Il responsabile della Cybersecurity OT è una delle figure più difficili da individuare nelle organizzazioni industriali moderne, soprattutto oggi che IT, OT e produzione condividono sistemi, dati e responsabilità operative.
La crescente convergenza tra mondi storicamente separati ha reso la sicurezza degli impianti un tema trasversale, ma non sempre governato in modo chiaro: ruoli che si sovrappongono, decisioni rimandate, ownership implicite e rischi che emergono solo quando qualcosa si ferma.
Noi di Innovio ci confrontiamo ogni giorno con aziende che faticano a definire confini, responsabilità e priorità operative tra IT, OT e produzione, in un contesto in cui la cybersecurity industriale non può più essere affrontata per silos.
Per questo abbiamo deciso, in questo approfondimento, di fare chiarezza sui vari ruoli di IT e OT, gestione delle responsabilità e dei confini con la produzione.
Perché la responsabilità della cybersecurity OT è un tema critico oggi?
La cybersecurity OT è diventata una priorità perché il perimetro “fisico” degli impianti non è più separato dal digitale. Linee di produzione, macchine CNC, PLC, SCADA, HMI, sensori e sistemi di supervisione dialogano sempre più spesso con l’IT aziendale (ERP, MES, sistemi di qualità, manutenzione, analytics, cloud).
Questo porta valore (dati più affidabili, efficienza, tracciabilità), ma crea anche un punto delicato: quando succede qualcosa, chi decide? Chi ferma la linea? Chi autorizza un aggiornamento? Chi gestisce un accesso remoto? Chi si prende l’ownership del rischio?
Il problema non è solo “tecnico”, è soprattutto organizzativo. In molte aziende la sicurezza OT nasce per garantire continuità operativa e safety, mentre la sicurezza IT nasce per proteggere dati, identità e infrastrutture. Oggi però questi due mondi si toccano in modo continuo: basta una connessione mal governata, un accesso remoto non tracciato o una segmentazione di rete insufficiente per trasformare un tema IT in un problema operativo, con impatti su produzione, qualità e consegne.
Ecco perché il tema della responsabilità è così critico: senza ruoli e decisioni chiare, la cybersecurity OT rischia di restare “terra di mezzo”, dove tutti hanno una parte del controllo ma nessuno ha davvero il comando quando serve.
In pratica, le aziende si trovano spesso bloccate tra esigenze in tensione:
- Continuità produttiva vs. gestione delle vulnerabilità: applicare patch e aggiornamenti non è sempre possibile “quando si vuole”, ma rimandare all’infinito espone impianti e reti a rischi crescenti.
- Safety vs. security: in OT la priorità storica è che la macchina funzioni in sicurezza; oggi serve integrare anche la prospettiva cyber senza introdurre instabilità.
- Accesso remoto e fornitori: manutenzione e assistenza richiedono connessioni rapide, ma senza regole chiare (identità, privilegi, logging, finestre temporali) l’operatività diventa un varco ideale per gli hacker.
- Convergenza IT/OT: più dati passano tra reparti e sistemi, più diventa essenziale stabilire chi definisce standard, responsabilità e controlli.
Il punto chiave è che la cybersecurity OT non può più essere gestita a parte o per iniziative isolate: quando tecnologia e processi si intrecciano, anche la responsabilità deve essere progettata con lo stesso livello di attenzione con cui si progetta un impianto produttivo.
Chi è (davvero) il responsabile della Cybersecurity OT nelle organizzazioni industriali
La domanda “chi è il responsabile della Cybersecurity OT?” sembra semplice, ma in fabbrica raramente lo è. Il motivo è che la cybersecurity OT non vive dentro un singolo reparto: coinvolge reti, asset industriali, processi produttivi, accessi remoti, safety e continuità operativa. E quando una responsabilità è “di tutti”, spesso diventa — di fatto — responsabilità di nessuno.
Nella pratica, il responsabile della Cybersecurity OT può assumere forme diverse a seconda della maturità dell’azienda e del modello organizzativo:
- Responsabilità centralizzata: un ruolo (spesso in ambito security/IT) definisce regole, controlli e priorità, coordinandosi con OT e produzione per applicarle senza impattare gli impianti.
