Con Andrea Succi, CISO Ferrari Group e Co-Founder CISOs4AI, abbiamo ragionato dell’evoluzione del ruolo del CISO, sempre più centrale nel supportare le aziende nei processi di trasformazione digitale. L’arrivo dell’AI crea un momento importante per il CISO, è un reale Game Changer. Oltre tutto, l’AI è utilizzata da anni in cybersecurity: chi si occupa di sicurezza ne conosce molto bene benefici e nuove opportunità, oltre che il rovescio della medaglia, ossia che possa essere utilizzata dagli attaccanti. Il compito del CISO diventa quindi quello di adottare un approccio proattivo, evidenziando fin dall’inizio – con una strategia Shift Left – le criticità dell’adozione dell’AI a supporto del business.
TIG. Come il CISO può puntare ad allinearsi alle esigenze del business?
Andrea Succi. Il primo passo per il CISO è comprendere a fondo il contesto di business in cui opera: ogni realtà ha le sue esigenze specifiche e le sue peculiarità che devono essere colte per costruire una strategia di sicurezza efficace. È essenziale capire quali sono le fonti di reddito, o che cosa chiede e di cosa necessita il cliente, non solo quello interno, come siamo abituati a considerare, ma soprattutto quello esterno, che sempre di più chiede sicurezza. In questo modo il CISO può capire come la sicurezza può diventare un valore aggiunto per i clienti. Oggi, infatti, richiedono sempre più prodotti e servizi sicuri, spinti anche da normative rilevanti come NIS2 e DORA. Questa crescente attenzione alla cybersecurity si riflette lungo l’intera filiera, con un aumento delle richieste di sicurezza in molti i settori. Le aziende stanno imparando che la sicurezza non è solo una necessità tecnica, ma un elemento strategico per costruire fiducia e competitività.
Le aziende hanno compreso che gli incidenti di sicurezza si verificano principalmente in tre situazioni: vulnerabilità tecniche, fattore umano – punti deboli che rientrano nel perimetro di azione dell’azienda e possono essere mitigati direttamente – o per fornitori che non rispettano adeguati standard di sicurezza.
Oggi, per dimostrare di essere in grado di erogare prodotti e servizi sicuri, l’organizzazione deve dotarsi di team competenti sulla cybersecurity, capaci di dialogare con i clienti e rafforzare la fiducia lungo la filiera. In questo modo la sicurezza diventa rilevante per il business.
Il secondo passaggio, dopo aver capito come aiutare l’organizzazione e la supply chain a elevare la propria postura di sicurezza, è tradurla in azioni e iniziative concrete, sempre in partnership con il business. Questo vale anche al contrario: essendo l’organizzazione parte di una filiera è fondamentale coinvolgere i team di security fin dalle prime fasi del rapporto con i fornitori, per garantire che gli standard di sicurezza siano rispettati lungo tutta la catena.
Se vogliamo, il paradigma è diverso rispetto al passato: il ruolo del CISO oggi non è più quello di bloccare iniziative rischiose, ma supportare l’organizzazione a bilanciare innovazione e sicurezza. Il compito del CISO e del suo team diventa quello di aiutare, monitorare, dare linee guida.
Serve un approccio “Shift left”, coinvolgendo il CISO fin dall’inizio nel design (security-by-design) per integrare la sicurezza in modo efficace. In alcuni casi questo approccio porta a risultati molto interessanti, che permettono sia di migliorare l’esperienza del cliente, sia di renderlo più sicuro.
TIG. Pensiamo alle iniziative di trasformazione digitale e al passaggio al cloud: qual è il ruolo del CISO? Vale lo stesso discorso?
Andrea Succi. Spesso i CISO sono stati coinvolti tardi nei processi di adozione cloud, trovandosi così a gestire ambienti già operativi. Questo è il motivo per cui oggi, con l’arrivo dell’intelligenza artificiale, in tanti ci siamo mossi proattivamente.
Tornando al cloud, questo ci ha insegnato l’importanza di valutare fin da subito aspetti critici come resilienza e continuità operativa. Fortunatamente, molti provider cloud offrono già soluzioni robuste in termini di sicurezza infrastrutturale e ridondanza. Oggi il cloud computing è ormai centrale nell’IT e questo rende essenziale adottare le linee di guida di sicurezza specifiche: tecnologie come CASB (Cloud Access Security Broker), Cloud Security Posture Management (CSPM), Cloud Workload Protection Platforms (CWPP), Cloud Native Application Protection Platforms (CNAPP) permettono di monitorare centralmente vulnerabilità come le misconfiguration, l’assenza di MFA o patch mancanti, semplificando e centralizzando la gestione della sicurezza. Il cloud è un ambiente diverso, richiede specifici strumenti di gestione, ed essendo più esposto è anche più attaccabile: però ha sicuramente un trade off come la maggiore ridondanza e la migliore sicurezza infrastrutturale.
TIG. Dalla nostra survey “Cyber Risk Management 2025”, che presenteremo al Cybersecurity Summit del prossimo 20 marzo, emerge che i responsabili cybersecurity sono più preoccupati per ambienti di cloud ibrido: ti ritrovi?
Andrea Succi. La complessità è nemica della sicurezza e aumenta ulteriormente negli scenari di cloud ibrido, dove bisogna gestire risorse distribuite su più ambienti (on-premises e multi-cloud). Banalmente la complessità rende più difficile mantenere tutto in sicurezza.
