La figura dell'IT Security Manager diventa sempre più importante all'interno delle aziende. E non mi riferisco ad imprese con organizzazioni complesse, con centinaia di dipendenti e decine di milioni di fatturato.
Oggi anche le PMI più piccole (pochi milioni di € di ricavi e 15/20 dipendenti), hanno bisogno di una figura del genere. Ma spesso non possono permettersela. Vediamo perché.
Innanzitutto: chi è e cosa fa un IT Security Manager?
Che le minacce informatiche sono in aumento esponenziale è un dato di fatto. I punti critici di attacco sono sempre più difficili da tenere sotto controllo: reti wifi, dispositivi mobili, PC, e tutto il mondo IoT (basti pensare ad impianti di condizionamento, illuminazione, controllo accessi, PLC, etc).
Generalizzando possiamo sintetizzare che troviamo due tipologie di clienti:
- Aziende che hanno una funzione interna IT
- Aziende che (quasi sempre per via delle dimensioni ridotte) hanno esternalizzato la funzione IT a consulenti/partner esterni
Nel primo caso è possibile trovare - all'interno del reparto IT - una figura specialistica di security. Nel secondo, è molto più difficile (soprattutto per motivi di budget).
L'IT Security Manager ha il compito di definire le politiche di sicurezza dei sistemi informativi, valutare rischi, analizzare vulnerabilità, mettere in atto procedure di prevenzione, difesa e ripristino.
Avrà quindi in gestione la così detta governance della sicurezza informatica: considerata l'importanza di questa figura, spesso riporta direttamente al responsabile IT oppure al CIO o all'AD (chiaramente dipende dalle dimensioni e dal tipo di organizzazione aziendale).
Quanto costa un IT Security Manager?
E' possibile azzardare una stima: leggendo ad esempio il report di Modis relativo alle retribuzioni nel settore ICT (anno 2016), vediamo come mediamente la retribuzione si aggiri attorno ai 41.000 €/anno:
Prendiamo "con le pinze" questi numeri, ci servono solo come riferimento. Personalmente ritengo comunque che siano valori bassi, in relazione all'importanza strategica della figura: tant'è che come spesso accade, in altri paesi (USA in primis, ma anche Francia e Germania) questi valori arrivano a raddoppiare.
Anche le competenze sono un aspetto fondamentale da considerare: è inutile investire su una figura del genere se non ha le capacità necessarie per ricoprirne il ruolo. Come è giusto che sia, più le competenze sono elevate, più la retribuzione aumenta:
Chi svolge oggi nella tua azienda il lavoro di IT Security Manager?
Dove non c'è una figura specifica, tutte queste attività sono demandate al reparto IT. Nulla di nuovo, se non fosse che il trend delle minacce e degli attacchi è in forte aumento: crescendo la complessità dei sistemi ICT, crescono le vulnerabilità, crescono le attività correlate.
Cresce quindi la probabilità che qualcosa vada storto: diventa quindi necessaria la figura di un IT Security Manager, anche e soprattutto nelle piccole realtà PMI
I due problemi:
1) Come e dove trovare un IT Security Manager con competenze adeguate?
2) Costa troppo: non posso permettermi di assumere un professionista del genere. Come fare?
La risposta a queste due domande è una sola: il Security Manager As A Service, ovvero il Manager in Affitto.
Non è una novità, il Temporary Manager è una soluzione già presente sul mercato.
Ora però esiste anche in ambito IT: è possibile "noleggiare" per un tempo variabile una serie di servizi che comprendono competenze tecniche, legislative, organizzative, strumenti e persone, che vadano a svolgere esattamente la funzione di IT Security Manager, ma non solo.
La soluzione è stata realizzata grazie alla collaborazione tra Fastweb e Swascan, che hanno creato un servizio ad hoc, configurabile secondo le esigenze specifiche dell'azienda e quindi perfetto anche per realtà piccole e medio piccole.
Oggi quindi è possibile esternalizzare tutta o una parte della security governance, integrandola con le funzioni IT presenti in azienda ove presenti.
I vantaggi?
- costi accessibili
- nessun investimento
- servizio As A Service che comprende persone, strumenti e strumenti tecnici
- modalità di test "try and buy"
- integrazione con il personale interno IT
- completamente configurabile in base alle esigenze del cliente
- scalabile velocemente
- in linea con il GDPR (assolve quanto richiesto dall'art. 32)
Come sempre sono a disposizione se vuoi ulteriori informazioni o approfondimenti: puoi lasciare i tuoi dati qui, senza impegno sarai contattato: