La cybersecurity è un processo, si compone di vari elementi, politiche, processi, procedure, misure tecnologiche. Non solo chi si occupa di cybersecurity in azienda deve occuparsene: oggi ogni persona dovrebbe essere coinvolta nel rafforzamento della sicurezza, secondo un concetto di “democratizzazione” di questi temi che incontra sempre più interesse. Cosa si può fare allora per far percepire il valore della cybersecurity al business, perché questa cultura si diffonda sempre di più nelle organizzazioni? e come il business può contribuire esso stesso al valore della cybersecurity? Su questi temi è intervenuto Massimo Cottafavi, Head of Cyber Security & Resilience di SNAM, nel corso del “Cybersecurity Summit 2023” di The Innovation Group, lo scorso 8 e 9 marzo 2023 a Milano. Riportiamo i punti centrali del suo intervento.
TIG. Come far percepire il valore della cybersecurity al business?
Massimo Cottafavi. Oggi la cybersecurity è nell’occhio del ciclone, pertanto non è difficile farsi percepire come una funzione “di valore” per il business. Il rischio però che si corre è che gli venga attribuito un valore effimero. Affinché la cybersecurity possa garantire e trasmettere al business il proprio valore aggiunto, serve un cambio di passo da parte degli addetti ai lavori.
Per raggiungere questo traguardo, il primo punto di attenzione è quello di evitare di essere autoreferenziali. Noi “del mestiere” pensiamo che la cybersecurity debba essere al centro del mondo e ci lamentiamo del fatto che le altre funzioni in azienda non ne capiscano l’importanza, partendo molto spesso dal presupposto di sapere (noi che ci occupiamo di cybersecurity) esattamente di cosa l’azienda ha bisogno. Così facendo però, non ci poniamo in ottica di comprensione e interazione. Bisognerebbe invece adottare un approccio di ascolto più aperto e adoperare un pizzico di umiltà nell’analizzare le istanze e le specificità di ogni area del business, considerando lo specifico contesto e la specifica cultura.
Dedicare quindi più tempo a capire cosa fanno i colleghi e cosa è realmente importante per loro, quali dati critici trattano, quali sono le peculiarità dei processi di cui non possono fare a meno. Allora probabilmente anche il nostro modo di lavorare e di porci nei loro confronti potrebbero diventare ed apparire diversi, generando un impatto positivo tangibile per gli altri.
TIG. Ci fai un esempio tratto dalla tua esperienza diretta?
Massimo Cottafavi. Oltre ad una maggiore umiltà nel modo di porsi e allo studio delle esigenze della controparte, serve un approccio di tipo consulenziale: occorre andare a “procacciarsi” il lavoro in azienda, investire tempo ed energie per presentarsi agli altri, facendo proposte e stimolando così l’interesse. In Snam fino a qualche anno fa la cybersecurity non era pienamente considerata in attività con potenziali implicazioni di carattere finanziario come le operazioni M&A, con il risultato che potevano essere sottovalutati alcuni dei rischi connessi a specifiche operazioni.
Abbiamo deciso di cambiare approccio e di cercare di capire come le operazioni societarie erano indirizzate, quali fossero i deliverable e gli output, puntando quindi a comprendere il modo di lavorare dei colleghi e provando ad investire nella nostra proattività. Abbiamo effettuato delle analisi e predisposto una reportistica che ci sembrava potesse essere d’aiuto ai decision maker e l’abbiamo presentata al business. Il risultato è stato quello di accompagnare pian piano la comprensione diffusa che potessimo generare un supporto di valore ai tavoli decisionali, supportando l’orientamento delle decisioni almeno in parte in base alle informazioni fornite dalla cybersecurity. In risultato ultimo è che oggi il team cyber è coinvolto in modo costante a questa tipologia di tavoli di lavoro.
TIG. Come il business può contribuire esso stesso al valore della cybersecurity?
Massimo Cottafavi. Il business può e deve contribuire alle attività di cybersecurity, perché è necessario che ci sia collegialità in queste attività. Di nuovo un esempio: noi in Snam abbiamo la fortuna di incontrarci con l’AD e i suoi primi riporti in riunioni mensili, e nell’agenda di questi incontri viene fissato almeno un aggiornamento afferente agli aspetti di cybersecurity. Quello che conta però (pensando a quello che il business può fare in concreto) è che spesso i direttori fanno cascading di queste tematiche nelle proprie strutture e verso le diverse figure professionali, e non è raro che, nel corso dei loro staff meeting, anche noi della cybersecurity veniamo invitati a partecipare per garantire il corretto passaggio delle informazioni specifiche calate per ciascun dipartimento.
TIG. In sostanza, come far crescere la cultura della sicurezza nell’organizzazione?
Massimo Cottafavi. Partiamo da una considerazione generale: fare cultura è sempre un lavoro complesso e lungo. In ultima istanza, fare cultura significa definire un comune intendimento, regole e comportamenti che siano uniformemente accettati in un contesto aziendale, insieme a strumenti e processi che ne derivano.
Riflettiamo sul caso delle cinture di sicurezza delle auto: sono state obbligatorie sulle auto in Italia fin dalla fine degli anni 70. In teoria, questo avrebbe dovuto portare a una crescita del livello di cultura della sicurezza in auto. Invece è arrivato l’obbligo di utilizzarle 10 anni dopo, nell’88. L’imposizione normativa all’inizio ha avuto pochi effetti: sono nate invece varie tecniche, alcune anche molto fantasiose, per evitare di agganciare le cinture in auto. Il senso generale di questa storia è che, anche a fronte di bisogni concreti come salvare vite umane, ci sono voluti 20-25 anni per cambiare le abitudini delle persone.
Con la sicurezza informatica la storia è la medesima: sono passati almeno 15 anni, oggi dobbiamo stringere i tempi, e il compito di chi fa security è di andare a toccare i gangli corretti nelle diverse famiglie professionali all’interno delle proprie aziende. Pensare che lo stesso messaggio possa essere buono per tutti è un po’ ottimistico.
——————————
Massimo Cottafavi, Head of Cyber Security & Resilience di SNAM, sarà tra gli Speaker dell’edizione romana del CYBERSECURITY SUMMIT 2023, il prossimo 10 e 11 maggio a Roma.
Consulta l’Agenda del CYBERSECURITY SUMMIT 2023 di Roma e …
… registrati subito! (posti limitati, soggetti ad autorizzazione della segreteria organizzativa dell’evento).
