Il tema della cybersecurity è ormai di estrema attualità, a tal punto che molte grandi aziende hanno deciso di introdurre al loro interno funzioni dedicate alla gestione del security management. La tematica, tuttavia, è complessa e richiede professionisti altamente qualificati con competenze specialistiche, per altro difficili da trovare sul mercato.
In occasione del terzo anno di ricerca, l’Osservatorio Information Security & Privacy del Politecnico di Milano ha individuato alcuni dei profili più richiesti, in ambito security, e la percentuale di organizzazioni che dichiara di aver già introdotto queste figure internamente o di essere in procinto di farlo:
- il Security Administrator (76%) ha il compito di rendere operative le soluzioni tecnologiche di security, dalla loro messa in produzione alle attività di manutenzione e supporto agli utenti finali;
- il Security Architect (57%), grazie alle sue competenze modellistiche, svolge l’assessment delle soluzioni di security e disegna le misure di sicurezza e le policy adottate dall’organizzazione, con l’obiettivo di renderle coerenti tra di loro, per questo è coinvolto nelle attività di disegno di nuovi prodotti e servizi di security;
- il Security Engineer (56%) ha un bagaglio tecnico e modellistico, si occupa di monitorare i sistemi e proporre soluzioni relative alla risposta agli incidenti: è questo il motivo per cui capita che abbia un ruolo attivo in attività di audit e nell’identificazione di soluzioni volte a migliorare la sicurezza dell’organizzazione;
- il Security Analyst (55%) ha competenze di analisi di processo e si occupa di valutare le vulnerabilità che possono interessare reti, apparati, applicazioni e servizi proponendo soluzioni e accorgimenti pratici. Tra i suoi compiti rientrano lo scouting di mercato per trovare le soluzioni più adatte a specifici ambiti di impiego, le attività di verifica e conformità di soluzioni e policy a specifiche normative, e talvolta può essere l’coinvolto nella realizzazione di nuovi prodotti/servizi di security;
- l’Ethical Hacker (39%) conosce le principali modalità di attuazione di penetration test e per questo ha la responsabilità di individuare le procedure per dimostrate l’effettiva pericolosità delle vulnerabilità di cui soffre l’azienda. Ha anche il compito di fornire al Top Management e agli Executive security la documentazione necessaria per argomentare con elementi concreti i fattori di debolezza nella strategia di security dell’organizzazione;
- il Security Developer (28%) ha competenze informatiche specialistiche e si occupa dello sviluppo di soluzioni di security, così come dell’integrazione di servizi di terze parti;
- il Machine Learning Specialist (19%) ha competenze statistico-matematicche, conosce le tecniche di analytics, e si occupa di sviluppare e monitorare sistemi di risposta real time in grado di individuare e trattare possibili minacce in modo automatico e cognitivo.
Competenze e ambito d’azione del DPO
In ambito privacy – coerentemente anche al percorso di adeguamento al nuovo Regolamento europeo sulla data protection (General Data Protection Regulation o, in breve, GDPR) che entrerà in vigore a maggio 2018 – la ricerca ha approfondito qual è il ruolo del Data Protection Officer (DPO) e quanto sia diffusa questa figura in azienda. La nuova regolamentazione UE in materia di trattamento dei dati personali pone l’enfasi sulla strutturazione dei processi di gestione dei dati, sulla creazione di nuovi ruoli organizzativi e sulla messa in atto di pratiche e strumenti più complessi rispetto al passato.
L’analisi evidenzia come il 15% delle aziende del campione abbia già introdotto un DPO, nel 10% di esse invece la presenza è ancora “informale” e nel 3% la responsabilità è delegata a un consulente esterno. Dal confronto dei dati che si riferiscono all’anno precedente, è emerso che negli ultimi 12 mesi è aumentata la percentuale di aziende che ha dichiarato di voler introdurre il DPO nel prossimo futuro (57% nel 2017 contro il 31% del 2016 ) e, com’era possibile prevedere, è diminuita la percentuale di imprese che non ne prevede l’introduzione (attualmente pari al 15%).
Entrando più nello specifico, il DPO ha i seguenti compiti: assicurare il rispetto dei requisiti previsti dal GDPR (93%), sorvegliare l’osservanza del Regolamento (76%), fornire pareri al Titolare o al Responsabile del trattamento (59%) e curare i rapporti con gli interessati e con l’Autorità di controllo (55%).
