In vista della sua partecipazione in qualità di speaker all’edizione 2023 di Security4Business abbiamo incontrato Alessio Setaro, CISO Leroy Merlin. Con il Dott. Setaro abbiamo approfondito il tema della missione del CISO riguardanti le minacce informatiche e il Cybercrime.
1. Alessio, in qualità di Ciso di un’azienda molto nota a livello internazionale come Leroy Merlin, cosa ci può dire riguardo alle responsabilità, e soprattutto, ai problemi che deve affrontare nella sua quotidianità lavorativa?
Negli ultimi anni, in particolare nella nostra industry, si è assistito ad un aumento esponenziale del cybercrime e delle minacce informatiche. I cyber criminali, tramite l’utilizzo di tecniche sempre più avanzate, puntano a causare interruzioni e danni irreparabili ai sistemi aziendali, generando conseguenze significative per la reputazione, per la competitività e spesso anche per la sopravvivenza dell’azienda.
Nella missione del CISO è quindi imprescindibile la protezione dell’azienda dalle minacce che ne possono minare la sopravvivenza. Allo stesso tempo però la sua azione, per poter essere efficace, deve far sì che il CISO si ponga come un alleato del business e non come un suo nemico, in modo da garantirne la protezione e la salvaguardia senza andare ad incidere negativamente sul time to market e sull’esperienza utente e cliente, evitando così di perdere efficacia e credibilità nei confronti di chi poi deve attuare ed utilizzare le soluzioni e i principi definiti nella strategia di sicurezza aziendale.
Partendo da questa premessa, la sfida è dare alla cyber security una connotazione sempre più rilevante nella roadmap di trasformazione digitale dell’azienda, ponendo i suoi attori tra i player fondamentali per supportare un’evoluzione tecnologia veloce ma allo stesso tempo sicura, con un controllo costante dei rischi cyber e delle minacce legate a tali rischi. Il processo di security che il CISO è chiamato a mettere in atto e a diffondere all’interno dell’azienda, dovrà utilizzare rischi e minacce come driver per affrontare ed indirizzare la strategia di protezione e difesa, assicurando la sicurezza del patrimonio informativo, proteggendo l’integrità e la continuità dei processi di business e degli asset digitali, garantendo la riservatezza dei dati più critici e gestendo in modo dinamico ed efficace il rischio derivante dalle terze parti.
Questo percorso sicuramente non è facile, richiede un cambio di mindset su tutti i fronti e richiede l’esplorazione di territori a volte ostici e inesplorati, soprattutto per chi fino a ieri spesso ha vissuto in un silos e si è occupato principalmente di soluzioni tecnologiche slegate dagli obiettivi strategici dell’azienda. Per attuare tutto ciò e per poter essere efficaci nel contrasto delle minacce citate in precedenza, risulta quindi necessario attivare un cambio di passo importante, aggiornando le capacità umane del team e le soluzioni tecnologiche adottate, per poter sostenere con la massima efficacia un processo di sicurezza aziendale fuori dal silos e disegnato ed armonizzato sulla base degli obiettivi di business.
Tutto questo non potrà essere messo in atto se la cyber security non ha la capacità di creare ed alimentare con costanza un processo continuo,snello ed efficace di formazione e consapolezza, fondamentale per creare un terreno fertile su cui far attecchire in modo strutturale questa trasformazione radicale e per portare le parti in gioco su un percorso condiviso e virtuoso, fondamentale per lo sviluppo e la salvaguardia dell’azienda.
2. In riferimento alla tavola rotonda in cui interverrà, quali sono i 3 concetti fondamentali per trasformare la sicurezza in un vantaggio competitivo?
La collaborazione attiva con il business e la trasformazione della cybersecurity da “circolo di tecnocrati” ad advisor aziendali, in grado di parlare diversi linguaggi di comunicazione a seconda dell’interlocutore con cui si interagisce, è sicuramente la base di partenza per far uscire la cybersecurity dall’angolo in cui fino a qualche tempo fa è stata relegata e per attuare la trasformazione necessaria per spostarla dal ruolo di “complicatore” ad acceleratore e abilitatore.
I tre elementi chiave, che dal mio punto di vista sono imprescindibili per far si che tutto questo avvenga, sono:
- La cooperazione tra sicurezza e business. La sicurezza informatica deve essere allineata con gli obiettivi e le esigenze del business, per garantire e supportare la crescita e la competitività aziendale con livello di protezione adeguato agli obiettivi di business. Una collaborazione attiva tra il team security e le differenti funzioni aziendali, sia tecniche sia di business, ha la duplice valenza di rendere più consapevoli i team di sicurezza sul funzionamento dei processi e quindi più efficaci sull’individuazione dei rischi, e a allo stesso tempo di permettere alle altre funzioni aziendali di comprendere meglio i rischi da mitigare e le opportunità da cogliere per sviluppare soluzioni sempre più robuste e resilienti.
- Lavorare di concerto con le terze parti per il monitoraggio e la mitigazione dei rischi da esse ereditati. Oggi non si può limitare la sfera di protezione e di controllo alla propria superficie aziendale ma bisogna estendere l’azione della cybersecurity a tutto l’ecosistema che supporta i processi critici di business. L’unico modo per gestire un livello così alto di complessità è quello di avere da un lato dei processi di security by design e by default efficaci, resilienti e pragmatici, dall’altro una nuova modalità di interazione con i propri fornitori critici, che vanno considerati come partner e “compagni di viaggio” e non come fonte di problemi. In questo modo entrambe le parti potranno beneficiare degli effetti di questa cooperazione, aumentando la capacità di prevedere e prevenire le minacce, a garanzia della sicurezza degli asset informativi sensibili e dei processi più critici
- Investire nella cultura della sicurezza. La formazione dei dipendenti e la creazione continua di consapevolezza sui rischi legati alla sicurezza informatica, unita alla conoscenza delle misure più efficaci da adottare per prevenirli, crea un collante fondamentale per mitigare il rischio e per ridurre la magnitudo degli incidenti di sicurezza. Inoltre, una divulgazione ed evangelizzazione efficace, a beneficio soprattutto dei decisori e degli shareholder, è fondamentale per supportare l’ investimento in tecnologie sempre più avanzate,come ad esempio l’intelligenza artificiale e l’apprendimento automatico su base comportamentale, in modo da garantire all’azienda un livello di protezione adeguato e per identificare convergenze di sviluppo ed investimento tecnologico con gli altri dipartimenti aziendali.
Il Dott. Setaro interverrà come speaker l’1 marzo a Security4Business.