Partecipazione attiva al CLUSIF

Médiane Système è membro del CLUSIF da 2 anni, ma cos’è? Che cosa significa? E soprattutto, cosa porta?

L’intervista a Marie-Pierre FALLY e Sandrine BENARD, entrambi impiegati presso Médiane Système e membri di CLUSIF, vi permetterà di comprendere meglio questa entità.

Qual è la sua posizione attuale e qual è il suo ruolo all’interno di Médiane Système?

Marie-Pierre FALLY: “Sono responsabile del reparto Qualità, Cybersecurity e Ambiente e della relativa gestione normativa. Il mio compito è quello di gestire il reparto qualità, composto da diversi Project Quality Assurance Manager, da un Information Systems Security Manager, da revisori e valutatori e da responsabili di processo.

Il mio ruolo è anche quello di gestire le certificazioni e l’introduzione di standard aziendali, nonché di implementare le strategie di qualità e di cybersecurity per una serie di scopi:

  • Ottimizzazione delle prestazioni di Médiane.
  • Partecipare allo sviluppo dei valori etici e sociali dell’azienda (approccio CSR).
  • Gestione dei piani di audit e verifica.
  • Tenere sotto controllo la normativa.
  • Migliorare la qualità dei nostri sviluppi utilizzando standard e strumenti di business specifici per i Centri Servizi e i progetti a prezzo fisso.

In questo modo permetto a Médiane Système di posizionarsi legittimamente in vari settori e su progetti vincolati.

Sandrine BENARD: “Sono sia un CISO che un Quality Assurance Manager. Dopo essermi laureata all’Ecole Centrale e aver maturato 5 anni di esperienza nello sviluppo di software, ho deciso di passare al settore della qualità. Attualmente lavoro part-time in questo dipartimento, accanto al mio ruolo di CISO, che copre i seguenti compiti:

  • Controllare i rischi digitali identificando e riducendo il numero di vulnerabilità.
  • Garantire e rafforzare il Sistema Informativo in collaborazione con la RSI (Responsabile del Sistema Informativo).
  • Sviluppare l’ascolto e le competenze interne per migliorare l’adattamento alle minacce.
  • Anticipare e gestire le crisi di sicurezza informatica.
  • Anticipare le esigenze dei clienti e garantire soluzioni tecniche.

Può dirci cos’è CLUSIF? Qual è il suo scopo e come funziona?

Per cominciare, CLUSIF è l’acronimo di Le Club de la Sécurité de l’Information Français. In altre parole, è un’associazione del 1901 di professionisti della sicurezza delle informazioni provenienti da tutti i settori dell’economia.

→ Il suo scopo è quello di agire per garantire la sicurezza delle informazioni (un fattore di longevità delle aziende) controllando l’esposizione al rischio generale e a quello più specificamente legato ai sistemi informativi.

→ Il suo obiettivo è incoraggiare lo scambio di buone pratiche e di feedback attraverso gruppi di lavoro e forum, la pubblicazione di documenti e l’organizzazione di conferenze.

L’amministrazione del CLUSIF è composta da due collegi, ciascuno con sette membri:

  • Il collegio “Fornitori”: rappresenta i fornitori di soluzioni o servizi di sicurezza.
  • Il collegio “Utenti”: rappresenta i manager IS.

Va notato che il CLUSIF rimane in linea con le direttive dell’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information), ma è spesso all’avanguardia quando si tratta di nuovi argomenti.

Perché ha voluto diventare membro di CLUSIF?

“Nell’ambito dell’implementazione della sicurezza informatica e per soddisfare i requisiti della norma ISO 27001, avevamo bisogno di scambiare le migliori pratiche con le nostre controparti e di ottenere un feedback sulla sicurezza informatica. Si trattava di un’area nuova per noi. Le conferenze CLUSIF, e in particolare le discussioni nell’area CISO, sono state una fonte essenziale di informazioni per noi.

Perché ha voluto diventare membro di CLUSIF?

Marie-Pierre FALLY: “Sandrine e io abbiamo partecipato a diversi gruppi di lavoro e conferenze. In qualità di CISO, Sandrine ha avuto l’opportunità di entrare a far parte dell’esclusivo “spazio CISO “. Attualmente conta 164 membri, che si riuniscono una volta al mese e comunicano tramite la mailing list interna dell’RSSI.

Sandrine BENARD: “Oggi il nostro ruolo all’interno del CLUSIF è partecipativo. Nel 2018, siamo riusciti a organizzare un incontro tra SYNTEC (gruppo RSI/qualità) e CLUSIF intorno al RGPD. Questo incontro è stato ospitato da un amministratore del CLUSIF e da Marie-Pierre”.

Quali vantaggi trae dal suo coinvolgimento in CLUSIF?

“La partecipazione ai vari gruppi di lavoro e alle conferenze ci permette di continuare la nostra formazione imparando dai feedback che riceviamo. Ci permette inoltre di tenerci aggiornati sui nuovi strumenti, metodi e tecniche utilizzati dalle nostre controparti, sia nei grandi gruppi che nelle aziende più piccole.

Quali sono gli impatti diretti e/o indiretti per Médiane Système? Avete qualche esempio concreto?

“Lo spazio CISO è un luogo privilegiato in cui l’aiuto reciproco è la parola chiave. Per questo motivo, un CISO che è a conoscenza di un attacco su larga scala in preparazione, o che ha sperimentato le conseguenze iniziali, di solito lo comunica rapidamente agli altri membri in modo che possano prepararsi.

Ad esempio, Médiane Système è stata informata nelle primissime ore della minaccia “Wannacry” attraverso questa mailing list. Queste informazioni hanno permesso alla nostra RSI, e più in generale ai nostri team tecnici, di reagire il più rapidamente possibile per mettere in sicurezza il sistema informatico e quindi proteggersi da questo attacco con il minor impatto possibile sugli utenti.

Trasmettiamo tutte queste informazioni anche a tutte le aziende del Gruppo ICE.

Infine, quali sono i prossimi passi che intendete compiere con CLUSIF? In altre parole, quale futuro sperate di vedere per il vostro coinvolgimento in CLUSIF?

“CLUSIF opera sulla base della condivisione, quindi è giusto dare il nostro contributo in cambio di ciò che abbiamo ricevuto. Per questo motivo, a settembre presenteremo il nostro approccio ISO 27001 all’area CISO. Successivamente, ci proponiamo di sensibilizzare le professioni della qualità all’interno del CLUSIF e di offrire ai membri il beneficio del nostro feedback. Esistono numerose analogie tra le professioni della cybersecurity e della qualità, soprattutto in termini di governance e metodologia. La presentazione di settembre sarà certamente un primo passo. In ogni caso, sarà una grande opportunità per mostrare le competenze di Médiane Système…”.