- Responsabilità distribuita: IT, OT e produzione condividono compiti e decisioni, ma solo se esistono confini chiari (chi approva cosa, chi esegue cosa, chi decide in emergenza).
- Responsabilità “implicita”: nessuno è formalmente owner; si procede per abitudini e urgenze. È lo scenario più rischioso, perché le scelte diventano reattive e arrivano tardi, spesso dopo un incidente o un fermo.
Il punto cruciale è distinguere tra governance e operatività. La governance definisce “come si fa sicurezza OT” (standard, policy, priorità, metriche), mentre l’operatività decide “cosa si fa domani mattina” (accessi, patch, segmentazione, finestre di manutenzione, gestione dei fornitori). Se questi due livelli non sono coordinati, si creano buchi inevitabili: regole non applicabili, eccezioni non tracciate, responsabilità scaricate tra team.
Responsabile formale vs ownership reale: la differenza che cambia tutto
Molte aziende nominano un responsabile sulla carta, ma l’ownership reale resta frammentata. Un esempio tipico: l’IT può presidiare identità, reti e monitoraggio, ma non può “toccare” un impianto senza l’OT; l’OT conosce macchine e vincoli operativi, ma non sempre ha strumenti e competenze per gestire log, vulnerability management o incident response; la produzione ha l’urgenza della continuità, ma non può diventare l’unico arbitro del rischio cyber.
Per questo, più che cercare “un nome” da mettere in organigramma, conviene ragionare in modo pratico: chi ha l’autorità di decidere, chi ha la capacità di intervenire, chi è responsabile dell’impatto sulla produzione.
Quando queste tre dimensioni non sono allineate, la cybersecurity OT si inceppa proprio nei momenti critici: accessi concessi in emergenza, fornitori con credenziali condivise, aggiornamenti rimandati, o scelte di rete fatte “per far funzionare tutto” anche se abbassano il livello di sicurezza.
Nei prossimi passaggi vedremo come si incastrano i ruoli nella cybersecurity OT tra IT, OT e produzione, e perché il ruolo del CISO (quando presente) va interpretato con precisione per evitare zone grigie e responsabilità incerte.
Il ruolo del CISO nella cybersecurity OT: responsabilità, limiti e rischi
Negli ultimi anni il CISO è diventato sempre più centrale anche nella cybersecurity OT, perché la sicurezza industriale non è più “solo un tema di impianto”: tocca continuità operativa, rischio reputazionale, compliance, assicurazioni cyber e, nei casi peggiori, impatti economici diretti da fermo produzione. In molte aziende, soprattutto quelle che hanno già una funzione security strutturata, è naturale che l’OT rientri nel perimetro di attenzione del CISO.
Ma c’è un punto delicato: il CISO può essere responsabile della cybersecurity OT senza avere controllo operativo sugli impianti? Se la risposta è “sì, sulla carta”, allora bisogna chiarire bene cosa significa in termini di responsabilità reale, budget, poteri decisionali e collaborazione con OT e produzione.
Il CISO, tipicamente, è nella posizione giusta per guidare:
- La governance della sicurezza (policy, standard, risk management, priorità)
- L’architettura e i controlli trasversali (identity, logging, segmentazione, accesso remoto, incident response)
- La misurazione del rischio e la traduzione in un linguaggio comprensibile al management (impatto, probabilità, trade-off)
- La gestione degli incidenti e la coordinazione tra team (anche quando l’evento nasce in OT ma si propaga su IT o viceversa)
Allo stesso tempo, però, in OT valgono vincoli che rendono impossibile applicare un modello “IT puro”:
- Finestre di manutenzione limitate e pianificate
- Patching non immediato o non sempre possibile
- Dipendenza da fornitori e integratori
- Necessità di garantire safety e stabilità del processo
- Sistemi legacy e protocolli industriali con logiche diverse dall’IT
È qui che spesso nascono le incomprensioni: l’IT può avere obiettivi di hardening e standardizzazione; l’OT può avere obiettivi di continuità e sicurezza fisica del processo; la produzione ha KPI che non possono fermarsi. Se il CISO prova a “imporre” controlli senza tenere conto di questa realtà, rischia di ottenere l’effetto opposto: eccezioni non governate, soluzioni “creative” sul campo e, alla fine, più esposizione.
