All’interno di un Security Operation Center (SOC) lavorano diversi professionisti che si adoperano per garantire il funzionamento dei sistemi aziendali e l’integrità dei dati amministrando l’infrastruttura di cyber security. Il Security director si spinge oltre e gestisce la sicurezza dell’organizzazione per la quale lavora, tutelandola sia dalle minacce digitali, sia da quelle fisiche.
A suo modo una professione ibrida che, per essere svolta, necessita di competenze tecnologiche ma anche di soft skill perché è un lavoro mediante il quale si cristallizza l’importanza della risorsa umana come asset imprescindibile.
Vediamo cosa fa, quale formazione deve avere e perché è un lavoro di importanza capitale.
Indice degli argomenti
Introduzione alla professione del Security director
Il primo tassello utile a comporre la figura professionale del Security director è il suo inquadramento: è un profilo senior che si occupa di pianificazione strategica, demandando ad altre persone – tra queste il Security administrator – il compito di parte della gestione ordinaria della sicurezza.
All’interno dell’organizzazione dialoga direttamente con il Chief Information Security Officer (CISO) e, a cascata, con colleghi e dipendenti mentre, al di fuori dell’azienda, si interfaccia con le forze dell’ordine e con tutto ciò che attiene, in modo più o meno diretto, alla sicurezza digitale e fisica.
Chi è il Security director: definizione e ruolo
Non è raro che i compiti di chi lavora in un SOC si sovrappongano in parte. È complesso tracciare confini netti tra i compiti di chi opera nella cyber security così, per esempio, il Security analyst e il Security architect sono profili deputati – tra le altre cose – all’analisi del rischio. Come e in che modo devono approcciarvisi è un mero esercizio organizzativo: prendono in esame i potenziali rischi di pertinenza delle rispettive aree operative ma queste due discipline si sovrappongono anche solo parzialmente.
Allo stesso modo, tra le mansioni che gravano sulle spalle del Security director, ce ne sono alcune coperte potenzialmente da altri membri del SOC. Tra i compiti che è chiamato ad assolvere figurano:
- Pianificazione strategica: una pianificazione ampia che include le politiche e le strategie generali per la sicurezza di tutta l’organizzazione, quindi anche fisica
- Valutazione del rischio: identificare punti vulnerabili ed effettuare analisi e test di rito
- Gestione delle emergenze: la pianificazione di misure tese alla mitigazione delle conseguenze di un incidente per garantire la continuità del business
- Gestione delle risorse umane: le attività di coordinamento riguardano tutte le risorse attive nell’emisfero della sicurezza digitale e fisica e, quindi, i dipendenti del SOC ma anche gli agenti della sicurezza propriamente detti. Tra i compiti del Security director rientrano anche quelli legati alla formazione continua di dipendenti e collaboratori
- Gestione delle operazioni: l’organizzazione delle procedure operative che concorrono a garantire la sicurezza dell’organizzazione e quindi, oltre all’impalcatura necessaria a erigere le architetture dedite alla cyber security, anche quelle che sorvegliano l’accesso all’azienda, i protocolli per il monitoraggio degli accessi ai locali aziendali e ai dati sensibili
- Comunicazione: il security director è il perno attorno al quale gravitano le forze dell’ordine e le autorità amministrative o giuridiche. Oltre a coordinarsi con loro, si occupa anche di comunicare con il management aziendale e con gli stakeholder.
Il concetto di pianificazione include anche l’assegnazione di ruoli e compiti (chi fa cosa, quando, in che modo e secondo quali priorità) e lo sviluppo di protocolli applicabili a seconda del grado di urgenza.
Campo d’azione: dove lavora un Security director
È indubbiamente un profilo che trova posizione nelle grandi organizzazioni o all’interno di quelle che – a prescindere dalla loro grandezza – commerciano prodotti o servizi di valore come metalli preziosi, diamanti oppure dati.