Gestire ambienti diversi richiede competenze specifiche spesso non disponibili internamente, aumentando la necessità di consulenze esterne. Nonostante ciò, il cloud offre vantaggi significativi come maggiore flessibilità e riduzione dei rischi legati alla shadow IT, dato che le risorse inutilizzate si pagano, possono essere identificate più facilmente e quindi dismesse.
TIG. L’AI è un’innovazione dirompente di cui si parlerà moltissimo nei prossimi anni: quale impatto avrà sulla cybersecurity, e, dal punto di vista del CISO, come gestirne la sicurezza?
Andrea Succi. L’AI rappresenta una sfida complessa ma anche un’opportunità straordinaria per la cybersecurity. La prima preoccupazione di molti CISO quando hanno visto che cosa poteva fare è stata chiedersi: quali sono i rischi? cosa servirà fare per rendere sicuro questo nuovo oggetto che sicuramente mi ritroverò in azienda? Quando OWASP ha iniziato a sviluppare uno standard per la sicurezza dei modelli linguistici avanzati (LLM) due anni fa, ho deciso di partecipare attivamente come contributor per analizzarne i rischi principali – come prompt injection o data poisoning. Questo lavoro mi ha permesso di comprendere meglio sia le vulnerabilità che le potenzialità dell’AI.
Ancora prima che venisse rilasciato lo standard, ho coinvolto altri CISO per verificare se erano interessati ad approfondire il tema opposto: l’introduzione dell’AI in cybersecurity. Così a giugno 2023 ho co-fondato il collettivo “CISOs4AI” per esplorare proprio queste opportunità.
L’obiettivo è utilizzare l’AI per affrontare alcune delle sfide della cybersecurity che ad oggi non stiamo vincendo, come la carenza di risorse umane qualificate. Per esempio, l’AI può analizzare grandi volumi di dati velocemente o automatizzare parzialmente la risposta agli incidenti. In futuro, grazie all’apprendimento continuo, sarà possibile sviluppare difese proattive capaci di individuare segnali deboli prima che si trasformino in minacce concrete. Ora CISOs4AI è composto da una quarantina di CISO o profili analoghi.
TIG. Come deve essere gestito l’arrivo dell’AI dal punto di vista della sicurezza e quale impatto avrà questa innovazione sul ruolo del CISO?
Andrea Succi. Dal punto di vista della sicurezza dell’AI stessa, alcuni rischi, come il prompt injection (gli utenti possono manipolare i sistemi di AI generativa fornendo input dannosi – i prompt, le domande – mascherati da prompt legittimi dell’utente) non possono essere completamente eliminati a causa della natura stocastica dei modelli generativi. Tuttavia, possono essere mitigati ed è per questo che esistono standard come OWASP. Non dimentichiamoci che a contorno dell’AI esistono componenti applicativi e infrastrutturali che sappiamo già come proteggere.
Il ruolo del CISO in questo contesto diventa quello di agente del cambiamento: non solo deve garantire la sicurezza dei progetti AI con un approccio di security-by-design, ma anche promuoverne l’adozione responsabile all’interno dell’organizzazione. In alcune aziende il CISO viene coinvolto anche per la definizione del business case dell’AI per la conoscenza che ha maturato. In molti casi siamo visti come un’autorità in azienda in tema di AI, considerando che è un tema piuttosto complesso, e spesso il CISO, che oltre a capirla, l’utilizza da anni in una serie di soluzioni di cybersecurity (di detection, mail security, anti-phishing e così via).
L’impatto sull’organizzazione è duplice: accanto ai rischi già evidenziati, si aprono opportunità per trasformare la cybersecurity, spostandola da una difesa reattiva a una prevenzione proattiva basata sull’identificazione dei pattern. Già oggi, alcune soluzioni AI integrate nei SOC affiancano gli analisti di primo livello, accelerando i processi decisionali e aumentando l’efficienza operativa.
L’intelligenza artificiale apre scenari rivoluzionari per il futuro della cybersecurity. Come CISOs4AI, immaginiamo un futuro in cui l’analisi predittiva, alimentata da enormi quantità di dati, permetterà di anticipare le minacce prima ancora che si manifestino. In questa prospettiva, l’AI potrebbe automatizzare in modo parziale o completo la risposta agli incidenti, riducendo drasticamente i tempi di mitigazione e rafforzando le difese aziendali. Grazie all’apprendimento continuo, l’AI sarà in grado di evolversi costantemente, adattandosi a minacce sempre più sofisticate e rispondendo alla sfida posta dalla continua trasformazione degli attacchi. La capacità di riconoscere nuovi pattern e individuare segnali deboli permetterà di anticipare le minacce emergenti, rivoluzionando il paradigma della sicurezza informatica: da una difesa reattiva a una prevenzione anticipativa. Questa visione non è ancora realtà, ma rappresenta la direzione verso cui stiamo andando. L’AI ha la potenzialità di cambiare il modo in cui proteggeremo le organizzazioni, e ridefinire il concetto stesso di resilienza digitale.
A cura di:
Elena Vaciago, Research Manager, TIG
———————-
Il tema sarà discusso durante il CYBERSECURITY SUMMIT 2025, il prossimo 20 marzo a Milano.
Consulta l’Agenda e iscriviti!
(La partecipazione è soggetta ad approvazione della Segreteria organizzativa del Summit).
