Un utente reddit sulla community che più frequento (cybersecurity) ha avviato una discussione su un tema molto complesso: come portare all’attenzione del management gli sforzi ed i successi del team che in azienda si occupa della sicurezza informatica?

La discussione parte da un’evento che definirei triste: il management dichiara di non aver idea di cosa il team stia facendo nonostante il team sia impegnato attivamente in molti progetti ed abbia recentemente passato un audit SOC2. Ovviamente noi non abbiamo idea di cosa stia succedendo in questa company, ma possiamo ragionare più in generale e chiederci se il management della nostra azienda sa di cosa si sta occupando il nostro team e ne riconosce il valore.

Premetto che in questo momento della mia vita non ho questo problema per due motivi: il primo è che l’azienda per cui lavoro (NTS Italy che fa parte del gruppo NTS) è un System Integrator ed è relativamente semplice inquadrare l’utilità di chi è operativo, il secondo motivo è che l’azienda ha adottato delle metriche di valutazione molto semplici ed efficaci per “misurare” le performance. Ciò che osservo è quindi un management che per ovvie ragioni non sa di cosa mi sto occupando nel dettaglio (in un’azienda che lavora in diverse country e con centinaia di dipendenti non potrebbe essere diversamente), ma è perfettamente documentata e comunicata la mia performance secondo i parametri che ha scelto l’azienda.

Detto questo in passato mi sono trovato in situazioni simili e non è assolutamente semplice trovare una soluzione. In parte il problema potrebbe essere di comunicazione: quanto il manager responsabile del team comunica con il resto del management? L’azienda/organizzazione ha sicuramente approvato delle spese per la strutturazione del team, spese che hanno portato a dei risultati. Uno dei compiti del team, tramite il manager, è sicuramente presentare un report periodico di ciò che viene fatto. Nel caso specifico, trattandosi di un team interno, potrebbe essere una sintesi di quanti incidenti sono stati intercettati e gestiti, se c’è un trend in questi incidenti, eventuali situazioni critiche che può valere la pena discutere.

Un management intelligente è in grado di comprendere che il team in questione ha una utilità, sta fungendo da scudo per tenere al sicuro le informazioni ed i sistemi aziendali. Si tratta di temi spesso molto distanti dalle figure non tecniche ed è per questo che vanno raccontati in specifiche occasioni.

Sarebbe bello poter raccontare tutto, ma i temi sono veramente tanti. Una presentazione completa dovrebbe comprendere:

• Panorama delle minacce e trend
• Stato della security aziendale (KPI/KRI principali)
• Incidenti significativi e gestione delle crisi
• Compliance e audit (stato certificazioni, gap analysis)
• Progetti e iniziative in corso
• Formazione e awareness del personale
• Rischi aperti e priorità di mitigazione
• Risorse necessarie (budget, personale, strumenti)
• Valore per il business (riduzione rischi, resilienza)

Nel mondo reale spesso si hanno pochi minuti di attenzione per temi che richiederebbe un minimo di una o due ore per essere illustrati nel loro complesso. Bisogna fare delle scelte ed individuare gli elementi chiave da trasmettere.

Vi lascio il link di reddit se siete interessati al tema e volete discuterlo.