Settembre 29, 2025
Un campanello d’allarme che non si può ignorare Il recente attacco che ha bloccato i sistemi digitali di alcuni tra i principali aeroporti europei ha mostrato […]
Negli anni ’90 la sicurezza informatica era poco più di un capitolo tecnico nei manuali IT.
Le imprese stavano digitalizzando processi e infrastrutture, le reti aziendali iniziavano a connettersi con il mondo esterno, ma la cybersecurity non era ancora percepita come un tema di governance.
La protezione dei dati era un compito operativo che consisteva soltanto nell’aggiornare i sistemi, chiudere le porte di rete o applicare patch, limitandosi quindi a evitare tutto ciò che potesse interrompere o rallentare il lavoro.
Eppure, proprio in quel decennio, accadde qualcosa che cambiò per sempre la percezione del rischio digitale.
Un evento che portò alla nascita di una figura oggi indispensabile, il Chief Information Security Officer, o più semplicemente, CISO.
Siamo nel 1995. La multinazionale americana Citicorp, all’epoca una delle banche più influenti al mondo, subisce un attacco informatico senza precedenti.
Un gruppo di hacker russi riesce a penetrare i sistemi digitali dell’azienda e a sottrarre oltre dieci milioni di dollari. L’episodio sconvolge l’opinione pubblica e mette in discussione la sicurezza dell’intero sistema bancario internazionale.
Ciò che colpì davvero i vertici di Citicorp non fu tanto la perdita economica, quanto la consapevolezza che ne emerse nei giorni successivi all’attacco. Si resero conto che, nonostante gli investimenti in tecnologia e le competenze presenti in azienda, nessuno stava realmente guidando la sicurezza. C’erano team, procedure e strumenti, ma mancava una regia: qualcuno capace di avere una visione complessiva, di collegare tecnologia, rischio e strategia di business.
Un concetto che oggi può sembrare scontato, ma che allora era quasi rivoluzionario.
In quegli anni, la sicurezza era considerata un’attività tecnica, confinata nei reparti IT e lontana dalle decisioni manageriali.
Eppure, proprio quell’attacco dimostrò quanto fosse pericolosa quella mancanza di visione: un’organizzazione così grande poteva essere messa in crisi da un singolo punto cieco.
Per Citicorp fu un campanello d’allarme fortissimo, ma anche un punto di svolta.
Capirono che non bastava più difendere i sistemi: serviva governare la sicurezza, trasformandola da funzione operativa a responsabilità direzionale.
Una consapevolezza nuova, destinata a cambiare per sempre il modo di intendere la cybersecurity.
Da quella crisi nacque un’intuizione destinata a cambiare la storia della cyber security fino ai giorni nostri.
Citicorp comprese che serviva una figura capace di guidare la sicurezza a livello strategico, con una visione ampia che unisse tecnologia, gestione del rischio e obiettivi di business.
A ricoprire quella posizione venne chiamato Steve Katz, che fino a quel momento si occupava della gestione dei sistemi informativi di Citicorp, ma che rappresentava un professionista dal profilo ibrido e raro per l’epoca, con un solido background tecnico, una forte capacità di visione e una spiccata sensibilità per i temi organizzativi.
Katz aveva iniziato la carriera negli anni ’70 programmando in Fortran e COBOL, aveva vissuto l’evoluzione dei sistemi mainframe e maturato un’esperienza preziosa nella gestione della sicurezza dei sistemi informativi. Ma ciò che lo rese unico fu la sua capacità di elevare la sicurezza al livello del board.
Non più come attività reattiva, ma come funzione strategica, trasversale e quantificabile.
La nomina di Katz fu il primo vero passo verso la nascita del ruolo di Chief Information Security Officer.
Steve Katz fu il primo a delineare in modo concreto i principi che avrebbero dato origine alla cyber governance moderna.
Capì che la sicurezza non poteva più essere confinata alla gestione tecnica dei sistemi, ma doveva diventare una responsabilità organizzativa.
Sotto la sua guida, Citicorp introdusse per la prima volta un modello coordinato di sicurezza, in cui i reparti IT, risk management e direzione lavoravano in modo più integrato.
Katz promosse la definizione di politiche e procedure condivise, avviò programmi di formazione per aumentare la consapevolezza interna e rese la sicurezza un tema di cui si discuteva anche ai livelli decisionali più alti.
In un’epoca in cui la cybersecurity era ancora considerata un problema tecnico, Katz ne fece una questione di leadership e cultura aziendale.
Le sue intuizioni posero le fondamenta di concetti che oggi diamo per acquisiti: la governance del rischio, la comunicazione tra funzioni e la centralità della consapevolezza umana nella difesa digitale.
L’approccio di Katz si rivelò vincente.
Citicorp riuscì non solo a ripristinare la fiducia dei clienti, ma a trasformare una crisi in un vantaggio competitivo. La sicurezza diventò un pilastro strategico dell’impresa, parte integrante delle decisioni di investimento, espansione e innovazione.
Da quel momento, il modello Citicorp fece scuola.
Nei cinque anni successivi, decine di aziende, da colossi finanziari a multinazionali energetiche, introdussero la figura del CISO nelle proprie strutture.
Il concetto di Information Security Management si estese e nacquero i primi framework di riferimento, tra cui ISO 17799 (poi ISO 27001), NIST e COBIT.
A trent’anni di distanza, il contesto è cambiato profondamente. La trasformazione digitale, la convergenza tra IT, OT e IoT e la diffusione del cloud hanno ampliato la superficie d’attacco, rendendo la sicurezza più complessa che mai.
Eppure, la lezione di Steve Katz resta valida: la sicurezza deve essere governata, non solo implementata.
Oggi il CISO non è più il “guardiano dei server”, ma un architetto della resilienza digitale.
Gestisce persone, processi e tecnologie con un approccio data-driven, misurando rischi e impatti per orientare decisioni di investimento, compliance e continuità operativa.
Le normative europee come NIS2 e DORA hanno solo formalizzato questa visione: la sicurezza come obbligo di governance, non più come adempimento tecnico.
Guardando a ritroso, si riconosce un filo rosso che collega l’intuizione di Katz alla sfida del CISO moderno: la consapevolezza che la sicurezza non è un obiettivo statico, ma un processo evolutivo.
Le aziende più mature si muovono ormai in questa direzione, basando le decisioni sulla misurazione oggettiva del rischio e adottando piattaforme capaci di offrire una visione integrata delle proprie infrastrutture.
Quando Steve Katz accettò l’incarico di CISO in Citicorp, non esisteva ancora un job title per quel ruolo. C’era solo un problema enorme, una crisi reputazionale e un’intuizione: la sicurezza doveva diventare una priorità di business.
Oggi, ogni CISO che siede nei comitati di governance, che misura il rischio in tempo reale o che guida un piano di resilienza, sta continuando quella stessa storia.
Una storia iniziata nel 1995, con un uomo, una banca e una nuova idea di sicurezza: che la fiducia digitale è il primo asset da proteggere.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati
