Il responsabile IT è un uomo morto, verrebbe da continuare parafrasando la celebre frase del film di Sergio Leone…che però proseguiva con: ” Vediamo se è vero”.
Nel caso del film non risultò vero e fortunatamente nemmeno nel mio…ma andiamo con ordine.
Questa volta scriverò qualcosa di strettamente autobiografico riponendo ogni speranza di suscitare un qualche interesse nel vero protagonista di questo racconto, un soggetto la cui storia personale e caratura rappresentano elementi di sicuro richiamo.
Sperando con tale incipit di aver acceso un minimo di curiosità, mi avventuro nel necessario, ma rischiosamente noioso prologo.
Nel mio penultimo incarico fui chiamato a rivestire il ruolo di Direttore Centrale in una banca “significant”, che cioè rientrava per dimensioni nell’ambito della Vigilanza Europea.
Tale Banca navigava in pessime acque a causa di una precedente gestione dissennata sulla quale sono tutt’ora in corso iniziative della Magistratura.
Furono pertanto azzerati i vertici avviando una nuova governance con dirigenti che garantissero una discontinuità rispetto ai burrascosi trascorsi di questo Istituto.
In primis l’Amministratore Delegato, navigatissimo manager di lungo corso e di grande esperienza al quale sono tutt’ora legato da sentimenti di stima professionale e di profonda amicizia.
Una volta insediatosi, il nuovo AD presentò al CdA la mia candidatura per il ruolo di COO, previo superamento della procedura fit and proper prevista in questi casi dalla Vigilanza al fine di accertare i necessari requisiti di onorabilità e professionalità.
Esaurita questa fase, mi insedio quindi nella nuova posizione come Direttore Centrale responsabile di Organizzazione, Progetti Strategici, Procurement, Immobili/Logistica, Back Office e last but not least, IT.
Tutto sembrava destinato ad andare per il meglio quando inopinatamente per il perverso meccanismo del voto capitario, in occasione dell’assemblea dei soci si verifica un ribaltone che azzera la nuova Governance insediando un nuovo CdA considerato a torto o a ragione molto vicino alla precedente gestione.
Per chi non ha dimestichezza con il Diritto Societario il voto capitario è quel meccanismo per cui ogni azionista in assemblea esprime un voto a prescindere dal numero di azioni detenute.
Pertanto chi detiene lo 0,1% del capitale esprime un voto cosi come chi dovesse detenere il restante 99,9%.
È un po’ il principio nefasto dell’uno vale uno che traslato in politica ha prodotto i disastri che sappiamo.
Orbene, si insedia un nuovo CdA che per i motivi suesposti nutre sentimenti tutt’altro che amichevoli nei confronti del management reo di aver avvicendato manu militari la precedente gestione.
Quindi come due pugili che si studiano sul ring, i contendenti si saggiavano con qualche jab cercando di individuare lo spiraglio nella guardia dell’avversario per piazzare il diretto destro risolutivo.
E lo spiraglio fu il sottoscritto.
Non essendo un informatico, il CdA ipotizzò, non allontanandosi molto dal vero, che in quest’ambito le mie competenze fossero modeste.
In realtà questo presupposto poteva avere una certa valenza qualora fossi stato il Responsabile IT, ma di fatto nel perimetro piuttosto vasto affidato alla mia responsabilità l’IT (che comunque uno skillatissimo responsabile mio riporto diretto ce l’aveva) occupava un ambito piuttosto marginale anche perché eravamo consorziati in outsourcing e la nostra componente “in house” ancorché di buon livello qualitativo era estremamente contenuta.
Nonostante questo, nel CdA qualcuno ancora più ignorante di me in materia, ritenne di cavalcare il tema della sicurezza informatica blaterando di emorragie di notizie riservate e di nostri archivi che venivano regolarmente perforati con conseguente fuga di notizie sulla stampa.
A nulla valsero spiegazioni, rassicurazioni e soprattutto l’esibizione del voluminoso contratto di outsourcing dal quale si evinceva con chiarezza che la responsabilità della sicurezza informatica era in capo al consorzio che ci erogava i servizi.
Si ritenne quindi in modo piuttosto pasticciato di avviare un generico assessment sulla sicurezza cannando innanzitutto nelle modalità con cui venne affidato l’incarico, in spregio totale della policy, dei regolamenti, delle norme, dei processi e delle procedure vigenti nell’Istituto, con conseguente nutrito fuoco di controbatteria da parte del Collegio Sindacale che insorse stracciandosi le vesti.
