Le competenze richieste a DPO e CISO nell’era dell’Intelligenza Artificiale: il ruolo cruciale delle soft skill
Il fil rouge del Cyber & Privacy Forum di Verona è stato la sinergie fra le funzioni di garanzia di data protection, quali sono i professionisti della privacy e emblematicamente i DPO, e della sicurezza informatica, quali i sysadmin e il CISO.
(Nella foto: Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law)
La dirompente fase di innovazione tecnologica cui assistiamo pone però tutte queste figure di fronte a nuove sfide di gestione da dover affrontare, con uno stato dell’arte emergente che non solo deve essere costantemente vigilato ma richiede anche competenze adeguate. Competenze la cui assenza, è bene ricordare, fa ricorrere una culpa in eligendo in capo all’organizzazione e il cui venir meno è sintomo di una generale inadeguatezza delle risorse disponibili.
Queste competenze, però, non possono essere improvvisate. Di conseguenza occorre fare ricorso ad esperti in ambiti diversi e sempre più specifici, dal momento che né Data Protection Officer né Chief Information Security Officer non possono più permettersi – e invero, forse non se lo sono potuto mai - di agire in solitudine. La creazione o di un ufficio stabile o di team di intervento, in modo similare agli esperti tecnici di un gruppo di audit, può essere una soluzione utile. E soprattutto, programmabile per le organizzazioni le quali possono prevedere stanziamenti e programmazione di budget.
E se c’è una reciproca contaminazione, per cui il CISO un po’ deve sapersi fare DPO e viceversa, ben venga. Ma ciò non deve ingenerare una confusione nelle funzioni, né tantomeno reciproche invasioni di campo e conflitti. Un approccio interno di coopetition, soprattutto nella complessa gestione di obblighi normativi e standard di sicurezza richiesti dai nuovi orizzonti tecnologici, è infatti destinato a fallire.
Premessa l’importanza di possedere e mantenere tutte le competenze specifiche e adeguate al ruolo, la conoscenza e l’esperienza sono condizioni necessarie ma non sufficienti stante l’evoluzione così rapida dello stato dell’arte tanto dal punto di vista tecnico che normativo. Così, un fattore critico di successo si può trovare nel coltivare le soft skill per tutte le funzioni così impattanti nella governance dell’organizzazione quali sono quella del DPO e del CISO.
Le abilità di problem solving, di lavorare in team o secondo obiettivi non possono che comportare una generale e più elevata capacità di gestione tanto della compliance quanto della sicurezza. Da non sottovalutare infine l’adozione di una comunicazione interna efficace, proattiva e con una visione strategica comune.
Certamente le difficoltà non mancano né mancheranno a riguardo, soprattutto perché è necessario avere contezza dei rispettivi ruoli innanzitutto dunque saperli declinare adeguatamente. Questo però è responsabilità dell’organizzazione in quanto deriva dalla definizione che si intende dare ai propri sistemi di gestione, ai flussi informativi e alle attribuzioni di ruoli e responsabilità.
Organizzazione che sarà sempre e comunque misurata secondo il metro dell’efficace attuazione di queste funzioni cruciali. E chiamata a rispondere di conseguenza.