Quando il CISO diventa responsabile “di fatto” senza avere controllo operativo
In molte organizzazioni il CISO diventa il riferimento perché è l’unico ruolo formalmente associato alla cybersecurity, e questo porta a un cortocircuito frequente: la responsabilità sale verso l’alto, ma l’operatività resta altrove.
È uno scenario tipico quando:
- Il CISO è chiamato a rispondere del rischio cyber “complessivo”, ma OT e produzione non sono ingaggiate in modo strutturato
- Il budget security è gestito centralmente, ma gli interventi sugli impianti dipendono da piani e priorità OT
- L’accesso remoto e i fornitori sono gestiti per urgenze operative, senza un modello comune di identity e tracciabilità
Il rischio, qui, è duplice:
- Rischio organizzativo: nessuno decide davvero nei momenti critici (o decidono in troppi), e l’ownership diventa una negoziazione continua.
- Rischio tecnico-operativo: si creano “zone grigie” — accessi temporanei che diventano permanenti, segmentazioni incomplete, asset non censiti — che gli hacker sfruttano proprio perché non hanno un proprietario chiaro.
Il CISO può (e spesso deve) avere un ruolo chiave nella cybersecurity OT, ma per funzionare serve un patto esplicito con OT e produzione. Non basta “estendere” la cybersecurity dall’IT all’impianto: bisogna definire confini, responsabilità e soprattutto meccanismi decisionali condivisi.
Ruoli nella cybersecurity OT: come si distribuiscono le responsabilità tra IT, OT e produzione
Quando si parla di ruoli nella cybersecurity OT, il nodo non è “chi fa cosa” in teoria, ma come si prendono decisioni e si gestiscono compromessi nella pratica. Perché in ambito industriale la sicurezza non può essere un elenco di controlli da applicare: è un equilibrio continuo tra rischio cyber, continuità operativa, safety e vincoli impiantistici.
Ecco perché, per definire davvero un modello efficace, serve chiarire il contributo specifico di IT, OT e produzione. Non come silos separati, ma come ownership complementari.
IT: standard, identità, rete e risposta agli incidenti
Il team IT (e, dove presente, la funzione security) porta competenze essenziali per rendere la cybersecurity OT sostenibile e scalabile nel tempo. In particolare, l’IT è spesso il riferimento per:
- Identity & access management: gestione utenti, credenziali, privilegi, MFA, policy di accesso (anche per i fornitori).
- Segmentazione e architettura di rete: separare correttamente domini IT/OT, proteggere i punti di interconnessione, controllare traffico e accessi.
- Logging, monitoraggio e detection: centralizzare eventi, correlare segnali, gestire SOC (se presente) e procedure di incident response.
- Processi e governance: policy, risk management, gestione delle vulnerabilità, change management (quando applicabile).
Il limite tipico dell’IT è che non può “entrare” nei sistemi industriali con la stessa libertà con cui interviene su server e endpoint: in OT esistono vincoli tecnici e produttivi che richiedono coordinamento e approvazione.
OT: conoscenza degli asset e controllo operativo sugli impianti
L’OT è la funzione che conosce davvero l’ambiente industriale: macchine, PLC, SCADA/HMI, protocolli, dipendenze tra asset e impatti sul processo. È un ruolo chiave perché molte scelte di sicurezza in fabbrica devono rispettare una regola semplice: prima non rompere la produzione.
Tipicamente l’OT è centrale per:
- Inventario e classificazione degli asset OT (e delle dipendenze reali tra sistemi)
- Configurazioni e gestione tecnica dei sistemi di automazione
- Piani di manutenzione e finestre di intervento (dove inserire patch, upgrade, sostituzioni)
- Validazione di cambiamenti che potrebbero impattare safety e continuità operativa
Il limite tipico dell’OT, invece, è che spesso non ha piena ownership su identity, monitoraggio centralizzato, gestione delle vulnerabilità “alla maniera IT” o incident response strutturata. Non per mancanza di competenze, ma perché storicamente non era il suo mestiere.
