Il fil rouge del Cyber & Privacy Forum di Verona è stato la sinergie fra le funzioni di garanzia di data protection, quali sono i professionisti della privacy e emblematicamente i DPO, e della sicurezza informatica, quali i sysadmin e il CISO.
La dirompente fase di innovazione tecnologica cui assistiamo pone però tutte queste figure di fronte a nuove sfide di gestione da dover affrontare, con uno stato dell’arte emergente che non solo deve essere costantemente vigilato ma richiede anche competenze adeguate. Competenze la cui assenza, è bene ricordare, fa ricorrere una culpa in eligendo in capo all’organizzazione e il cui venir meno è sintomo di una generale inadeguatezza delle risorse disponibili.
Queste competenze, però, non possono essere improvvisate. Di conseguenza occorre fare ricorso ad esperti in ambiti diversi e sempre più specifici, dal momento che né Data Protection Officer né Chief Information Security Officer non possono più permettersi – e invero, forse non se lo sono potuto mai - di agire in solitudine. La creazione o di un ufficio stabile o di team di intervento, in modo similare agli esperti tecnici di un gruppo di audit, può essere una soluzione utile. E soprattutto, programmabile per le organizzazioni le quali possono prevedere stanziamenti e programmazione di budget.
E se c’è una reciproca contaminazione, per cui il CISO un po’ deve sapersi fare DPO e viceversa, ben venga. Ma ciò non deve ingenerare una confusione nelle funzioni, né tantomeno reciproche invasioni di campo e conflitti. Un approccio interno di coopetition, soprattutto nella complessa gestione di obblighi normativi e standard di sicurezza richiesti dai nuovi orizzonti tecnologici, è infatti destinato a fallire.
Nella protezione dei dati il ruolo cruciale delle soft skill è cruciale
Premessa l’importanza di possedere e mantenere tutte le competenze specifiche e adeguate al ruolo, la conoscenza e l’esperienza sono condizioni necessarie ma non sufficienti stante l’evoluzione così rapida dello stato dell’arte tanto dal punto di vista tecnico che normativo. Così, un fattore critico di successo si può trovare nel coltivare le soft skill per tutte le funzioni così impattanti nella governance dell’organizzazione quali sono quella del DPO e del CISO.
Le abilità di problem solving, di lavorare in team o secondo obiettivi non possono che comportare una generale e più elevata capacità di gestione tanto della compliance quanto della sicurezza. Da non sottovalutare infine l’adozione di una comunicazione interna efficace, proattiva e con una visione strategica comune.
Certamente le difficoltà non mancano né mancheranno a riguardo, soprattutto perché è necessario avere contezza dei rispettivi ruoli innanzitutto dunque saperli declinare adeguatamente. Questo però è responsabilità dell’organizzazione in quanto deriva dalla definizione che si intende dare ai propri sistemi di gestione, ai flussi informativi e alle attribuzioni di ruoli e responsabilità.
Organizzazione che sarà sempre e comunque misurata secondo il metro dell’efficace attuazione di queste funzioni cruciali. E chiamata a rispondere di conseguenza.
Articolo di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia, consulente Privacy & ICT Law, Data Protection Officer, Privacy Officer certificato TÜV Italia (è stato uno dei relatori al Cyber & Privacy Forum 2023)
maggiori informazioni su:
www.federprivacy.org
La tutela dell'operatore in ambito Forze dell'Ordine, sanità, trasporti, tra tecnologie disponibili, digitalizzazione e impatto privacy
Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia
Scenari, tecnologia e formazione sulla sicurezza in formato audio
Un'immersione a 360 gradi nella realtà dell'azienda