Il ruolo del Security director, che può avere un valore nel contesto della supervisione, può essere riconducibile anche ad aziende di consulenza che allestiscono una pianificazione a tutto tondo per i rispettivi clienti.
L’importanza del Security director
La sua importanza è fuori discussione, poiché è una figura professionale responsabile della progettazione, dell’implementazione e non da ultimo della gestione e dell’assegnazione di compiti specifici a risorse uomo al fine di garantire la sicurezza di un’organizzazione. Il fatto che riferisca direttamente al CISO o comunque a un alto manager rappresenta l’entità del ruolo che ricopre.
Il Security director svolge un ruolo capitale nel garantire la sicurezza e lavora a stretto contatto con tutti coloro che hanno a che fare con la protezione digitale e fisica di un’organizzazione. La continuità del business è garantita dal funzionamento dei sistemi e anche dallo stato di salute dei collaboratori.
Competenze richieste per diventare Security director
Il Security director può non avere un rapporto nozionistico con le tecnologie, deve però conoscerle in modo approfondito perché non è chiamato ad amministrarle ma a coadiuvarne l’implementazione in modo efficiente e orchestrato.
Deve sapere, per esempio, quali sono le tecnologie adatte alla protezione dei servizi Cloud, deve conoscere le tecniche e le logiche dei protocolli di rete, deve avere doti di supervisione, deve avere un’idea chiara e precisa del vasto concetto che risponde al nome di Operazioni di sicurezza.
Inoltre, deve sapere applicare principi per la gestione del rischio e deve tenere conto di qualsiasi attività aziendale, anche quelle che di norma sfuggono all’attenzione di chi lavora nella cyber security come, per esempio, il servizio clienti affidato sempre più ad automatismi e a Chatbot.
Per arrivare dritti al cuore del problema: il Security director può non sapere come implementare un algoritmo per il riconoscimento di picchi di traffico di rete anomali, deve però sapere come lavorano questi algoritmi, cosa possono fare e cosa non possono fare.
Il modo migliore per avere una conoscenza di tutte le tecnologie che ruotano attorno alla sicurezza è una gavetta all’interno di un SOC e, ovviamente, la capacità di rimanere costantemente aggiornati.
Capacità di leadership
Le soft skill (in lingua amica “abilità morbide”) sono cruciali per chi svolge il ruolo di Security director e, in cima a queste, devono brillare le capacità di comando, da qui la similitudine con il sergente maggiore evocato nel sommario di questo articolo. Per riuscire a creare le opportune sinergie tra tutte le forze in campo occorre essere autorevoli punti di riferimento. Avere spalle larghe e reggere lo stress è valore fondante perché deve essere in grado di mantenere lucidità e reattività nei momenti di emergenza.
Familiarità con le tecnologie informatiche e metodologie di sorveglianza
Tutto ciò che ruota attorno alla cyber security deve essere noto al Security director e, in aggiunta, deve avere una conoscenza ampia in materia di sorveglianza propriamente detta, con un orientamento spiccato verso le norme che regolano la privacy e che limitano i diritti di controllo e monitoraggio delle organizzazioni. Il Garante per la privacy viene spesso sollecitato per redimere spigolature che creano interrogativi o persino attriti tra lavoratori e aziende.
Capacità di risolvere problemi e di pensare in modo analitico
Fanno entrambe parte dell’ABC del mestiere. Sviluppare politiche di sicurezza per proteggere persone, risorse e informazioni non può prescindere né dal pensiero analitico né dalla capacità di risolvere i problemi in modo proattivo e rapido.
È ragionevole credere che riuscire a fare convivere sicurezza digitale e fisica crei delle istanze che necessitano di un’attenta analisi e soluzioni adeguate. Si pensi, per esempio, all’annoso problema del monitoraggio degli accessi all’azienda oppure a quello del controllo dei lavoratori a distanza, entrambi temi scottanti che trovano spazio anche nel GDPR. Conciliare sicurezza digitale e sicurezza fisica può creare ostacoli che occorre aggirare a norma di legge.