Produzione: priorità, tempi, rischi “sul campo”
La produzione viene spesso coinvolta tardi, come se fosse “solo” un portatore di vincoli. In realtà, senza produzione non esiste una cybersecurity OT applicabile: è la produzione che vive l’urgenza, decide le priorità operative e misura gli impatti reali (fermi, qualità, ritardi, scarti).
La produzione è fondamentale per:
- Definire criticità degli impianti (cosa è davvero “mission critical”)
- Stabilire tempi e finestre in cui è realistico intervenire
- Supportare l’adozione di procedure (accessi, lavori in emergenza, modalità degradate)
- Rendere sostenibili regole che altrimenti verrebbero aggirate “per necessità”
Il limite tipico è che la produzione, da sola, non può governare controlli cyber: serve un modello che traduca il rischio in scelte operative concrete, senza scaricare tutto sul “far girare la linea”.
Dove nasce il conflitto (e come si trasforma in ownership)
Questi tre ruoli non sono in competizione: hanno obiettivi diversi e tutti legittimi. Il conflitto nasce quando manca un accordo su tre domande pratiche:
- Chi decide quando un controllo di sicurezza impatta la produzione?
- Chi approva un’eccezione (e chi la controlla nel tempo)?
- Chi interviene in caso di incidente OT e con quale priorità (ripartenza vs contenimento)?
Se queste risposte non sono scritte e condivise, si finisce quasi sempre in uno scenario prevedibile: l’IT prova a “mettere sicurezza”, l’OT prova a “proteggere la stabilità”, la produzione prova a “non fermarsi” e la responsabilità si frammenta.
Perché la cybersecurity OT fallisce quando l’ownership non è chiara
Quando la cybersecurity OT non ha un’ownership esplicita, non fallisce “tutta insieme” e non fallisce subito. Fallisce a piccoli pezzi, nel quotidiano: scelte rimandate, eccezioni che diventano regola, controlli applicati a metà perché “non si può fermare la linea”, e decisioni prese in emergenza senza un criterio comune. Il risultato è un contesto in cui il rischio aumenta nel tempo, spesso senza che nessuno se ne accorga finché non arriva l’evento che costringe a reagire.
Il paradosso è che, nelle fabbriche moderne, il problema raramente è la totale assenza di competenze. Molte aziende hanno persone valide in IT, tecnici OT esperti e una produzione che conosce perfettamente i vincoli del processo. Quello che manca è un meccanismo chiaro di responsabilità: chi decide, chi approva, chi esegue, chi risponde.
Ecco gli effetti più comuni di un’ownership “sfocata” (e perché sono così pericolosi).
1) Le vulnerabilità restano “in sospeso” perché nessuno ha la leva per risolverle
In IT esistono processi relativamente consolidati per patching e gestione vulnerabilità. In OT, invece, gli aggiornamenti devono essere pianificati, testati, spesso vincolati da finestre produttive e compatibilità con sistemi legacy. Se non esiste un responsabile che coordini priorità e trade-off, succede quasi sempre questo:
- l’IT segnala una criticità ma non può intervenire sugli impianti
- l’OT riconosce il rischio ma non ha tempo/budget o non ha finestra operativa
- la produzione chiede continuità e rimanda l’intervento “al prossimo fermo”
Così il rischio rimane lì, e il tempo lavora contro l’organizzazione.
2) Gli accessi remoti diventano un’area grigia (soprattutto con i fornitori)
L’accesso remoto è uno dei temi più sensibili nella cybersecurity OT, perché spesso è indispensabile per manutenzione e supporto. Quando però non c’è ownership chiara, l’accesso remoto si gestisce per urgenze:
- Account condivisi “temporanei” che restano attivi
- Credenziali che circolano su canali non controllati
- Connessioni aperte più del necessario “per non perdere tempo”
- Mancanza di tracciabilità su chi ha fatto cosa, quando e su quale impianto
Non serve nemmeno un attacco sofisticato: basta una gestione disordinata per creare un varco perfetto.
