SMI Bold: Valentina Arena, Responsabile BU Cybersecurity

Valentina Arena, Responsabile della Business Unit Cybersecurity di SMI, è la protagonista di questo mese della nostra rubrica SMI Bold dove ospitiamo la voce di manager e prime linee della nostra azienda. Con Valentina abbiamo approfondito come tra nuovi scenari legislativi e contesti di mercato sempre più dinamici, la cyber security stia assumendo un ruolo centrale per l’integrità del business e la compliance normativa. Buona lettura!

Il 17 ottobre 2024 l’Italia dovrà recepire la NIS2 e tante sono le normative europee e nazionali in questo ambito: le aziende italiane sono pronte a conformarsi alle nuove prescrizioni o c’è ancora tanta strada da fare?

Prima di rispondere dobbiamo chiarirci su 3 punti fondamentali. 

Il primo: l’information security e la cybersecurity sono dei pilastri imprescindibili per il mondo economico e non possiamo pensarla in modo diverso. Lo evidenzia l’hype spaventoso che ruota attorno a questi temi. Non si parla di altro in tutti i contesti e a tutti i livelli. Lo evidenzia, ancora di più, la macchina legislativa, nazionale ed europea, che sta sfornando una quantità indescrivibile di norme alle quali poi conformarsi. Il GDPR, prima, la NIS 2, ora, la Direttiva CER, il DORA, il Regolamento Europeo sull’intelligenza artificiale, eIDAS 2, il Cybersecurity ACT, la legge che ha istituito il perimetro nazionale di sicurezza cibernetica (PSNC) e tutto ciò che verrà dopo, sono un chiaro segno dell’esigenza non solo di uniformare un contesto in continuo cambiamento, ma, soprattutto di fare in modo che sia arrivi ad un livello comune elevato di cybersicurezza. 

Secondo, la sicurezza non è un’opportunità. Nessuno dice che le cinture di sicurezza in automobile o il casco in moto sono una risorsa o un’opportunità. Eppure, si è affermata l’idea che la sicurezza informatica lo sia. La sicurezza è un costo e riduce l’efficienza di alcuni lavori. Non dobbiamo negarlo. Per un’azienda un’opportunità è un’altra cosa: è la possibilità di aumentare i ricavi o ridurre i costi. Se non si chiamano le cose con il loro nome, si rischia di venire fraintesi. Un dirigente vede in primis i costi – e l’onere organizzativo – che la sicurezza comporta e non lo si convince di certo dicendogli che è un’”opportunità”; parlare di opportunità rischia di porre l’interlocutore in un atteggiamento difensivo, visto che riconosce immediatamente la falsità dell’affermazione.

Il terzo è un’immediata conseguenza del secondo: bisogna affermare che la sicurezza delle informazioni va pianificata e realizzata perché è necessaria. È necessaria perché protegge le risorse dell’organizzazione e tutti i suoi asset, inclusa la sua immagine, e perché le regole si rispettano anche se questo comporta sacrifici, nello specifico costi diretti (soldi) e indiretti (tempo da dedicare, inclusi i malcontenti). Bisogna far capire perché la sicurezza delle informazioni è utile, sottolineando che funge da scudo per potenziali danni.

Digeriti questi 3 principi possiamo iniziare a ragionare sullo stato delle imprese italiane che, personalmente, non credo sia roseo. Non sono del tutto pronte ad affrontare le sfide cui sono chiamate considerando che si sta chiedendo loro di ripensare totalmente le strategie aziendali, anche e soprattutto economiche, nonché di pianificare sin d’ora con grande cura e lungimiranza i nuovi obiettivi di compliance. Si sta chiedendo alle imprese di ottimizzare le risorse interne ed esterne, rivedendo le infrastrutture e le competenze. In questo contesto potrebbe forse essere utile - per provare a rispondere positivamente alle nuove sfide - prediligere un approccio integrato, che sappia tenere conto delle diverse sfaccettature operative e tecnologiche richieste dalle normative. 

Approcciando le misure di sicurezza non come compartimenti stagni ma come uno strumento armonico è possibile tutelare in modo completo sia la resilienza fisica che quella digitale, adempiendo gli obblighi normativi e allo stesso tempo rafforzando la sicurezza complessiva delle organizzazioni, riducendo i rischi e migliorando la capacità di risposta di fronte a minacce sempre più sofisticate e pervasive.

La Business Unit Cybersecurity di SMI si è progressivamente consolidata negli ultimi anni. Qual è il principale vantaggio competitivo dell’offerta di SMI?

Il differenziale competitivo dell’offerta di SMI consiste in due aspetti:

• Approccio multidisciplinare;
• Adozione di un modello “GRC – Cybersercurity”.

La nostra squadra è composta da risorse provenienti da percorsi ed esperienze diverse, fornendo in questo modo una visione a 360°.

Per quanto riguarda il secondo aspetto, il modello GRC-Governance, Risk e Compliance rappresenta le tre principali linee direttrici sulle quali si articola la nostra proposta:

Governance – presidiamo le attività decisionali, strategiche e manageriali, dalla definizione degli obiettivi, all’organizzazione dei flussi di lavoro o di comunicazione (interna ed esterna) attraverso politiche, regolamenti ed eventuali standard o framework. Configuriamo e manteniamo i processi del ciclo di vita dell'identità degli utenti, compresi il provisioning degli utenti e le revisioni degli accessi, governiamo e implementiamo le strategie di protezione dei dati per garantire la riservatezza e l'integrità delle informazioni sensibili, fungiamo da responsabile della protezione dei dati (DPO), collaboriamo e supportiamo i nostri omologhi sviluppando e applicando politiche allineate alle leggi sulla protezione dei dati.