Ad accentuare il marasma fu cannata anche la scelta di chi avrebbe dovuto effettuare l’assessment in argomento, perché la controparte in questione ingaggiata così maldestramente si mosse in modo ancora più approssimativo con modalità e risultati che certamente non potevano essere tollerati in una banca significant, ma che avrebbero stonato anche in un esercizio per la mescita di vino sfuso.
E l’ex Comandante del GAT che c’entra? Si chiederà chi ha avuto la pazienza di seguirmi finora.
Arriva, arriva…tranquilli!
Visto che l’incipit è stato tratto dall’epopea western, vi anticipo che il Gattone ex Comandante dei Gattini (ho saputo in seguito che i qualificatissimi operatori di questa eccezionale realtà della GdF venivano affettuosamente così appellati) arriverà come il 7° Cavalleggeri quando tutto sembrerà ormai perduto.
Intanto scoppiò un violento caso interno sulla questione dell’incarico assegnato così improvvidamente al consulente ed il risultato fu del tutto analogo a quello che si otterrebbe collegando lo scarico del water alla presa dell’aria condizionata.
Tutto quello che stava volando nell’etere aziendale aveva sì uno sgradevolissimo odore, ma allentò la pressione sul sottoscritto e quindi lo inalai voluttuosamente a piene narici augurandomi che il teatrino nel quale mi ero ritagliato una particina da cecchino che mi calzava a pennello, durasse il più a lungo possibile.
Respinto quindi con gravi perdite di uomini e mezzi il tentativo di sortita a mio danno (e quindi indirettamente per il ruolo nevralgico che ricoprivo anche a danno del Capo Azienda) mi apprestavo a godermi un periodo di relativa tranquillità dedicandomi alle moltissime cose che c’erano da fare, quando il “nemico” che stupido non era, si riorganizza e torna a farsi sotto in un modo un tantino più ortodosso e rispettando quindi le linee guida aziendali.
Avendo inoltre fatto intelligentemente tesoro della scornata precedente, questa volta l’azione non è solo meglio confezionata sotto il profilo formale, ma anche sotto quello sostanziale
Infatti invece di ingaggiare uno dei tanti squagliacolla che orbitano come anime perse nelle galassie consulenziali, venne deciso di calare l’asso di briscola: nientepopodimenochè un ex Generale della GdF ed il suo staff….scusate se è poco.
Avuta questa informazione e raccolto qualche elemento per farmi un’idea un tantino più precisa del personaggio che mi sarei ritrovato davanti, prendo due decisioni: la prima di andare dall’amministratore Delegato e la seconda di far riportare in macchina gli scatoloni che non avevo ancora avuto tempo di aprire.
Vado quindi dall’AD per comunicargli la mia decisione di andarmene prima di finire tritato e per pregarlo di darmi una mano trovandomi un altro posto.
Lui mi guarda interrogativo chiedendomi che diavolo mi fosse preso così all’improvviso al che rispondo: ” ma hai visto chi ha avuto il mandato per le verifiche sulla sicurezza informatica? Questo nella sua vita precedente mica controllava gli scontrini fiscali delle gelaterie. È uno che picchiava durissimo al bersaglio grosso…molto grosso. Uno così troverebbe le magagne pure in Banca Intesa, figurati in questa bagnarola scassata con me che sono arrivato da meno di due mesi ed il Responsabile IT appena assunto. Ci trancia il primo giorno senza nemmeno togliersi la giacca e mettersi seduto”.
Torno sconsolato mio ufficio e tanto per tirarmi un po’ su chiamo uno dei miei amici più stretti e di più lunga data, approdato al ruolo di Prefetto dopo una carriera ai vertici della Polizia di Stato.
Parliamo del più e del meno e naturalmente viene fuori anche il tema della prossima ispezione e di chi dovrà effettuarla.
Il mio amico mi risponde: “Fossi in te starei tranquillo. Lo conosco e ti posso assicurare che è un uomo perbene con una storia personale che non gli consentirebbe mai di fare il tagliatore di teste su mandato per compiacere il suo committente. Farà quello che deve fare e dirà quello che deve dire. Non è tipo da farsi tirare per la giacca, anzi…in questo caso reagirebbe pure male. Vedrai che in lui troverai più opportunità che rischi, perché non capita tutti i giorni di imbattersi in una professionalità di questo livello”.
Mah…ringrazio e saluto, per niente rassicurato dall’endorsement del mio amico a favore del Consulente incaricato dal CdA.
Passano i giorni e finalmente (si fa per dire) giunge quello dell’arrivo del Consulente e della sua squadra.
Non so perché, ma nella mia testa mi ero proiettato l’immagine di un omino pallido, emaciato, sfuggente, vestito di un liso abito scuro…intuirete quindi la mia sorpresa nel trovarmi davanti un fisico roccioso da lottatore, spalle massicce, collo altrettanto, voce tonante e sguardo laser dritto puntato in faccia.
In aperto contrasto con questa immagine marziale una serie di pupazzetti di peluche pendevano dalla sua borsa di cuoio, il che anziché rassicurare trasmetteva una certa inquietudine al pari delle testoline rinsecchite dei nemici che penzolavano alla cintola dei Dayak tagliatori di testa del Borneo.
Che vi devo dire…sarà stato masochismo, ma a prima vista mi piaceva l’idea di avere a che fare con uno così.
Piuttosto ero preoccupato per i miei dell’IT.
Gli informatici, infatti, a me che informatico non sono appaiono come una categoria imperscrutabile ed ancora oggi li trovo piuttosto imprevedibili.
I miei erano tutti giovani, bravissimi, educatissimi, ma avevano delle modalità che a volte mi disorientavano.
Banalizzo con un esempio su di una situazione tipo.
Io: abbiamo un malfunzionamento in ambito XXX
Loro: controlliamo subito
Loro dopo un po’: fatto. Controllato è tutto a posto
Io: bene, quindi ora funziona?
Loro: cosa?
Io: l’ambito XXX
Loro: boh! Sei stato tu a dire che non funzionava. Per noi è tutto a posto, quindi per noi funzionava anche prima
Io: guardate, mi dicono che ancora non funziona
Loro: ricontrolliamo
Loro dopo un po’: confermiamo che qui è tutto a posto
E così via all’infinito.
Se era a posto quello che dovevano controllare il problema era risolto: che poi non funzionasse comunque era irrilevante, al punto di non arrivare nemmeno a formulare suggerimenti basici tipo: c’è la corrente? La spina è attaccata? Il computer è acceso? Hanno provato a spegnere e riaccendere come facevamo con la tv a valvole della nonna?
Ero quindi preoccupato circa le loro modalità di relazione, ma poi pensai che anche quelli che si era portato il consulente erano informatici e che quindi sarebbero riusciti a trovare il modo di intendersi tramite un linguaggio comune.
Anche il mio Responsabile IT appena arrivato era un tipino da prendere con le molle.
Elemento brillantissimo, con un cv eccellente maturato in una delle Big Five della consulenza, ex campione di nuoto che cessata l’attività agonistica aveva continuato a scolpire a tavola il suo possente metro e novanta raggiungendo così un risultato davvero imponente.
A lui si possono attribuire tutti gli aggettivi positivi del vocabolario tranne uno: accomodante.
Siccome però anche la squadra della consulenza mi sembrava altrettanto spigolosa, finii per convincermi che questa caratteristica non avrebbe inciso più di tanto sui loro rapporti.
In tempi più recenti, nella mia collaborazione con Infosec prima e con Giano poi, mi sono imbattuto nella autodefinizione di “nerd militari” utilizzata da coloro che rientrano in tale fattispecie.
Ebbene, oggi penso che la squadra al seguito del consulente possa a giusto titolo rientrare in questa definizione.
Un altro convincimento che ho tratto da quella esperienza è che questa tipologia di professionisti abbia superato il linguaggio comune come abituale forma di comunicazione.
Questo perché quando passavo davanti alla sala in cui si riunivano con i miei, attraverso la vetrata li vedevo seduti in assoluto silenzio intorno ad un tavolo, ognuno con il proprio portatile davanti.
Restavano così per ore senza scambiarsi una parola.
Quando li vedevo uscire chiedevo ai miei come fosse andata la riunione e regolarmente la risposta era: benissimo!”
Evidentemente le loro teste erano collegate tramite tecnologie wireless e quindi comunicavano così, senza bisogno di parlare.