3) Si moltiplicano eccezioni e scorciatoie, e nessuno le governa nel tempo
In OT le eccezioni sono inevitabili: legacy, vincoli di safety, limiti di compatibilità. Il problema nasce quando nessuno è responsabile del “ciclo di vita” dell’eccezione. Senza un owner:
- L’eccezione non viene documentata bene
- Non viene rivalutata periodicamente
- Non ha compensazioni adeguate (monitoraggio, segmentazione, limitazione privilegi)
- Diventa una normalità invisibile
È così che si formano le esposizioni più pericolose: non perché qualcuno “sbaglia”, ma perché nessuno ha un mandato chiaro per sistemare.
4) In caso di incidente, si perde tempo proprio quando ogni minuto conta
Quando avviene un evento (anche solo un sospetto), l’assenza di ownership diventa un problema operativo immediato. Le prime ore sono decisive, eppure spesso le domande restano sospese:
- Chi decide se isolare una parte della rete OT?
- Chi autorizza un fermo, anche parziale?
- Chi coordina la raccolta evidenze e le priorità tra ripartenza e contenimento?
- Chi parla con i fornitori e chi gestisce comunicazioni interne?
Senza una catena decisionale chiara, la gestione dell’evento può diventare più lenta e più costosa.
5) Il rischio resta “non misurabile” e quindi non prioritario
Se non è chiaro chi governa la cybersecurity OT, diventa difficile anche misurarla: inventario asset incompleto, criticità non classificata, controlli non mappati, responsabilità frammentate. E ciò che non è misurabile, in azienda, tende a non essere prioritario finché non diventa emergenza.
Dalla responsabilità formale all’ownership reale: come costruire un modello efficace
Definire il responsabile della Cybersecurity OT non significa assegnare un titolo in organigramma, ma costruire un modello decisionale che funzioni anche sotto pressione. Un modello in cui governance e operatività non sono scollegate, e in cui IT, OT e produzione sanno chi decide cosa, quando e con quali priorità.
Nelle organizzazioni industriali più mature, l’ownership della cybersecurity OT si costruisce su alcuni elementi chiave, sempre più organizzativi che tecnologici:
- Un perimetro di responsabilità esplicito
Non basta dire “la sicurezza è dell’IT” o “gli impianti sono dell’OT”. Serve chiarire chi ha la responsabilità finale del rischio OT, chi definisce le regole e chi è autorizzato a prendere decisioni operative in condizioni normali e in emergenza. - Un coordinamento strutturato tra IT, OT e produzione
La cybersecurity OT funziona quando le decisioni non vengono prese a silos. Questo significa allineare policy, piani di intervento, finestre operative e gestione delle eccezioni, evitando che ogni reparto ottimizzi solo il proprio obiettivo. - Regole chiare per accessi, fornitori ed eccezioni
Accessi remoti, manutenzione, sistemi legacy e deroghe devono avere un proprietario, una durata, una motivazione e un controllo nel tempo. È uno dei punti in cui l’ownership si misura davvero. - Processi decisionali pronti per l’incidente
Quando qualcosa accade, non c’è tempo per negoziare ruoli. Un modello efficace stabilisce in anticipo chi coordina, chi autorizza un fermo, chi guida la risposta e come si bilanciano sicurezza e ripartenza. - Un linguaggio comune sul rischio
IT, OT e produzione devono parlare di cybersecurity OT con metriche e criteri comprensibili a tutti: criticità degli asset, impatti sul processo, priorità reali. Senza questo allineamento, anche le migliori intenzioni restano sulla carta.
In questo contesto, il responsabile della Cybersecurity OT diventa il punto di sintesi: non una figura isolata, ma un ruolo (o una funzione) capace di tenere insieme strategia, vincoli operativi e responsabilità concrete.
Noi di Innovio supportiamo le aziende industriali proprio in questo passaggio: aiutiamo a chiarire ruoli, ownership e modelli di governance della cybersecurity OT, integrando sicurezza, operatività e continuità produttiva. Se nella tua organizzazione la responsabilità OT è ancora “terra di mezzo”, è il momento giusto per affrontarla in modo strutturato. Contattaci per saperne di più.
