Non più solo firewall e controlli, ma governance, cultura e scelte strategiche: la direttiva europea sta trasformando profondamente il modo in cui le aziende affrontano la cybersecurity. C’è un momento, nelle aziende, in cui la cybersecurity smette di essere un tema per specialisti e diventa improvvisamente una questione di business: un cambio di prospettiva. La sicurezza non è più confinata all’IT, ma entra nelle stanze del Board, si intreccia con le decisioni strategiche e diventa un elemento misurabile della resilienza aziendale. È quanto è emerso durante il confronto tra i CISO nella Roundtable “MODELLI ORGANIZZATIVI E APPROCCI INNOVATIVI PER MITIGARE LE MINACCE E RISPONDERE ALLA NIS2” del CISO LEADERS SUMMIT di Baveno.
Quando la sicurezza arriva al board
Per Matteo Corsi, CISO di Retelit, siamo oggi a un punto di svolta. “La cybersecurity ha smesso di essere un problema di compliance o dell’IT ed è diventato un problema aziendale, di business” ha detto Matteo Corsi. Le responsabilità esplicite, le sanzioni, la visibilità richiesta dalla normativa hanno reso impossibile relegare la cybersecurity a tema tecnico. E così, attività note da anni – identity management, data governance, controlli – hanno finalmente trovato spazio e priorità. Oggi però il vero lavoro, quello meno visibile, è portare i controlli fino a “l’ultimo miglio”: estenderli davvero a tutta l’organizzazione, anche quando significa abbandonare tecnologie consolidate o affrontare complessità organizzative.
Il CISO sempre più spesso fuori dall’ufficio
Il CISO oggi non è più solo una figura tecnica. Si muove tra funzioni, progetti, innovazione; costruisce relazioni; abilita il cambiamento. In Ferrari Group, come racconta Andrea Succi, Group CISO, questo cambiamento ha preso una forma concreta: “Il team cybersecurity assume un ruolo di coordinatore ed enabler, armonizzando l’evoluzione delle nuove tecnologie con il percorso di digital transformation e prevenendo iniziative di shadow IT” ha detto Andrea Succi.
Qui la sicurezza non si limita a proteggere, ma accompagna l’innovazione. Dall’intelligenza artificiale al low-code, fino alla blockchain, ogni iniziativa viene incanalata in un modello che unisce autonomia e controllo. Il principio è semplice: lasciare spazio alla sperimentazione, ma dentro un perimetro chiaro. Un approccio che accetta l’errore, ma lo rende gestibile. E, soprattutto, che trasforma la cybersecurity in un abilitatore, non in un freno.
La sicurezza non è (più) un affare di pochi
Nessun modello organizzativo può funzionare senza un cambio più profondo: quello culturale. Pier Paolo Bortone, Cybersecurity Director di Italiaonline, lo dice senza mezzi termini: “La sicurezza non può essere un onere di pochi: deve diventare responsabilità di tutti”. Non basta però fare formazione, serve coinvolgere le persone, renderle parte attiva.
Significa ad esempio chiedere loro quali dati trattano; qual è il valore dei dati che trattato; cosa succede se vengono compromessi. Significa simulare crisi, creare scenari reali, far emergere incertezze e responsabilità: è proprio in questi momenti che la sicurezza smette di essere teoria e diventa esperienza. Allora succede qualcosa di interessante: le persone cambiano comportamento, anticipano il rischio, integrano la sicurezza nei processi, prima ancora che venga richiesto. È il cosiddetto shift left, ma visto da una prospettiva molto più vicina alle persone.
La Roundtable “MODELLI ORGANIZZATIVI E APPROCCI INNOVATIVI PER MITIGARE LE MINACCE E RISPONDERE ALLA NIS2” ha proposto un confronto su come la sicurezza stia uscendo dall’ambito tecnico per diventare una responsabilità di governance. È stato esplorato il ruolo della compliance operativa, della sicurezza della supply chain digitale e del rapporto con board e regolatori, analizzando come dimostrare maturità, affidabilità e capacità di risposta in modo misurabile e continuativo.
E’ ora disponibile il video completo della Roundtable:
