Fino a qualche anno fa il ruolo del CISO (Chief Information Security Officer) era di natura prettamente tecnica, ma con l’evolvere dei tempi e del panorama delle minacce gli obiettivi del CISO sono cambiati. Questo ruolo sta diventando non solo più vasto, ma anche più complesso. Per affrontare le sempre crescenti sfide poste dalle minacce di cyber security, il ruolo presuppone oggi anche una profonda comprensione del rischio e uno spiccato senso del business, nonché una solida consapevolezza di cosa è importante per il successo dell’azienda. Alcuni hanno già attribuito un nome a questo “nuovo” responsabile della sicurezza: Chief Information Risk Officer, in breve CIRO.
Ci sono però cinque tratti che i CIRO dovranno sviluppare per differenziarsi dai CISO, loro predecessori, ed essere rilevanti nei tempi moderni.
Esperti di cyber security, a ognuno la sua certificazione: la guida per scegliere
Indice degli argomenti
I CIRO hanno una mission condivisa
I CIRO debbono allineare la loro mission di sicurezza con quella di tutta l’azienda. Per farlo, devono dimostrare di essere consapevoli della catena di valore dell’azienda stessa.
Quando tengo corsi di formazione per i CISO, una delle prime domande che pongo ai partecipanti è: “quali sono i tre obiettivi che il vostro CEO ha stabilito per quest’anno?” Sorprendentemente, molti non ne hanno la minima idea, mentre io credo che in futuro questa informazione sia assolutamente fondamentale per qualunque responsabile della sicurezza.
I CIRO devono necessariamente legare i loro obiettivi a quelli stabiliti dal CEO. In che modo il team aiuterà la crescita dell’azienda? Se ci sono fusioni e acquisizioni in vista, in che modo la sicurezza può contribuire a una transazione di successo?
I CIRO prendono decisioni e le sostengono
La modernità richiede lo sviluppo di una capacità di pensiero critico, nonché il coinvolgimento con il management.
I CIRO dovranno spendere più tempo con i loro superiori che con i loro riporti. Dovranno essere empatici e cristallini nelle loro interazioni e sostenere le loro decisioni.
Ho lavorato come responsabile della sicurezza in molte grandi aziende. Ho sempre avuto un fantastico gruppo di middle management che si occupava quotidianamente dei dipendenti o delle questioni operative. Il mio obiettivo era, piuttosto, gestire l’azienda dall’alto verso il basso. Ho dovuto prendere decisioni importanti e poi portarle avanti, talvolta aggiustando il tiro.
Nessuna decisione è perfetta, ma l’indecisione è ancora peggiore. Fa tutto parte del restare agili.
Dare valore alle persone
Il ruolo del CIRO richiede la capacità di gestire le persone, fornendo loro, di tanto in tanto, la giusta guida affinché possano sviluppare capacità e responsabilità.
Inoltre, i CIRO devono guadagnare la fiducia e mantenerla. Un bravo CIRO comprende le capacità delle persone; un CIRO eccezionale sa gestirle.
Saper riconoscere ciò che conta
Oggi un CISO potrebbe dire: “Lo scorso anno abbiamo bloccato 10 miliardi di tentativi di spam.” Un numero veramente impressionante, peccato che abbia una rilevanza quasi nulla. Ai CIRO serve un elenco breve di metriche rilevanti.
Ciò che veramente importa è essere in grado di comunicare il valore del programma di sicurezza e dimostrare che sono stati fatti progressi trimestre dopo trimestre.ùI CIRO devono continuamente puntare al miglioramento, con numeri alla mano che testimoniano l’impegno dei loro team.
I CIRO fanno parte di una community
I CIRO devono accertarsi di essere ascoltati e di collaborare con ogni reparto dell’azienda, ma anche con i loro pari dello stesso settore, con i partner e le società terze. E, in qualità di leader del settore, i CIRO devono dare il loro contributo e partecipare al sostegno di gruppi come la Security Advisor Alliance.
I vantaggi sono ovviamente reciproci, poiché questo tipo di collaborazione aiuta i CIRO a comprendere meglio cosa sta accadendo anche nell’intero settore della sicurezza.
L’evoluzione della sicurezza parte dell’alto
Che si chiamino CIRO, CISO o qualcosa di completamente diverso, la prossima generazione di leader della sicurezza avrà una profonda conoscenza del business.
Essi comprenderanno le strategie e le iniziative adattive che guidano il business. Saranno a loro agio nella comunicazione con gli altri dirigenti in tutta l’organizzazione, al fine di aumentare quella conoscenza.
Inoltre, si impegneranno per allineare il loro programma di gestione dei rischi agli obiettivi.
L’integrazione tra sicurezza e azienda sarà più stretta: solo una tale cultura di condivisione aiuterà i team di sicurezza a comprendere cosa devono proteggere e come fare del loro meglio.
