Rischio d'impresa digitale, si delineano nuove figure professionali

Entro la fine del 2015 oltre la metà delle aziende avrà una figura "senior digital leader" all'interno della propria compagine di executive: è quanto emerge dalla ricerca "CEO and Senior Executive Survey" condotta da Gartner. La società di analisi di mercato ha affermato che nel 2017 in un terzo delle aziende di grandi dimensioni che sono impegnati in attività e modelli di business digitali sarà presente una figura professionale "Digital Risk Officer" o equivalente.

Entro il 2020 nel 60% delle attività digitali si verificheranno disservizi importanti a causa dell'incapacità, da parte dei team dedicati alla sicurezza IT, di gestire il rischio digitale legato alle nuove tecnologie e ai nuovi ambiti d'uso. Vi saranno strette interdipendenze tra gli ambiti di Information Technology, Operational Technology, Internet of Things e tecnologie dedicate alla sicurezza fisica, tali da richiedere un approccio cosiddetto "risk-based" all'amministrazione e alla gestione. La gestione del rischio digitale è la prossima evoluzione nel panorama del rischio d'impresa e della sicurezza per le azioende digitali che sono occupate ad ampliare lo spettro delle tecnologie che richiedono protezione.

"La figura di Digital Risk Officer (DRO) sarà caratterizzata da una miscela di senso e comprensione del business con una sufficiente conoscenza tecnica per affrontare il rischio digitale ed indicare il modo migliore per affrontarlo. Molti responsabili di sicurezza tradizionali cambieranno i propri titoli in Digital Risk & Security Officer, ma la mancanza di un cambiamento materiale nella loro raggio d'azione, nel loro mandato e nelle loro abilità non permetterà di portare a termine il loro compito interamente".

Il mandato e il raggio d'azione di un DRO è molto differente da quello di un Chief Information Security Officer e in molte organizzazioni il ruolo del CISO proseguirà in maniera molto simile a quanto è possibile vedere oggi. Il DRO dovrà invece rendere conto ad un senior executive al di fuori della divisione IT, sia esso il Chief Risk Officer, il Chief Digital Officer o il Chief Operating Officer. Insieme gestiranno il rischio ad un livello executive attraverso le varie unità di business digitale, operando direttamente con i colleghi che si occupano di affari legali, privacy, compliance e marketing, vendite e operazioni digitali.

Il ruolo della sicurezza IT rimane vitale e rilevante. Molti CISO evolveranno comunque in DRO iniziando a formare partnership efficaci con i team di sicurezza digitale e gestendo altre forme di tecnologia. I leader di IT security potrebbero continuare con le loro responsabilità assegnate a riferire al DRO il quale si troverà inoltre a coordinare anche i team che si occupano della sicurezza fisica, anche questa destinata a divenire sempre più digitale.

Questa nuova struttura di amministrazione e gestione del rischio digitale avrà un impatto minimo sull'IT e sulle operazioni IT, in particolare in quelle realtà che già avranno nominato un Chief Risk Officer. Quello che sarà rilevante è il potenziale impatto sulla cultura dei team IT e security IT.

IT, OT, IoT e sicurezza fisica formano un nuovo superset di tecnologia che va a sfidare le capacità delle esistenti strutture organizzative, le abilità e gli strumenti per affrontare, definire e gestire i rischi legati alla tecnologia in modo coerente e adeguato. Non è praticabile ampliare l'arsenale a disposizione degli esistenti team di sicurezza in manera tale che arrivino ad includere i rischi legati a tutte le tecnologie Internet-aware. Tecnologie nuove ed esistenti gestite al di fuori dell'organizzazione IT richiedono abilità e strumenti che vanno oltre le competenze dei team di sicurezza IT nelle loro attuali responsabilità, ed i team attualmente coinvolti nella gestione di queste tecnologie sono culturalmente distanti dall'organizzazione IT.

Un approccio coerente e unificato al rischio digitale a livello enterprise ha il ptenziale di portare efficienze di costi e maggior garanzie per i processi di business rispetto al frammentato approccio attualmente in essere in varie aziende. Lo sviluppo di una capacità di gestione del rischio digitale richiede di smontare e riorganizzare le attuali strutture organizzative e la distribuzione delle responsabilità, così come nuove capacità di valutazione del rischio e della sicurezza, nonché di monitoraggio, analisi e controllo.

"Entro il 2019 il nuovo concetto di rischio digitale diverrà l'approccio standard per la gestione del rischio legato alla tecnologia" ha osservato Proctor. "I Digital Risk Officer influenzeranno l'amministrazione e supervisioneranno le decisioni legate al business digitale. Questo ruolo opererà in modo esplicito con gli executive non-IT in vari modi, per meglio comprendere il rischio d'impresa digitale e faciliterà un bilanciamento tra la necessità di proteggere l'organizzazione e la necessità di operare il business. La lacuna culturale tra i decision-maker IT e no-IT è un elemento di sfida. Molti executive credono che la tecnologia - e quindi i rischi a essa correlati - sia un problema tecnico che deve essere gestito da persone tecniche, sepolte nell'IT. Se questa lacuna non viene colmata con efficacia, la tecnologia e i conseguenti rischi d'impresa arriveranno a livelli inappropriati e quindi non vi sarà la visibiltà o i processi di amministrazione per controllare questo rischio".