CISOaaS.it
Il mio percorso
Ho maturato la mia esperienza professionale di oltre trent’anni nella trasformazione aziendale e nelle Operazioni IT (Information Technology) in organizzazioni complesse, applicando soluzioni IT innovative e abilitanti.
Ho guidato con successo miglioramenti continui dei processi attraverso percorsi tecnologici sostenibili, con impatti positivi sull'organizzazione e sui costi, maturando competenze in Infrastrutture IT, Outsourcing, Integrazione di Dati e Servizi, Cloud, Gestione Servizi IT, Gestione Contratti e Fornitori.
La sicurezza IT è sempre stata un punto di riferimento per tutte le mie attività: da sistemista, sviluppatore software, architetto di infrastruttura, CTO (Chief Technology Officer) e infine CISO (Chief Information Security Officer).
Dal 2018 al 2021 ho ricoperto il ruolo di CISO per il Gruppo Tecnocasa, realizzando il Programma di Sicurezza generale.
Nonostante mi sia adoperato per mantenere il massimo equilibrio, ho constatato personalmente l'importanza di un CISO indipendente in una organizzazione, una risorsa che deve essere focalizzata sulla Sicurezza delle Informazioni senza “conflitti” con altre priorità ed obiettivi:
è l'impegno che ho preso e mantenuto con tutte le aziende con le quali ho operato come vCISO o Fractional CISO dal 2021 fino ad oggi.
Roberto Perelli
Required by the world’s most security-conscious organizations, CISSP is the gold-standard information security certification
I miei punti di forza
Per esperienza diretta conosco le priorità, le difficoltà ed i punti di vista del settore IT di un’organizzazione, so quindi come instaurare una collaborazione realmente costruttiva ed efficace.
Ho capito che ogni organizzazione, non importa la dimensione, dovrebbe conoscere e costantemente controllare, al meglio delle sue possibilità, i rischi che possono minacciarne l'operatività, lo sviluppo e la sopravvivenza.
I rischi di cybersecurity sono tra questi.
Ho chiara l’importanza di “tradurre” i rischi di sicurezza in “impatti” sull’operatività e di “quantificare” economicamente le possibili conseguenze per l'organizzazione perché la Dirigenza deve avere le informazioni necessarie per decidere su azioni e priorità.
Il metodo che seguo
- Valutare sistematicamente i rischi, conosciuti e nuovi, condividerli con la Dirigenza per decidere se e quali azioni da intraprendere e definirne le priorità
- Coinvolgere attivamente tutte le funzioni dell'organizzazione, ed in particolare l'IT, negli obiettivi e nelle attività del Programma di Sicurezza
- Consapevolizzare la Dirigenza che la “Continuità Operativa” dell’organizzazione è una sua responsabilità e che perciò è tenuta prendere le decisioni necessarie
- Trasferire la consapevolezza dei rischi a tutte le persone dell’organizzazione affinché nella loro operatività quotidiana siano in grado di valutare le situazioni e prendere le decisioni opportune
- Identificare strumenti, servizi, fornitori idonei per le esigenze di Sicurezza delle Informazioni dell’organizzazione e stabilire accordi adeguati e sostenibili
- Comunicare sistematicamente con la Dirigenza per condividere sistematicamente le informazioni che possono avere impatti sulla Sicurezza
La Sicurezza delle Informazioni non si acquista sul mercato
La sicurezza è il risultato di processi che comprendono persone, competenze, comportamenti, strumenti e servizi e che richiedono sforzi e tempo per funzionare adeguatamente.
Ringraziamenti
Metodo VERA per l'analisi dei rischi
Autori di:
Measuring and managing
information risk
A FAIR approach
Autore di:
The Black Swan
The impact of the higly improbable
Autrori di:
Effective Vulnerability Management: Managing Risk in the Vulnerable Digital Ecosystem
Product Manager
Comunicazione web
Autori di:
How to measure anything
in cybersecurity risk
Executive Director at ProbabilityManagement.org,
autore di:
The Flaw of Averages
e Chancification
Autori di:
Adaptive Business Continuity
A New Approach
Cybersecurity Community Manager
co-fondatore di: Digital Club / Cyber
Una community per Fare Sistema
CISO e autore di:
RACE
The Risk-Awareness Culture Empowerment
Fondatore di Risk Academy
e ideatore di Risk management 2.0
Harvard Professor,
CNN Senior Analyst
e autrice di:
The Devil Never Sleeps