Professione CISO (Chief Information Security Officer). Un ruolo ancora oggi poco compreso, poco ascoltato e non tenuto nella giusta considerazione o nel giusto livello gerarchico, nonostante le significative competenze che lo contraddistinguono, le responsabilità che lo caratterizzano e le risorse, umane ed economiche di cui dovrebbe disporre per poter operare.
Indice degli argomenti
Un CISO per governare la cyber security in azienda
Nella pratica se si considera l’intero mercato italiano, sono ancora poche le organizzazioni che hanno un CISO, ancora meno quelle che lo hanno al di fuori del team IT e ancora più limitate quelle che forniscono risorse per operare tenendo anche in debito conto per il ‘core business’ aziendale le valutazioni sui rischi di security come elemento abilitante e strategico.
Salvo poi rivolgersi a lui/lei CISO in presenza di incidenti di sicurezza, chiedendo risoluzioni senza danni collaterali.
Una possibile soluzione alla cronica sottostima, alla valutazione superficiale e alle relative conseguenze sull’impostazione e realizzazione di ruolo CISO in azienda è dato dalla diffusione di una cultura alla cybersicurezza come patrimonio comune di tutta l’impresa.
In questo senso ben vengano i percorsi di awareness per i non tecnici dell’organizzazione, ma per i decisori aziendali potrebbe davvero fare la differenza, la comprensione di alcune delle tematiche multidisciplinari che tratta un CISO per fare finalmente squadra insieme.
Ecco allora una serie di corsi formativi e percorsi di studio che se da un lato coadiuvano la preparazione di un aspirante CISO, dall’altro possono rappresentare un incipit formativo alla security per i C-level di altre discipline.
I corsi introduttivi
Un primo corso appositamente dedicato ai C-level ed ai membri del board è rappresentato dal percorso dal titolo “cyber security per c-level e board member” offerto dall’Università Mercatorum ed è finalizzato allo sviluppo di competenze e abilità tecniche e manageriali per abilitare nella valutazione corretta dei temi legati all’attuale scenario delle minacce cibernetiche, ai concetti base della gestione del rischio cibernetico, agli aspetti normativi e legali in tema privacy e sicurezza.
Per accedere è sufficiente un diploma di scuola superiore, mentre al termine è prevista una prova di esame. Il corso è stato attivato per la prima volta per l’anno 2023/2024 con durata annuale.
Anche Coursera propone un percorso “road to the CISO” come mezzo per avviare la propria professionalità verso la cybersicurezza o per comprendere al meglio i temi di security legati al ruolo del CISO.
Infatti, il corso di livello intermedio e della durata di 18 ore fa capire lo sviluppo della carriera e il percorso di un professionista della cyber security, il ruolo e la funzione di un CISO nella pianificazione della cyber security, lo sviluppo di un programma di governance della cyber security e le responsabilità strategiche del CISO nella supervisione del programma di cyber security di un’organizzazione.
Il corso che può essere fruito singolarmente è il quinto di una serie per la specializzazione alla gestione della cybersicurezza.
Scade invece il 28 febbraio l’iscrizione al corso di perfezionamento in Cybersecurity, Cyber Risk and Data Protection organizzato dall’Università politecnica delle Marche dedicato alla formazione di specialisti nella protezione dei dati, nella valutazione del rischio cyber e nella valutazione del suo impatto sia in termini tecnologici che giuridici.
Univpm: focus su cyber security, cyber risk and data protection
Il corso si rivolge a futuri DPO ma è altamente appropriato anche per aspiranti CISO o per C-level che desiderino approfondire le molteplici implicazioni della sicurezza informatica.
Un corso più specialistico, facilitato nella modalità didattica perché erogato tramite piattaforma digitale e fruibile anche a distanza, è rappresentato dal “Chief Information Security Officer Training” organizzato dalla theknowledgeacademy. Il corso diviso in 3 moduli che trattano di governance, struttura di gestione della sicurezza delle informazioni e principi di sicurezza delle informazioni.
I corsi specialistici
Per coloro che sono intenzionati a coniugare la Cyber security e il management, la Business School di Bologna risponde con il corso di Cyber security Management destinato sia ai gestori delle linee di business, sia al professionista responsabile della cyber security preposto all’attuazione delle misure di sicurezza prioritarie.
Il corso permette “di guidare in prima persona l’analisi e la valutazione dei rischi cyber al fine di determinare le priorità delle azioni di protezione del business di cui si è responsabili”.
“Contestualmente – si legge ancora – consentirà al personale con competenze tecniche di confrontarsi e di porsi al servizio del business operando in modo sinergico con le diverse realtà aziendali e con i fornitori, al fine di minimizzare i rischi, proteggere il patrimonio finanziario e informativo, e garantire l’operatività continua del business”.
