[section_title title=La mancanza di persone]La mancanza di persone
Sec Consulting, società di Alfa Group specializzata nelle tematiche di sicurezza informatica, è la filiale italiana di un’azienda di consulenza israeliana che ha sedi in tutta Europa e si occupa di tutti gli aspetti relativi alla sicurezza logica, della conformità alle normative, supporto alle certificazioni eccetera.
«Abbiamo quindi una doppia anima – ha sottolineato Paolo Capozucca, Ceo Sec Consulting e VP security & compliance Alfa Group – che ci consente di articolare il business su più livelli: dalla consulenza ad alto livello (la conformità per l’Iso 270001 per fare un esempio) il cui mercato di riferimento sono le grandi e le grandissime realtà, da un lato, ai servizi di consulenza per progetti tecnologici, dall’altro, che hanno un target più basso e, in questo momento, riguardano soprattutto la protezione per il mobile, la tutela della proprietà intellettuale (per esempio, in Regioni come le Marche e l’Emilia) e l’Information Security, un tema attualmente appannaggio soprattutto dei grandi clienti anche se sarebbe particolarmente importante soprattutto per la PA. Ma noi stiamo incontrando diverse difficoltà, oltre a quello sicuramente dei budget, ci rendiamo sempre più conto del fatto che nonostante quel che si dice le aziende non sono strutturate per affrontare gli argomenti di sicurezza IT. Spesso non troviamo neppure un Cio con cui parlarne, il referente è il direttore organizzazione e sistemi informativi, figuriamoci se troviamo un Ciso… Sicuramente negli ultimi mesi va aumentando sempre più la sensibilità a riguardo, ma il problema resta, anche perché, se il Ciso esiste non ha budget, è solo una casella nella quale confluiscono tutta una serie di esigenze, ma anche nelle grandi organizzazioni la sicurezza, di fatto, è ancora molto parcellizzata, servirebbe un punto di governo unico. A questo proposito, in occasione dell’ultimo Security Summit è stato reso pubblico un lavoro su “I primi 100 giorni del Responsabile della Sicurezza delle Informazioni” che indica tutta una serie di passi da compiere per poter aumentare sicurezza e compliance».
Quali i principali ambiti d’azione in questo periodo?
«Noi stiamo lavorando principalmente in tre aree – ha dichiarato Capozucca – ossia: Data loss prevention, mobile IT e cloud, settore bancario. Sul primo fronte, collaboriamo con le aziende nell’individuare quel nucleo di informazioni che è davvero prezioso per loro e lo proteggiamo in modo adeguato; sembra un’osservazione scontata, ma ci rendiamo conto che nelle aziende le persone sono ben consapevoli di quale sia il proprio patrimonio, ma poi lo proteggono in modo artigianale. In secondo luogo, il mobile e il cloud sono fenomeni sicuramente in crescita ma che stanno destando molteplici complicazioni sul fronte della sicurezza; infine, siamo sempre stati aggiornati rispetto agli obblighi di legge vigenti nel sistema bancario e stiamo quindi accompagnando gli Istituti in questo campo. Ma la sfida vera e trasversale, e mi allaccio al discorso di prima, è fare davvero lavorare insieme coloro che si occupano di sicurezza e i responsabili di business. I primi, infatti, sono spesso ex-tecnici promossi a security manager che quindi hanno una visione parziale dell’azienda. Invece, nessuna azienda può davvero pensare a un business Web 2.0 se non implementano politiche di sicurezza. Rispetto alle minacce social non si può pensare che la soluzione sia chiudere l’accesso a Facebook, cosa che invece succede, molto più spesso di quanto si pensi! A fronte di questo panorama il nostro lavoro è ancora soprattutto quello di sensibilizzare gli utenti e poi di individuare i budget. Noi riusciamo a conquistare la fiducia da parte dei potenziali clienti grazie alla nostra lunga esperienza e alle molteplici referenze (il passaparola è davvero fondamentale) perché non è semplice neppure il primo approccio: è già difficile farsi raccontare i loro problemi».