Strumenti e tecniche che un Security director deve conoscere
Uno dei compiti del Security director è quello di garantire la conformità agli standard e alle norme del settore in cui opera. Questo è sufficiente a comprendere quanto la conoscenza degli strumenti e delle tecniche pertinenti sia parte attiva del bagaglio delle sue conoscenze.
Non va dimenticato che, per definizione, quello del Security director è un profilo senior e ciò significa che, per ricoprire tale ruolo, occorre avere occupato sedie diverse all’interno di un SOC e avere accumulato esperienza con metodi, strumenti e tecniche diverse.
Deve quindi avere una profonda conoscenza di tutte le tecnologie utili alla sicurezza digitale di un’organizzazione, di quelle utili alla difesa fisica e di tutte le tecnologie che armonizzano le due.
La difesa dei perimetri aziendali
I confini delle reti si ampliano e anche le sedi aziendali in qualche modo si moltiplicano. Lo Smart working costringe le imprese a concentrarsi di più (e meglio) sulla cyber security e sulle politiche interne: tra queste, per esempio, servono procedure ferree riguardo alla possibilità che i dipendenti usino dispositivi personali o portino a casa materiale aziendale (sia questo elettronico o cartaceo).
Il Cloud, valida alternativa alla natura analogica di tutto ciò che è stampato su carta, diventa così uno degli anelli principali della catena della cyber security e, se è vero che i provider di servizi Cloud si fanno carico di rendere complessa la vita ai cyber criminali, è altrettanto vero che le imprese devono collaborare: i provider si rendono normalmente garanti della sicurezza dei dati in transito e di quelli a riposo e, tendenzialmente, le imprese che usano tecnologie Cloud proteggono i dati distribuiti tra i dispositivi e gli storage di competenza.
Al Security director spetta il compito di pianificare strategie, procedure e piani di risposta utili a prevedere ogni possibile crisi o difficoltà (anche quelle meno probabili) anche in un contesto – quello dello Smart working – che pretende un saggio connubio tra rigore e flessibilità che non comprometta la produttività.
Non da ultimo, il lavoro agile richiede una gestione attenta da parte del datore di lavoro al fine di garantire la sicurezza fisica e la salute dei lavoratori. È importante fornire strumenti e applicazioni che possano salvaguardare la forza lavoro e fornire informazioni sui rischi e le misure di sicurezza da adottare.
Qui il lavoro del Security director si sovrappone in parte a quello normalmente atteso dal dipartimento delle Risorse umane: ancora una volta i confini tra le attività sono da ricondurre all’organizzazione aziendale.
Il ruolo della comunicazione
Occorre scindere la comunicazione in due accezioni: la comunicazione interna e quella esterna. Il Security director deve dialogare con tutte le caselle dell’organigramma aziendale partendo da quelle più alte. Il suo referente è il CISO ma deve sapere fare passare concetti chiave al Consiglio di amministrazione, a tutti gli altri manager, ai quadri, ai dipendenti e ai collaboratori.
Nel medesimo tempo, parlando della comunicazione esterna, il Security director deve sapere dialogare con tutti gli stakeholder dell’organizzazione e anche con le autorità deputate alla sicurezza nel suo insieme: forze dell’ordine e servizi di sicurezza, istituzioni, organi giuridici ed economici.
Si pensi, per esempio, agli obblighi di comunicazione in caso di eventuale data breach e quanto questa possa avere un peso sui titoli delle organizzazioni quotate in borsa. Subentrano così, tra le soft skill di un Security director, quelle doti diplomatiche utili ad adempiere gli obblighi di comunicazione (rivisti per l’ennesima volta nella direttiva NIS 2) limitando i danni – soprattutto quelli reputazionali – che possono derivarne. Altro compito che va assolto unendo forze miste: nel caso specifico il Security director lavora a stretto contatto con l’ufficio stampa.
