Per poter governare in modo efficace ed efficiente temi come la Sicurezza delle Informazioni, la protezione dei dati e la gestione dei rischi, sono necessarie competenze non comuni che difficilmente possono essere presenti nelle micro, piccole e medie imprese italiane. Spesso, anzi, assistiamo a figure ibride che assumono in se responsabilità e competenze molto varie, ma non così specialistiche. Lo stesso imprenditore si occupa ad esempio di commerciale, produzione, assistenza, manutenzione, marketing e amministrazione… e nelle realtà italiane dove esiste l’impresa a gestione familiare, questi aspetti sono quasi sempre la regola.

Detto ciò, le mPMI sono realtà che riescono comunque a distinguersi anche in mercati internazionali, proprio per la specificità dei loro prodotti/servizi, e come tutte le organizzazioni sono soggette a rischi in materia di cybersecurity, devono rispettare le normative europee in materia di protezione dei dati personali e devono gestire quotidianamente rischi di ogni tipo.

Vediamo alcune delle figure coinvolte, e le competenze necessarie, per gestire un processo di questo tipo

CISO
Il direttore della sicurezza informatica (in inglese chief information security officer, in sigla CISO) è una figura aziendale, la cui responsabilità è di sviluppare una strategia aziendale perché i beni d’informazione e le tecnologie aziendali siano adeguatamente protetti.
Il CISO dirige la sua squadra identificando, sviluppando, implementando, e facendo manutenzione dei processi aziendali per ridurre i rischi derivanti dall’area della tecnologia informatica. Risponde ad incidenti, crea e stabilisce degli standard aziendali e controlla e gestisce la sicurezza tecnologica e direziona l’implementazione di politiche e procedure di sicurezza. Questo ruolo è responsbile della conformità alle informazioni (per esempio supervisiona l’implementazione ed il raggiungimento della certificazione standard ISO/IEC 27001 o di una sua parte). (Fonte Wikipedia)

Risk Manager
Compito del Risk Manager è individuare e analizzare i potenziali rischi in cui può incorrere l’azienda, valutarli in base alla loro possibile gravità e frequenza, quindi individuare la politica migliore per ottimizzare la loro gestione, in linea con la linea scelta dal top management e con le capacità finanziarie dell’azienda. Una volta definite le misure di trattamento del rischio, in coordinamento eventuale con i tecnici di settore, il Risk Manager si accerta dei risultati e li controlla nel tempo. (Fonte ANRA)

Auditor
Colui che esegue l’Audit (verifica o ispezione). Secondo la definizione ISO 19011, l’audit è un processo sistematico, indipendente e documentato per ottenere evidenze e valutarle in modo oggettivo allo scopo di stabilire in quale misura i criteri siano stati soddisfatti.
I criteri sono gli elementi usati come riferimento dall’auditor, che li confronta con le evidenze per esprimere le risultanze di conformità o non-conformità.

DPO
Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dal Regolamento (UE) 2016/679.
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

CyberSecurity Manager
Si occupa della sicurezza informatica di un’azienda. Il cyber security manager ha tipicamente una preparazione molto tecnica, completata da competenze in campo giuridico e di management:

• laurea in Ingegneria informatica;
• specializzazione o master in Sicurezza informatica, con un esame finale che comprende anche una qualifica riconosciuta dal MIUR;
• formazione giuridica;
• competenze organizzative, dal momento che la protezione dei dati dipende anche dall’attenta analisi dei processi aziendali.