Rating in cybersecurity: Proma, un caso di successo

Intervista a Diego Corso responsabile IT di Proma

Oggi abbiamo il piacere di intervistare Diego Corso, Global Chief Information Officer di Proma, azienda leader nel settore automotive che si occupa della produzione di componenti per auto.

Buongiorno Diego e grazie per la tua disponibilità. Proma ha avviato all’inizio del 2021 un percorso di consolidamento dell’infrastruttura IT, utilizzando il rating di cybersecurity proposto da Mondo 27001.

 

Mi puoi raccontare da dove è nata l’esigenza di effettuare un rating di cybersecurity?

Quando sono arrivato in Proma, a ottobre 2020, come nuovo Responsabile IT, mi sono inserito in un contesto non organizzato in maniera efficace. Una delle prime lacune che ho riscontrato riguardava la mancanza di procedure, perché la maggior parte dei processi era lasciata all’autonomia dei dipendenti e non c’era un sistema di gestione strutturato e coordinato.

La vera prova è stata a distanza di due mesi dal mio ingresso, con lo svolgimento del rating di cybersecurity, già programmato dal precedente Responsabile IT.

Circa 10 minuti dopo l’inizio dell’incontro, ho fermato la riunione perché avevo capito che non eravamo pronti e che avremmo dovuto intervenire con un piano di azione ben strutturato per cercare di indirizzare l’azienda verso una corretta risalita.

Dopo questo primo incontro, ho telefonato al nostro DPO, che ci seguiva in questo rating, e ho chiesto un po’ di tempo per raccogliere le idee e impostare un piano di attività.

A questo punto, abbiamo programmato un altro incontro, in cui abbiamo condiviso la necessità di procedere ad una mappatura attuale del sistema informatico aziendale, sotto il profilo delle performance e della sicurezza dei dati, così da poterci dare una serie di obiettivi da perseguire nel corso del 2021.

 

Quali obiettivi vi eravate fissati all’inizio e in che misura sono stati attesi (se sono stati attesi)?

Il primo assessment di cybersecurity che abbiamo svolto ci ha dato un punteggio di 28 punti su 100. Capite bene che quando abbiamo ricevuto l’esito, non potevamo restare indifferenti e abbiamo subito definito un piano di miglioramento condiviso che portasse a raggiungere almeno la sufficienza.

Durante tutto il 2021, abbiamo concentrato i nostri sforzi per migliorare l’infrastruttura informatica e per creare un sistema di gestione delle informazioni, che ci avrebbe portato anche ad ottenere la certificazione ISO 27001 entro dicembre.

Quando abbiamo effettuato il secondo assessment a giugno, avevamo già ottenuto un netto miglioramento, ma eravamo ancora al di sotto dei nostri obiettivi.

È stato solo con il lavoro di formalizzazione delle procedure e dei processi, in preparazione della certificazione, che abbiamo potuto raggiungere un livello soddisfacente pari a 72/100.

Ovviamente il nostro lavoro non è finito, ma possiamo dire che siamo sulla giusta strada.

 

Quali sono stati i vantaggi dell’utilizzo di questo assessment per Proma e per la creazione di una consapevolezza aziendale?

Come già detto, uno dei vantaggi principali è quello di comprendere meglio la situazione informatica all’interno dell’azienda. Il rating offre la possibilità di analizzare quali sono i punti scoperti e quali azioni occorre mettere in atto per migliorarsi.

Un altro vantaggio è quello di instaurare un processo di perfezionamento che coinvolga la Direzione. Avendo davanti agli occhi un punteggio in centesimi, è più facile trasmettere le esigenze del reparto IT e degli sforzi che sono stati fatti e che vengono fatti ogni giorno. Questo perché, talvolta, non viene percepito con chiarezza dall’azienda tutto ciò che avviene nel nostro reparto, perché i risultati sono più diluiti nel tempo.

Per quanto concerne la consapevolezza dei dipendenti che mi hanno seguito, devo dire che sono contento di come abbiamo lavorato. Siamo stati in grado di raggiungere i risultati e adesso siamo più tranquilli nell’interfacciarci con altri soggetti esterni che ci chiedono contezza della nostra sicurezza informatica.

 

Pensi che il rating di cybersecurity sia uno strumento utile nel settore automotive?

Assolutamente sì, gli spunti dati dal rating sono importanti per capire dove agire e come agire. A volte serve che ci sia un parere esterno che ci aiuti a far luce sulle possibili carenze e che avvii la definizione di una roadmap di miglioramenti.

Inoltre, nel settore automotive sta acquisendo sempre più importanza un altro standard, TISAX, sempre nell’ambito della sicurezza delle informazioni e dei prototipi. La tutela del patrimonio informativo di un’azienda è oggigiorno richiesta come requisito essenziale dai principali player del mercato. Proma, quindi, deve stare al passo con le richieste del mercato e, pertanto, stiamo lavorando per continuare ad offrire queste garanzie ai nostri clienti.

Adesso che avete raggiunto questo primo importante risultato, quali sono i prossimi passi?

Ci indirizziamo verso il miglioramento continuo. Si tratta di un percorso che non si ferma mai, ancor di più nella situazione di Proma che deve recuperare il tempo perso.

Siamo a buon punto, abbiamo fatto passi da gigante, ma dobbiamo continuare a sanare quello che è rimasto e puntare all’innovazione.

Proma è una multinazionale e, in quanto tale, ha il compito di allinearsi con le tendenze del mercato e di essere d’esempio per le altre realtà, garantendo i requisiti di privacy e cybersecurity.

Il 2021 è stato un anno impegnativo, ma al tempo stesso proficuo e sono molto contento del lavoro svolto.  Tuttavia, non abbiamo terminato, e stiamo già lavorando per aderire allo standard TISAX e per il mantenimento della certificazione ISO 27001.

 

[per un approfondimento, si rimanda all’articolo Cos’è il rating di cybersecurity, n.d.r.].