Piccolo manuale mirato per chi non è potuto venire, me compreso.

Come probabilmente vi ricorderete, nel primo numero di questa rivista avevo lanciato l'idea di parlare della certificazione quale componente essenziale della nostra attività professionale, colgo quindi l'occasione con questo articolo per rilanciare la palla in campo. Sempre sperando che qualche collega si faccia prima o poi avanti vorrei adesso parlare del Convegno annuale AIEA tenutosi nel mese di giugno..

Purtroppo a causa di impegni di lavoro non ho potuto parteciparvi ma ho avuto modo di vedere tutto il materiale (che potrete vedere cliccando sui vari link disponibili) e dei farmi una idea della ricchezza di contenuti della manifestazione. Una buona visione di insieme la trovate nell'articolo introduttivo di Mariangela Fagnani, la coordinatrice della manifestazione per conto di IBM, che ci ha nuovamente ospitato. Da parte invece mia vorrei affrontare il tema in modo differente e se vogliamo anche un tantino irriverente. La mia intenzione sarebbe di descrivere come ho potuto vivere questo convegno, io che non c'ero, magari aiutando i colleghi e soprattutto i molti neofiti interessati a muoversi tra il materiale. Insomma vi sto proponendo una sorta di manuale d'uso per i non partecipanti. Per rendere più reale la mi trattazione potrei magari descrivere, per quelli che non l'hanno mai vista, la location, avendo lavorato io stesso in IBM per molti anni ma questa non è una rivista di architettura. Vi assicuro che è una magnifica struttura, sono certo che tra i vari documenti ci sarà qualche foto sufficiente a darvi una idea precisa.
Passando al sodo, se andiamo a scorrere la brochure possiamo renderci conto che al fondo del convegno ci sono i temi essenziali della Governance, della Sicurezza Informatica calata nella realtà delle aziende sopratutto bancarie, e nel ruolo chiave dell'Audit informatico, in particolare sotto la prospettiva di un Framework di riferimento quale può essere quello di di COBIT 5.
Mi muoverò pertanto tra gli interventi suggerendo un percorso che prescinderà dalla sequenza temporale con cui sono stati presentati e ovviamente prenderà in considerazione quelli più legati alla mia visione professionale, ovviamente come dal titolo: Rischi, Audit e Certificazione. Farò una proposta di lettura ragionata per chiunque non sia un esperto e voglia capire alcuni aspetti anche inattesi del nostro lavoro. Non me ne vogliano gli altri oratori che, posso dirlo in totale sincerità, hanno fatto tutti degli ottimi interventi sugli altri temi del convegno.
Ma adesso parliamo di IT, di rischi, di Audit e naturalmente di certificazioni.
Per prima cosa partirei dalla presentazione di Arena / Conte "L'evoluzione del rischio informatico nell'azienda che cambia" utilissima per dare una prima visione generale dei temi che caratterizzano in un mondo che cambia di continuo.
Poi volendo entrare più addentro nella materia passerei all'intervento di Lonati "Sicurezza agile in aziende agili: il ruolo del Framework" per comprendere l'importanza di uno degli strumenti più potenti a nostra disposizione il Framework. Parola in un certo senso misteriosa per i neofiti ma che per noi del mestiere significa tanto. Uno strumento essenziale ed in continua evoluzione da usare come riferimento e guida nelle nostre attività.
Entrando nel mondo dell'Audit direi che è impossibile non leggere le slide di Rodaro "La comunicazione interculturale nell'interla Audit". Se ci pensiamo si parla spesso di cultura e troppo spesso a sproposito ma da vecchio Auditor lo affermo senza tentennamenti, l'Audit deve fare parte della cultura aziendale, deve esistere una cultura dell'Audit inteso come elemento chiave della Governance di una azienda. L'Audit poi deve per sua stessa natura avere una visione trasversale e fare leva sulle funzioni interne che operano sulle informazioni e le riflessioni di Aiello "Usare l'IT come leva strategica: la funzione di Audit può avere un ruolo?" vale la pena di rileggerle più di una volta. E' chiaro che nella realtà delle aziende moderne senza IT non si può fare praticamente un vero Audit ma che anche la funzione di Audit, nel suo piccolo, può contribuire molto allo sviluppo coerente e sicuro di una valida e ben strutturata funzione IT. Nella presentazione il tema è ben affrontato. Sempre restando sul terreno dell'Audit è opportuno dare una occhiata a quello che ci propongono gli amici Mazzaglia e Vigna con "Nuovi modi per affrontare rischi e controlli: la gammification". Un poco come affrontare l'Audit alla stregua di un videogioco. Un gioco però ad alto valore aggiunto.
Per chiudere non possiamo che considerare l'intervento di Grocholosky "Certificazione Cybersecurity: una nuova opportunità" che tratta il tema, a me molto caro, della certificazione e Cybersecurity. Un bell'intervento che consente anche di fare della sana pratica di inglese.
Quindi riassumendo si parte dal rischio e tramite una serie di letture arriviamo a parlare di certificazioni. Certo aver partecipato al convegno sarebbe stato molto meglio e ovviamente non pretendo di avere fornito la guida migliore per affrontare un materiale cosi vasto ma penso che già seguire la traccia che vi propongo potrebbe essere utile a chiarire le idee a molti di quelli che di queste cose finora si sono occupati poco, o peggio si sono molto spesso limitati a subirle.
Ed infine... una chicca, la presentazione di Giustozzi "Qui custodiet custodis" particolarmente incentrata sui rischi dei furti di identità digitale. Un flash tanto per preoccuparsi un po', o meglio per capire che comunque la si giri in fondo è sempre uno questione di fiducia e di uomini.