Ad ogni buon conto, mi chiamai i miei e gli feci più o meno un discorso di questo tenore: “non vi mettete a fare i furbi perché questi se vi vogliono sderenare, vi sderenano avendo stroncato in passato gente molto più furba e più tosta di voi. Non abbiamo niente da nascondere e possiamo quindi approfittare del confronto con un team di eccellenza per tirare fuori con la massima trasparenza dubbi, domande, preoccupazioni e suggerimenti. Che ci siano cose che non vanno lo sappiamo benissimo e finalmente abbiamo qualcuno in grado di darci una mano: guadagnatevi la loro fiducia e vedrete che sarà una bellissima avventura”.
Così fu e nei giorni che seguirono i due gruppi si amalgamarono alla perfezione, lavorando insieme come se non avessero fatto altro prima, al punto che al momento dei saluti intravidi nei miei anche qualche segnale di tristezza e commozione.
Per completezza di informazione il team non era composto solo da “nerd militari”: c’era infatti un altro ex alto Ufficiale della GdF esperto di compliance che, apparentemente inoccupato, gironzolava con aria sorniona facendo domandine a prima vista innocenti a chi gli capitava sotto tiro.
Dopo qualche giorno però usci da questo stato di simil inattività esibendo un tomo in cui sostanzialmente faceva a pezzi l’OdV e il nostro Regolamento Lgs 231.
Questo suscitò un vero e proprio terremoto perché l’OdV era nella fattispecie un blasonatissimo studio professionale che partì a corna basse contro l’autore della devastante relazione.
Quest’ultimo aveva trascorso la sua gioventù con una 357 magnum sotto la giacca andando in giro per le campagne siciliane e rompendo gli zebedei ai mafiosi (non quelli di terza generazione che hanno un MBA della Columbia University, ma quelli di una volta con scoppola, giacca di fustagno e lupara d’ordinanza).
Iniziò quindi a divertirsi come un matto in questa singolar tenzone con l’OdV che invece non si divertiva proprio per niente anche per le conseguenze implicite degli sganassoni che gli piovevano sulla testa.
Per farla breve il Consulente capo del team si comportò esattamente come aveva previsto il mio amico: ci diede una grossa mano a sistemare velocemente le cose che andavano sistemate, ci diede atto del lavoro svolto e soprattutto relazionò il CdA con autorevoli interventi che nessuno ebbe il coraggio di confutare, rivelandosi nella sostanza il nostro miglior difensore.
Quando poi qualcuno provò a tirarlo per la giacchetta la reazione non fu bonaria, perché tra gli elementi che potevano maggiormente compromettere la sicurezza delle informazioni c’erano proprio i comportamenti di taluni Consiglieri.
Cito a titolo di esempio: partecipazione a sedute del CdA con collegamenti da remoto solo audio, senza pertanto la possibilità di certificare eventuali presenze non autorizzate nella stanza di chi si collegava; atti consiliari che circolavano su mail personali e non aziendali; porte USB aperte con il conseguente rischio che chiunque con una banale chiavetta potesse trasferire all’esterno documentazioni riservate; macchine fotocopiatrici prive di codici di sicurezza per cui anche il barista che portava il caffè avrebbe potuto fotocopiarsi un verbale del CdA e portarselo via; “saponette” per collegamenti Wi-Fi su tutte le scrivanie e via discorrendo.
La lista di queste leggerezze era piuttosto lunga e tutti capirono che prima di arrivare ad evocare l’hacker con il cappuccio in testa che perforava i nostri sistemi sfruttandone la vulnerabilità, era più pratico non lasciare troppi pezzi di carta in giro e comportarsi in modo meno scriteriato.
Ovviamente questo inaspettato assist mi alzò una palla stupenda che schiacciai immediatamente relazionando chi di dovere su tutte le anomalie emerse a seguito del poco virtuoso modus operandi acclarato dal rigorosissimo assessment.
Non fu certo questa l’unica causa, ma è un fatto che il CdA ebbe vita brevissima tanto da essere rubricato agli atti come “balneare”.
Non fu invece balneare il rapporto con il Consulente, vero protagonista di questo amarcord, perché con lui ho stretto un’amicizia che dura tutt’ora e della quale vado orgogliosissimo.
Rileggendo queste righe mi accorgo di non aver detto il suo nome…ma credo sia superfluo perché di personaggi con le caratteristiche che ho declinato non ce ne sono molti in circolazione…purtroppo.