Percorso formativo per diventare Security director
Di norma il Security director ha alle spalle una solida esperienza all’interno di un SOC, ha quindi ricoperto altri ruoli quali, per esempio, quello del già citato Security administrator oppure il Security specialist.
Se ne deduce che il percorso formativo è quello comune a molte delle professioni della cyber security ovvero, un titolo accademico in Informatica, in Ingegneria informatica o in Sicurezza informatica.
Le specializzazioni, i master, le certificazioni e i continui percorsi di aggiornamento (tra questi è da includere anche la pratica pluriennale) sono comunque parte integrante del ruolo. Il Security director non smette mai né di studiare né di imparare.
Tra le certificazioni auspicate figurano quelle evergreen come la CompTIA Security+, CISA oppure ISC.
Le competenze tecniche
Il Security director non è deputato in prima persona alla configurazione di sistemi, parti attive di rete o software. Tuttavia, per saperne le logiche di implementazione, per conoscere quali sono le loro criticità, quali sono i loro limiti intrinseci e per sapere quali procedure sganciare in caso di necessità, è opportuno che abbia approfondite nozioni su come funzionano reti, protocolli, sistemi operativi e software come gli antivirus, i sistemi di crittografia, quelli di difesa predittiva o quelli per la gestione degli accessi.
Non occupandosi soltanto di mera difesa di sistemi e dati ma anche della sicurezza fisica, sono necessarie competenze in materia di videosorveglianza, di software per la gestione degli accessi alle sedi aziendali o ai singoli uffici e, in aggiunta, anche delle norme che li sovrintendono.
Le competenze giuridiche e di analisi
La privacy, i diritti dei lavoratori, le procedure di diffusione delle informazioni e quelle di dialogo con le autorità preposte sono conoscenze supplementari che il Security director deve fare sue.
Inoltre, essendo chiamato a gestire le crisi, le competenze in criminologia informatica (e le relative norme in materia di reati) sono imprescindibili così come lo sono le capacità di analisi e di problem solving.
Esperienza sul campo e opportunità di stage
L’esperienza sul campo è cruciale ed è un’affermazione scontata. Le opportunità di stage sono un discorso più ampio perché – come detto in precedenza – il Security director è un profilo senior e, come tale, è lecito attendersi che sia una figura professionale tipica di chi ha già maturato esperienze che, sommate tra loro, restituiscono la solidità tipica su cui si erige questa professione.
Carriera e prospettive future per un Security director
Quella del Security director può essere considerata una posizione jolly che trova collocazione in ogni settore pubblico o privato, così come può inserirsi in organizzazioni di grandezza diversa, acquisendo maggiori responsabilità ed esperienza.
Può anche trovare lavoro in un’azienda di consulenza prestando così la sua opera nei panni del collaboratore esterno. Ma ci sono altri scenari plausibili.
Diverse opportunità nel settore pubblico e privato
Il Security director trova spazio ovunque la sicurezza è intesa come un fattore chiave. Piccole o grandi organizzazioni pubbliche o private che siano, rappresenta l’anima del dispiego di strategie e risorse utili a garantire la continuità del business.
Non di meno, può dispensare conoscenze insegnando e formando specialisti della sicurezza, proprio perché deve avere bagagli tecnici e manageriale solidi e consolidati.
Compensi attesi e crescita professionale
Le fonti online restituiscono risultati diversi. Tuttavia, facendo una media ponderata secondo i parametri italiani, la retribuzione del Security director si situa attorno ai 75.000 euro annui. Al di là dell’Oceano raggiunge la media di 115.000 dollari l’anno, pari a circa 107mila euro.
Può ambire alle posizioni di Chief Security Officer (CSO), a quella di CISO oppure prestare il proprio sapere in favore delle infrastrutture critiche anche di caratura nazionale.
