifica a mano a mano che la stessa ha trovato posto nelle responsabilità e nelle mansioni delle Direzioni security.
Quale ruolo possono avere le Associazioni come AIPSA nel panorama istituzionale afferente alla cyber security e in generale verso il mercato?
ANDREA
Le Associazioni devono costituire il “motore culturale” di un ambito professionale. Stimolare la riflessione ed il dibattito pubblico ed il dialogo con le istituzioni. Devono essere un centro di ascolto e di raccolta di tutte le istanze che provengono dagli associati ma, più in generale, da un settore che, come gli altri, è una somma di domanda e di offerta. Trovo assolutamente positivo che il DL 82 ed i successivi regolamenti attuativi, oltre a prevedere forme di partenariato con azienda ed istituzioni, abbiano previso la presenza di “un esponente di associazioni del settore della sicurezza delle aziende strategiche del paese” nel Comitato Tecnico Scientifico a supporto dell’Agenzia Nazionale Cyber.
MAX
AIPSA può avere e già oggi sta avendo un importante ruolo di stimolo nei confronti delle Istituzioni, facendosi portavoce di tutte quelle che sono le istanze provenienti dalle imprese rappresentate dai propri associati. Può inoltre agevolare il dialogo diretto tra le parti, organizzando eventi e momenti di confronto tra pubblico e privato. Al contempo può favorire la crescita della cultura della sicurezza e delle competenze specialistiche a favore dei propri associati, anche sulla base degli stimoli dagli stessi provenienti. Solo per fare un esempio, di recente è stato organizzato un webinar dedicato alla blockchain, tematica tanto chiacchierata quanto ancora poco conosciuta e non solo dal punto di vista delle implicazioni di security. La realizzazione di tale webinar ha avuto luogo a fronte di esigenze espresse dagli associati e fatte proprie da alcuni membri del Direttivo. Per il 2022 sono già in cantiere altre iniziative similari.
L’Agenzia cyber prende forma, approvati i primi tre regolamenti attuativi: ma è solo l’inizio
Che deve fare il CISO
Come CLUSIT due anni fa abbiamo proposto in Commissione Difesa al Senato che, perlomeno in alcuni ambiti di mercato, i CISO dovrebbero essere obbligatori, così come fatto per DPO. Siete d’accordo? Se si o se no, perché?
ANDREA
Si ma a patto che il ruolo non si risolva come un mero “adempimento formale”. Abbiamo già visto altre volte in passato come il mercato stenti a digerire e far proprie imposizioni “de iure” su ruoli da istituire all’interno delle aziende. Piuttosto insisterei sull’organizzazione di security in generale, cioè sul dare evidenza, almeno per servizi essenziali ed aziende strategiche, che la materia è presidiata attraverso strutture e competenze adeguate. Ma, soprattutto, con una propria autonomia e dignità a riporto del vertice aziendale.
MAX
Credo si tratti di un’idea interessante ma da studiare con attenzione ed in ogni caso non necessariamente risolutiva. Obbligare le aziende ad inserire al proprio interno un CISO significa imporre un onere di compliance; ma nulla toglie che dietro tale ruolo ci possa essere una scatola vuota o comunque depotenziata rispetto alle reali esigenze. Ciò che più conta è lavorare sulla sensibilità del management aziendale non sull’obbligatorietà di istituzione di una nuova casella. In secondo luogo prima di renderlo mandatorio occorrerebbe stabilire bene cosa si intende con tale acronimo; se oggi si vanno a guardare le mansioni e le responsabilità attribuite a persone che condividono questa job title ci si può accorgere facilmente di quante possano essere le differenze sottostanti.
Come progredisce la cyber a livello di board aziendale
La mia sensazione è che a livello di Board perlomeno nelle grandi aziende oggi il tema della cyber security sia conosciuto e ragionevolmente valutato (indipendentemente dagli investimenti e dall’efficacia delle azioni poste in essere). Siete d’accordo o ritenete che si sia ancora indietro nella consapevolezza del tema sui C-Level?
ANDREA
Rispetto a solo 10 anni fa i progressi sono evidenti ed apprezzabili. I responsabili security oramai riferiscono con cadenza periodica al Board e ai Comitati di Controllo e vengono sempre più spesso ingaggiati su temi puntuali. È però necessario consolidare questa tendenza per evitare che tutto avvenga su spinte più o meno “emozionali”. L’ultimo Global Report del WEF dimostra che nel medio periodo il rischio cyber sia percepito meno rispetto agli anni scorsi. E questo perché contingentemente “oscurato” da altri rischi. E’ un errore strategico. Il Rischio Cyber deve entrare permanentemente nelle agende dei Board perché quelli che abbiamo di fronte, purtroppo, saranno anni di crescente insicurezza e non il contrario.
