InTerview: Paolo Maurino, Head of Security
Le persone di Intesa raccontano la loro professionalità
Proteggere la sicurezza informatica è fondamentale per la reputazione di ogni azienda. Ma di cosa si occupa esattamente il Chief Information Security Officer? Quali sono gli aspetti più interessanti del suo lavoro?
In questo articolo scoprirai:
Ci sono mestieri in cui il perpetuarsi dei gesti tramandati di generazione in generazione è considerato una garanzia di qualità. Per chi si occupa di IT e informatica, invece, vale esattamente il contrario: il costante aggiornamento delle competenze è fondamentale per riuscire a svolgere il proprio lavoro. Paolo Maurino, Chief Information Security Officer (CISO) di Intesa, si occupa di infrastrutture tecnologiche da sempre. Il suo percorso è l’esempio di come, per quanto una formazione universitaria sia utile a impostare le basi della professione, l’aggiornamento delle competenze di chi lavora nel mondo IT non possa fermarsi, mai.
Di cosa si occupa il CISO di un’azienda?
Il CISO è una figura molto importante, e probabilmente la sua presenza all’interno delle aziende verrà resa obbligatoria da una legge UE. Secondo la definizione della Cyber Security Guide di Kyndryl il CISO è “Responsabile della conduzione della strategia di cyber security a livello aziendale, delle politiche, degli standard, dell’architettura e dei processi. L’organizzazione del CISO lavora con tutte le altre strutture all’interno dell’azienda per proteggere l’azienda stessa, il suo marchio e i suoi clienti dai rischi legati alla cybersecurity.” Si occupa quindi di effettuare l’analisi del rischio, implementare una governance e una strategia, implementare le policy e le azioni pratiche per gestire la sicurezza dell’azienda, gestire gli eventuali incidenti, implementare i tool, testare le vulnerabilità e provvedere all’educazione e all’awareness della popolazione aziendale.
Qual è l’aspetto più interessante del tuo lavoro?
La possibilità di spaziare su argomenti diversi e ampliare le competenze, non essere “costretto” a fare esclusivamente ciò che prevede il ruolo ma avere la libertà di valutare, proporre e testare soluzioni alternative. Il ruolo del CISO è come una “lotta tra bene e il male”: sapere di avere la responsabilità della difesa dei sistemi aziendali e dover essere sempre pronto a ridurre i rischi e respingere gli attacchi.
Come è cambiato questo ruolo in questi anni? E come è cambiata l’operatività dell’azienda?
È cambiato tantissimo, soprattutto negli ultimi 10 anni, perché è in questo periodo che si è acquisita la consapevolezza che la sicurezza informatica di un’azienda è importante, fondamentale. Ciò è accaduto probabilmente anche grazie alla divulgazione delle notizie sui vari attacchi informatici e alla disponibilità di informazioni online al riguardo: la sicurezza informatica è diventata anche una questione di reputazione per le aziende, che devono trovare la giusta via tra la visibilità (più informazioni di sono online su di te più sarai esposto) e la sicurezza.
Questo ambito richiede un aggiornamento costante delle competenze. Quali strategie vengono utilizzate per non perdere di vista le novità?
Partecipare il più possibile agli eventi di settore e seguire i forum specifici e gli advisor di sicurezza rilasciati dalle case di produzione: per chi lavora in quest’ambito è fondamentale essere curiosi e aver voglia di imparare e approfondire le nuove tematiche.
Cosa consiglieresti a una persona che vuole lavorare nella cyber security?
Lavorare nella cyber security è stimolante, adatto a chi non vuole “annoiarsi” e in cui c’è molta richiesta. Il mio consiglio per chi vuole inserirsi in quest’ambito è cercare di non fermarsi al titolo di studi: alla velocità con cui cambiano le cose, è difficile che una laurea in ambito IT sia davvero specialistica e professionalizzante. Bisogna fare più esperienza possibile dopo la laurea in informatica, in questo ambito specifico (le opportunità non mancano), e magari acquisire qualche certificazione specifica nel settore.
