Il ruolo del CISO (Chief Information Security Officer) non ha una precisa connotazione geografica, nel senso che può avere responsabilità globali oppure su perimetri costituiti da aree geografiche definite.
Essendo un ruolo manageriale difficilmente trova applicazione nelle realtà medio piccole che costituiscono il tessuto economico nazionale; in questo caso è forse consigliabile un servizio di supporto esternalizzato al ruolo.
La sua posizione ideale è in staff alla Direzione aziendale; il CISO deve necessariamente conoscere il business aziendale e deve utilizzare un linguaggio semplice e non tecnico nei rapporti che deve necessariamente intrattenere con gli stakeholder aziendali.
Oltre a questo, deve avere ottime competenze di gestione in quanto in un team CISO ben organizzato possono coesistere parecchie anime tecniche sia interne che facenti capo ai fornitori esterni.
Naturalmente un backgroung tecnico, problem solving, gestione progetti e aggiornamento continuo sulle minacce alla sicurezza che incombono sull’organizzazione sono di grande aiuto.
AAA cyber resilienza cercasi. Così le aziende possono resistere e crescere
Indice degli argomenti
Le attività e i compiti del CISO
L’attività del CISO prevede il presidio continuo su vari temi in ambito sicurezza delle informazioni e sulle tematiche di compliance normativa con l’obiettivo di mantenere sotto controllo il rischio derivante dalla inarrestabile digitalizzazione dei processi aziendali.
Tra i suoi compiti la definizione di una strategia pluriennale in grado di garantire l’adozione di nuove iniziative tecnologiche nel rispetto delle best practices e delle normative di settore.
Occorre trovare il giusto compromesso tra il controllo di un rischio ICT ritenuto accettabile e le attività di business che hanno una leva prioritaria, coordinando nel contempo parecchie attività tecniche (ad esempio rilevamento e gestione di eventuali incidenti di sicurezza, gestione vulnerabilità, autorizzazioni accessi logici, sorveglianza sulla sicurezza garantita da fornitori e partner, oltre al ruolo di consulenza e pianificazione della formazione sulle tematiche di sicurezza e compliance), il tutto da gestire con un budget che è generalmente una frazione di quello attribuito alla funzione ICT.
Le sfide da affrontare
Tra le sfide principali che il CISO deve affrontare, indubbiamente la principale è quella di migliorare la cultura di sicurezza informatica nell’organizzazione: prima che la cyber security divenisse un fenomeno trattato anche nei media generalisti, veniva percepita solo come un costo aziendale e come un possibile blocco alla libertà di aggiungere al sistema informativo aziendale nuove tecnologie senza curarsi preventivamente se questo comporti un aumento della superficie d’attacco.
Come dimostrato da diverse analisi economiche, l’adozione dei principi “security by design” è un importante fattore di risparmio sui costi.
Un altro aspetto chiave risiede nel fatto che i tempi e le risorse a disposizione della difesa degli asset aziendali sono sicuramente di gran lunga inferiori a quelli disponibili alle organizzazioni criminali che negli ultimi anni sono sempre più organizzate e sofisticate.
Lo scenario che il CISO affronta oggi vede l’enorme numero di vulnerabilità tecniche scoperte, con oltre 20.000 nuove nel solo 2022, introdotte involontariamente dai fornitori di tecnologia hardware e software per anticipare la concorrenza.
A questo bisogna aggiungere la scarsa propensione delle organizzazioni a “fare sistema”.
Per gestire in modo strategico la cyber security occorre introdurre un processo continuo di miglioramento basato sull’esecuzione periodica di un’analisi dei rischi cyber fondata su dei framework standardizzati a livello internazionale utile ad ottenere una fotografia accurata dell’esistente e funzionale alla definizione di piano di trattamento.
Di fondamentale importanza, naturalmente, è il coinvolgimento del management aziendale che deve allocare budget e risorse in linea con la criticità del business, le attività da svolgere e la propensione al rischio dell’organizzazione.
Serve una conoscenza precisa degli asset aziendali
Volendo identificare gli elementi chiave di una infrastruttura sicura, potremmo focalizzarci su tre aspetti fondamentali.
In primo luogo, è necessaria la conoscenza precisa degli asset, hardware, software mappati sulle informazioni critiche aziendali: potrà sembrare banale ma nella mia esperienza professionale sono veramente poche le organizzazioni che hanno piena coscienza di quella che nel settore chiamiamo “crown jewel” su cui concentrare un adeguato livello di protezione.
Occorrono, poi, una serie di sonde ubicate opportunamente in grado di identificare le deviazioni importanti sul traffico di rete rispetto al flusso ritenuto normale ed i comportamenti anomali.
Infine, la disponibilità di un sistema automatizzato in grado di analizzare e correlare in tempo pressoché reale la mole importante di informazioni raccolta dai sistemi di sicurezza, che ovviamente andranno analizzate dai servizi “umani” preposti all’attività di monitoraggio.
La subalternità ai CIO non è più giustificata
Nell’esaminare il ruolo del CISO in azienda non possiamo ignorare come in alcune realtà il CISO si trova ancora in un ruolo subalterno al CIO: la complessità operativa introdotta dalla digitalizzazione dei processi aziendali, dalle modalità di collaborazione ibride (sedi operative e smart working) e dalla condivisione delle attività con i partner non giustificano più questa relazione.
Di fatto gli obiettivi e le competenze richieste ai due ruoli sono radicalmente diversi: mentre al CIO viene richiesto di presidiare in modo adeguato le nuove tecnologie che possano migliorare l’efficacia dei processi aziendali garantendo pertanto in modo prevalente la disponibilità dei servizio, al CISO si richiede di essere sempre aggiornati sulle nuove minacce che possono impattare negativamente sul business con particolare enfasi sulle tematiche di riservatezza ed integrità delle informazioni.
Quindi i due ruoli vanno interpretati secondo una chiave complementare che possa migliorare la risposta complessiva dell’organizzazione rispetto alle sfide complesse dei nostri tempi; naturalmente la sinergia tra i due ruoli va allargata anche agli altri stakeholder la cui attività possa in qualche modo sovrapporsi, ad esempio in riferimento al DPO competente sul trattamento dati personali oppure alla struttura dedicata ai temi di compliance.
Investimenti in sicurezza informatica, il trend è in netta ascesa
Il ruolo del CISO per abbattere i costi degli incidenti cyber
Circa l’evoluzione attuale e futura del CISO possiamo infine osservare come da qualche anno a questa parte, anche in virtù delle notevoli perdite inflitte alle aziende dal crescente numero di attacchi informatici andati a buon fine, il ruolo del CISO è tornato in auge presso le organizzazioni di media e grande dimensione.
È stato dimostrato in diversi report di analisi sugli effetti economici dei cyber incident come la figura del CISO sia uno degli elementi che contribuisce in modo determinante ad abbattere i costi associati ad un possibile incidente di sicurezza informatica.