MAX
Concordo. Sempre più spesso i responsabili della sicurezza vengono chiamati con cadenza periodica a fornire aggiornamenti nell’ambito dei diversi Comitati di gestione e controllo. Credo che questo dipenda congiuntamente da diversi fattori. Certamente il numero di “eventi avversi” di cui si è a conoscenza è cresciuto esponenzialmente e diventa quindi difficile per qualsiasi board sostenere che si tratti di fenomeni che non meritano un adeguato livello di attenzione. Inoltre è sempre più nutrito il numero di stakeholder che chiede apertamente indicazioni circa le strategie di cybersecurity poste in essere dal management. In ultimo, le recenti normative, europee ed italiane, che interessano il mondo della cyber security, sono sempre più incisive nel designare figure apicali quali garanti del recepimento delle richieste di legge.
L’importanza del nuovo modello cyber nazionale
Come leggete novità normative degli ultimi anni e in particolare il perimetro di sicurezza nazionale e la nuova Agenzia guidata da Baldoni? Non sono interventi un po’ troppo rivolti alle grandi imprese?
ANDREA
Certamente l’impianto normativo del Perimetro, come quello della NIS, non poteva non partire dalle imprese strategiche tanto in senso stretto per la tipologia di servizio offerto quanto per la rilevanza come asset del sistema paese. In realtà queste normative hanno, però, impattato anche settori ed organizzazioni apparentemente “minori” che hanno dovuto adeguare le proprie strutture a quanto veniva loro imposto. Hanno creato, però, una maggior consapevolezza generale e un effetto traino verso tutti i settori collegati.
MAX
Le recenti evoluzioni cui fai riferimento sono il coronamento di un modello di cyber difesa nazionale che da tanti anni stentava a decollare realmente. Certamente le grandi realtà nazionali sono quelle più direttamente coinvolte ma credo che non vadano sottovalutati gli effetti ed i benefici che potranno derivare dall’applicazione di una sorta di ”effetto cascata”. Intorno ai campioni nazionali ruota infatti il tessuto delle piccole e medie imprese che a loro volta saranno influenzate nelle proprie scelte e nei propri obblighi da quelle che sono le richieste che giungono dalle grandi imprese impegnate a sviluppare modelli di cyber security maturi e strutturati. Quello che intendo dire è che potrebbe attivarsi un virtuoso effetto traino.
Consigli ai giovani interessati alla cyber
Torniamo ai percorsi di carriera per i giovani: quali consigli dareste a chi inizia oggi il vostro percorso professionale?
ANDREA
Unite le vostre indubbie competenze ad una qualità che non si apprende sui banchi universitari: lo spirito di servizio. Chi si occupa di security deve maturare la consapevolezza che, oltre a vivere di continue “emergenze”, dal suo lavoro dipendono la qualità del lavoro altrui e, talvolta, anche la sicurezza personale. Le persone sono il nostro asset fondamentale. Proteggerle, in tutte le declinazioni, è la nostra missione
MAX
Si potrebbero dare tanti consigli ma uno fra tutti è quello che mi preme di più. Chiarite a voi stessi quale carriera desiderate veramente. Lavorare nella security può dare tante soddisfazioni; richiede tanta passione, tanta voglia di fare e anche doti imprenditoriali perché tutto è in continua evoluzione e deve essere messo costantemente in discussione, specie in un contesto di digital trasformation & evolution come quello che viviamo oggi e continueremo a vivere nei prossimi anni. Ma si tratta anche di un lavoro che richiede spirito di sacrificio e capacità di lavorare dietro le quinte del business e lontano dai riflettori.
Andrea, so che hai scritto un libro di poesie. Uscendo dal tema della cyber, ci racconti cosa ti ha spinto e da cosa ti viene questa passione?
ANDREA
“Non di sola cyber security vivono l’uomo e la donna”. E per fortuna direi. Battute a parte, è un’antica passione che ho rivitalizzato in un periodo complicato per tutti che, però, ha stimolato riflessioni e anche riscoperte di noi, talvolta sacrificate in passato dalla frenesia del quotidiano. Una rivalutazione del piacere di vivere con un po’ di poesia nel cuore da regalare agli altri ma, prima di tutto, a se stessi.
