Sto preparando l’intervento che farò venerdì a nome del CLUSIT alla Giornata della Sicurezza Informatica in Sardegna a Pula (Cagliari). È un evento al quale mi fa molto piacere partecipare, non solo perché mi piace la Sardegna ma anche perché è in una delle tante zone d’Italia in cui come associazione (anzi, come associazioni, perché con AIPSI la situazione è simile) facciamo fatica ad arrivare. Purtroppo la situazione delle associazioni è lo specchio del mercato della sicurezza in Italia: la stragrande maggioranza del mercato, sia in termini di offerta che, apparentemente, di domanda, è a Milano e a Roma. Se aggiungiamo un paio di altre grosse città, come Torino e Bologna, abbiamo coperto la quasi totalità del mercato. Eppure, sappiamo anche che ci sono molte imprese medie e piccole che hanno esigenze di sicurezza, e che anzi lamentano proprio di essere spesso in mano a ciarlatani (ne sono la prova anche le recenti discussioni in merito alle misure minime di sicurezza). Tralascerei le considerazioni ovvie o banali (il settore finance assorbe buona parte dell’offerta ed è concentrato in poche città, le pmi non investono, ecc.) per cercare di capire se e quanto questa situazione è inevitabile. Mi riferisco anche all’ottimo articolo di circa un anno fa di Andrea Pasquinucci su Network World. Tuttavia, la conclusione dell’articolo mi sembra manchi di un passo conclusivo: se è vero che le PMI hanno bisogno del “CISO-consulente”, allora bisogna trovare il modo corretto di soddisfare questo loro bisogno.
Non nego che in questi ragionamenti ci sia un interesse anche personale. Io abito a Pisa, ma da più di dieci anni mi sposto regolarmente a Milano e Roma. È vero che lì ho trovato i progetti più interessanti e formativi, ma è anche vero che mi ci sposto anche per progetti meno interessanti e che come mercato è sempre più “faticoso”. Lo stesso problema mi viene riportato da altri colleghi specialisti della sicurezza che dalla periferia, anche di altre regioni, vanno a proporsi a Milano e Roma o comunque nei capoluoghi perché dove abitano “non c’è mercato”. Peraltro, che ne sono alcuni che so che riescono ad avere una fetta significativa del loro mercato anche localmente. Posto che le PMI hanno bisogno di sicurezza e non hanno le competenze in casa (l’ultimo articolo che ho letto al riguardo è questo del Sole24Ore), è chiaro che hanno bisogno di supporto. Qual’è quindi il problema? Sia chiaro: so benissimo che ci sono fior di esperti di marketing che da anni cercano di capire come “entrare” nelle PMI, ma so anche che buona parte del mercato continua a non essere intaccato, e comunque io questi esperti non me li posso permettere 😉
In base alle mie esperienze con enti locali e PMI, c’è qualcosa che salta subito all’occhio. Se penso a una di queste PMI e a quanto ragionevolmente può investire in sicurezza, e traduco questo in giornate di consulenza, ne vengono fuori davvero poche, e vedo due situazioni: o la PMI ha un problema specifico da risolvere, e allora può funzionare, ma per problemi più generici o generali è probabile che le possibilità di mettere a frutto le competenze disponibili, rispetto a quelle di un consulente non specializzato, siano limitate. Quello di cui possono avere bisogno le PMI è un supporto magari di profilo più basso ma più continuo, con la capacità però di tirare fuori il “valore aggiunto” quando serve. Non mi sembra che l’offerta “a giornata”, adatta alle realtà medio-grandi, sia riproponibile per le PMI. Le mie esperienze al riguardo lo confermano.
A questo punto bisogna guardare come sono organizzati i sistemi informativi di molte PMI in termini di personale e competenze. A parte quelle più piccole, che non hanno personale interno dedicato, la maggior parte ha poche persone (spesso una) dedicate perlopiù all’attività ordinaria. Per le attività straordinarie, e in alcuni casi anche per quelle ordinarie, si rivolgono a dei fornitori locali che vanno dal piccolo system integrator locale per le PMI più grandi al “consulente a ore” per quelle più piccole, ad esempio per gli studi professionali. Questi consulenti ICT locali hanno un rapporto spesso molto stretto con il cliente. È un rapporto di fiducia e collaborazione che dura nel tempo: quando c’è un nuovo problema, questi consulenti non dicono: “Ho io la soluzione”, ma più ragionevolmente “mettiamoci insieme e vediamo di risolvere il problema”. Devono avere delle competenze molto ampie (che io, essendo di formazione “sistemistica”, non posso che apprezzare), ma che proprio per questo difficilmente sono approfondite su problemi specialistici (devo dire che quando sono andato a fare il corso di ISO 27001 LA a Firenze, qualcuno c’era). Che ruolo può avere allora il CISO-consulente di cui parla Pasquinucci? È chiaro che non può (e probabilmente non deve) intaccare questo tipo di rapporto. La strada allora può forse essere quella di interagire prima con il system integrator che con la PMI. Il system integrator può effettivamente fare un uso produttivo della giornata di consulenza dello specialista, “spalmandola” in attività di formazione del proprio personale, nell’affiancamento su progetti complessi, in attività di audit sul sistema informativo di più clienti, in modo da verificare se ci sono state delle “sviste” nella gestione… Da un’attività di questo tipo può poi nascere, come integrazione, quel rapporto con la PMI che caratterizza realmente il CISO, che deve necessariamente essere un rapporto diretto ma che continua ad integrare l’attività del system integrator, anziché proporsi come alternativa. In queste condizioni anche la gestione economica può diventare più flessibile.
Indipendentemente dalla validità o meno delle idee che ho espresso in questo post, trovo che il tema del come portare le competenze e la consulenza di sicurezza alle PMI e ai piccoli enti locali sia davvero molto importante per un paese come l’Italia. Se ne parla da anni, ma siamo sostanzialmente sempre allo stesso punto. Mi piacerebbe molto sentire pareri, soprattutto da parte dei diretti interessati: le PMI e i piccoli system integrator. Con l’occasione ho attivato la possibilità di commentare i post (c’è un captcha a protezione dallo spam, e ovviamente i commenti sono moderati) nella speranza che ne nasca un’utile discussione.
