Negli ultimi anni, l’evoluzione delle minacce informatiche ha trasformato la cybersecurity da una funzione tecnica a un elemento strategico essenziale per la resilienza aziendale. La crescente sofisticazione degli attacchi, l’adozione dell’intelligenza artificiale da parte dei cybercriminali e le normative sempre più stringenti hanno imposto una revisione profonda dei programmi di sicurezza. Quali saranno nel 2025 le iniziative chiave per i Chief Information Security Officer? Con Massimo Cottafavi, Director Cyber Security & Resilience di Snam anticipiamo alcuni dei temi che saranno discussi nel corso del Cybersecurity Summit 2025, il prossimo 20 marzo a Milano.
TIG. Quali sono nel 2025 le iniziative chiave nel programma cybersecurity di Snam?
Massimo Cottafavi. Il programma di attività risulta idealmente articolato in tre macro ambiti. Il primo è quello relativo alla messa a terra di progettualità verticali di ampia portata e urgenza, come ad esempio tutte quelle che discendono dall’entrata in vigore della Nis2. vi è poi la prosecuzione di iniziative che abbiamo in corso da anni ma che rimangono un elemento basilare, del nostro modello, come ad esempio formazione e simulazioni. Infine, tutta una serie di attività necessarie per l’evoluzione progressiva dei modelli interni; in questo ambito cito l’aggiornamento dei modelli di risk analysis e l’ampliamento nel numero degli indicatori a supporto delle decisioni.
TIG. Con riferimento alla compliance Nis2, quali saranno gli impatti più importanti?
Massimo Cottafavi. La nuova direttiva riguarda tutta l’organizzazione e quindi interessa anche processi ed asset precedentemente non impattati da specifiche normative. Per le società del settore industriale questo può significare mettere mano ad ambiti tecnologici ad elevata complessità; penso ad esempio a tutto il mondo degli Industrial Control System.
TIG. Quali saranno le altre iniziative a piano per il 2025?
Massimo Cottafavi. Rifacendomi anche a quanto detto in precedenza, credo che le aziende siano chiamate a rivedere modelli e processi di lavoro in ambito cybersecurity anche per renderli maggiormente idonei ad un dialogo di vertice. In tal senso, ad esempio, i modelli di analisi e gestione del rischio cyber devono essere in grado di armonizzarsi con quelli più generali di una struttura di Enterprise Risk Management. Valutazioni di scenario in grado di far comprendere il beneficio di ogni singolo investimento in security rispetto al risk appetite dell’azienda saranno sempre più indispensabili per poter far comprendere il proprio reale contributo alla creazione di valore. Allo stesso modo, kpi e metriche in generale devono essere riviste ed integrate per rispondere alle domande del top management: al quale, solo per fare un esempio, non interessa tanto il numero di persone che ha seguito un corso di formazione cyber, ma piuttosto, quanto è incrementata la capacità di resilience dell’azienda a fronte di tale investimento.
A cura di:
Elena Vaciago, Research Manager, TIG
Il tema sarà discusso durante il CYBERSECURITY SUMMIT 2025, il prossimo 20 marzo a Milano.
Consulta l’Agenda e iscriviti!
(La partecipazione è soggetta ad approvazione della Segreteria organizzativa del Summit).