L’approccio proposto è multiculturale attraverso l’integrazione fra i saperi tecnici e organizzativi con la sensibilità normativa, contrattualistica e relazionale.
Laddove invece vi sono aspiranti CISO che vogliano acquisire le conoscenze, le competenze e le strategie necessarie per condurre efficacemente un programma di sicurezza delle informazioni e garantire un’adeguata protezione delle informazioni e del patrimonio informativo nel panorama digitale in evoluzione, possono iniziare la propria formazione dal Corso CISO PECB (il PECB è un ente di no profit dedito alla certificazione e formazione in diverse discipline n.d.r.).
Il corso incorpora elementi interattivi, scenari simulativi e discussioni fra i partecipanti incoraggiati a comunicare fra loro. La formazione è condensata in 5 giorni e comprende un esame finale.
Per coloro che vogliano approfondire tematiche tecnologiche o di uno degli ambiti legati alla Cyber security, in modo verticale e specialistico, sono disponibili diversi master nelle università italiane ciascuno caratterizzato da uno specifico format.
Corsi e master, lo speciale di Cybersecurity360.it
Fra questi l’Università di Genova in tema di Cyber security and Critical Infrastructure Protection propone sia il Master di II livello che il corso di perfezionamento a cui possono accedere non solo laureati ma anche i diplomati.
Università di Genova: Master in Cybersecurity and critical infrastructure protection
Il master offre due possibili specializzazioni: Sistema IT/OT Cyber Defense o GRC per la protezione delle infrastrutture critiche e dell’impresa.
Infine, il SANS nella definizione di un percorso formativo che possa accrescere il know how di un CISO suggerisce di seguire cinque corsi progettati per fornire ai partecipanti le conoscenze fondamentali relative a gestione del rischio, protezione dei dati e governance.
Il SANS sottolinea come la sola formazione non sia sufficiente per un professionista della cybersecurity e come le competenze pratiche, e una profonda comprensione delle operazioni aziendali siano ugualmente cruciali per il successo in questa professione. Per questo motivo esistono anche percorsi certificativi che possono riconoscere non solo la competenza ma anche l’esperienza (Percorsi C|CISO) di cui abbiamo parlato elencando le certificazione per i CISO.
Il parere di Associso
Quanto alla necessità di una formazione più adeguata per un CISO e sulla loro valenza, l’Associso, associazione nazionale che riunisce e rappresenta i Chief information Security officer, nelle persone del presidente Yuri Rassega e del segretario generale Igor Kranjec, hanno le idee chiare: “Il punto è far comprendere che per fare questo mestiere in futuro sarà sempre più determinante essere disposti a studiare materie anche molto lontane, apparentemente, dalla pura tecnologia, poiché questa figura professionale è chiamata a garantire una copertura end to end di processi molto trasversali e pervasivi”.
E ancora: “Il CISO è una figura che non potrà operare senza avvalersi di team multidisciplinari, che per lungo tempo saranno anche caratterizzati da alti indici di rotazione, e ciò richiederà consolidate capacità di gestione e leadership. Infine, dovrà comunicare con variegati stakeholders, usando i loro linguaggi, altrimenti risulterebbe in buona parte incomprensibile. I corsi non potranno quindi mancare di trattare tematiche legate alle normative, sempre più cogenti, softskills manageriali e di comunicazione”.
“In tema di tecnologia- chiarisce Associso – piuttosto che puntare a creare super esperti di alcune tecnologie, sarebbe preferibile trasferissero una conoscenza maggiormente diversificata, magari meno profonda, ma certamente più utile per orientarsi nell’ampio ventaglio di tecnologie da integrare al meglio. Tra gli obiettivi dell’associazione è esplicitato quello del supporto alla formazione continua, per il perfezionamento dei CISO attuali, e per la creazione di quelli futuri”.
Un linguaggio comune da sviluppare continuamente
Proprio il tema della formazione continua evidenziato da Associso è cruciale per tutte le professioni e lo è maggiormente nel contesto digitale continuamente sollecitato da innovazioni tecnologiche che ne cambiano i paradigmi abilitanti.
Fino ad oggi tutti nel mercato hanno ravvisato la necessità di capire e comprendere la “lingua dell’economica” ovvero le dinamiche economiche, della produttività, il cashflow, la redditività etc per poter essere efficaci nel business.
Con la trasformazione digitale i temi della sicurezza informatica sono diventati altrettanti basilari per la sopravvivenza e resilienza stessa del business. Quindi oggigiorno anche la “lingua della cyber security” dovrebbe essere un bagaglio di conoscenza non solo disponibile e accessibile, ma anche caldamente consigliato per tutti.