Risk – ci assicuriamo, tramite attività di auditing e risk sui processi interni ed eventualmente su quelli delle terze parti critiche, una gestione integrata dei rischi cyber che possono incidere sulle strategie aziendali e sulla continuità operativa e, in definitiva, sul perseguimento del business (incidenti di sicurezza, data breach, attacchi informatici, violazioni normative/sanzioni, perdite finanziarie, ecc), compromettendo così l’immagine positiva dell’azienda e la fiducia degli stakeholder.

Compliance – garantiamo la conformità delle scelte organizzative, delle modalità operative e dei prodotti/ servizi finali al quadro normativo nazionale, europeo e internazionale di riferimento, inclusi i vari standard e regolamenti di settore, oltre che ai vincoli contrattuali sottoscritti con Clienti e Fornitori, per mantenere una elevata reputation nel mercato di riferimento e presso tutti gli stakeholder. Come richiesto dal Modello GRC, Il Team multidisciplinare è capace, attraverso specialisti qualificati e certificati, di mettere in connessione i vari dipartimenti dell’organizzazione (IT, Security, Risk Management, Legal, Privacy, Compliance, ecc), contaminandone reciprocamente linguaggi e visioni, al fine di produrre una cultura del rischio condivisa e un linguaggio comune, anche attraverso l’uso di piattaforme e strumenti informatici dedicati.

Non è frequente trovare una donna alla guida di un comparto così delicato come la cyber security. Quale è la tua esperienza in SMI?

Nata e vissuta in un piccolo paesino sul litorale pugliese, dopo aver conseguito la laurea in giurisprudenza a 27 anni, inspiegabilmente, ero già diventata avvocato; avvocato penalista per 6 anni, nello studio dove avevo svolto il praticantato. La prima cosa che mi è stata detta, da quello che nel settore viene chiamato “dominus”, è stata: “sei sicura? sei una donna e sei giovane un delinquente non ti sceglierà mai”. Ovviamente, testarda come sono, non mi sono lasciata minimamente intimidire e ho continuato a sbatterci la testa. Poi mi sono fermata e mi sono chiesta se fossi realmente contenta: effettivamente non lo ero. E infatti ho cambiato strada, e posso dirmi assolutamente soddisfatta. Al netto di questo, per quanto io non sia un’ardente femminista, ho provato sulla mia pelle la difficoltà ad accettare che le donne possano svolgere determinate professioni. Certo ho incontrato tante donne, più grandi, più piccole, ma sempre oggettivamente troppo poche. E purtroppo anche il mondo dell’ICT è un mondo super maschile. Quello di cui sono certa è che un’equa rappresentanza femminile nel settore della cybersecurity sia valore aggiunto in termini di innovazione e soluzioni. E, più precisamente:

• Diversità di pensiero – Le donne, con i loro diversi background ed esperienze, possono fornire prospettive uniche e soluzioni innovative a sfide che potrebbero non essere prese in considerazione da un gruppo più omogeneo.
• Diversi set di abilità – Le donne possiedono un’ampia gamma di competenze che sono molto rilevanti per la cyber security, tra cui forti capacità di comunicazione, attenzione ai dettagli e pensiero analitico. 
• Miglioramento delle dinamiche di squadra – La diversità di genere e di background porta a migliori dinamiche di squadra. I team composti da individui con punti di vista diversi tendono a prendere decisioni migliori, poiché considerano una gamma più ampia di possibilità e potenziali insidie.
• Migliore rappresentazione rôle model – La presenza di donne in ruoli di cyber security funge da modello per le generazioni più giovani e incoraggia un maggior numero di donne a intraprendere carriere nel settore della sicurezza e della tecnologia. Quando le donne vedono altre persone che assomigliano a loro avere successo in un campo, è più probabile che lo considerino un’opzione di carriera praticabile.
• Migliore risoluzione dei problemi – Gli studi hanno dimostrato che i team eterogenei sono più bravi a risolvere i problemi e a prendere decisioni. Le sfide della cyber security sono molteplici e avere un team diversificato può portare a soluzioni più complete ed efficaci.
• Approccio incentrato sull’utente – Molte misure di cyber security comportano la progettazione di sistemi sicuri e facili da usare. Il punto di vista delle donne può contribuire a creare soluzioni di sicurezza non solo robuste dal punto di vista tecnico, ma anche facili da usare e da capire.
• Considerazioni etiche e sociali – I problemi di cyber security spesso si intersecano con l’etica, la privacy e le implicazioni sociali. La rappresentanza femminile sul campo può contribuire a garantire che questi aspetti siano presi in considerazione nelle strategie e nelle decisioni in materia di sicurezza.

Ad ogni modo, nonostante le difficoltà, c’è motivo di ottimismo. Negli ultimi anni sono emerse numerose iniziative stimolanti per sostenere le donne nel campo della cyber security. Ad esempio, Women4Cyber che ha avviato un’iniziativa guidata dall’Unione Europea che mira a promuovere, a incoraggiare e a sostenere la partecipazione attiva delle donne alla cyber security.

E poi ci sono le aziende come SMI, la mia azienda! SMI è stata in grado di dar vita ad ambienti lavorativi collaborativi, paritetici e stimolanti.  È un’azienda che non si nasconde e non ha paura di osare, contribuendo attivamente e di fatto alla diminuzione del gender gap. Oltre ad essere numericamente tante, diverse sono le colleghe che rivestono ruoli manageriali e decisionali.