Il Chief Information Security Officer (CISO), da non confondere con CIO (Chief Information Officer), o direttore informatico, e con il CSO (Chief Security Officer), o Security Manager, è il Responsabile della sicurezza informatica all’interno dell’organizzazione. Si tratta di un profilo professionale sempre più consolidato, anche se poco diffuso nelle aziende italiane. Attraverso la Ricerca dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, in quest'articolo approfondiremo il ruolo del CISO: chi è, cosa fa e, soprattutto, quali skills sono necessarie per diventare Chief Information Security Officer.
Cosa si intende per CISO?
Nella pratica, cosa vuol dire CISO? Scopriamolo con una puntuale definizione:
nella prassi il CISO è la figura responsabile dell’information security in azienda; si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.
I compiti del responsabile della sicurezza informatica (CISO) possono variare a seconda del settore in cui opera e della sua posizione all’interno dell’organizzazione. Il Chief Information Security Officer è una figura estremamente poliedrica all’interno dell’organigramma aziendale, dato che è in grado di comprendere gli aspetti tecnici relativi alla sicurezza delle informazioni, ma possiede anche competenze manageriali e comunicative. Tra le principali aree di competenze e responsabilità di un Chief Information Security Officer si trovano le seguenti:
- assessment della sicurezza, ovvero valutare lo stato dell’arte della sicurezza in azienda e individuare un piano strategico per aumentare la capacità di reagire alle cyber minacce;
- definizione delle policy, vale a dire le regole e gli standard per la gestione della sicurezza;
- analisi del rischio cyber, ossia comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate alla gestione del rischio cyberin termini di politiche e strumenti;
- definizione delle architetture per la gestione della sicurezza e monitoraggio delle scelte strutturali;
- identificazione delle minacce e dei rischi informatici, che implica l’essere aggiornati sulle tipologie di minacce e di attacco;
- monitoraggio della sicurezza, attraverso un controllo sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
- risposta agli incidenti in tempi brevi in caso di data breach (ossia una violazione dei dati personali) per limitarne gli effetti;
- investigazione forense in caso di data breach, collaborando con risorse interne o specialisti esterni.
Con uno sviluppo della figura tecnica del CISO a un ibrido con compiti anche manageriali, vi è un ampliamento delle sfide che lo stesso deve affrontare. Dalla Ricerca dell’Osservatorio Cybersecurity e Data Protection, è emerso come sia sempre più essenziale un dialogo aperto e continuativo tra la sua funzione e i vertici aziendali, sia opportuna la creazione di un team a supporto e sia necessario che aumenti l’attenzione alla formazione e sensibilizzazione di tutti i dipendenti in materia di cybersicurezza.
Security Strategy
La Security Strategy include sia aspetti tecnologici che interdisciplinari. Pertanto, oltre alle competenze tecniche, il CISO deve possedere anche capacità manageriali, evolvendosi in un ruolo di livello dirigenziale (C-level). L'assetto ottimale prevede un CISO che sia parte del Consiglio di Amministrazione aziendale e indipendente dalla Direzione IT, sostenuto da specialisti tecnici e con una chiara strategia di sicurezza.
Security Education & Awareness
Nell’ambito della vulnerabilità informatica occorre tenere presente che lo sfruttamento del comportamento umano è la principale tipologia di attacco. Insieme alla Direzione HR e al CdA aziendale, il CISO dovrebbe definire attività di formazione e sensibilizzazione per dipendenti e terzi (come consulenti o partner). La Ricerca dell’Osservatorio ha rilevato che, oltre a lezioni frontali, sono molto efficaci per la sensibilizzazione del personale delle vere e proprie simulazioni di attacco, come nel caso del phishing (ossia tentativi fraudolenti volti a ottenere dati sensibili degli utenti attraverso e-mail, SMS, ecc).
Security & Compliance
L’adeguamento alle normative è un altro elemento fondamentale per il Chief Information Security Officer. Insieme alle figure Legal e Compliance, ma non solo, il CISO dovrebbe definire una strategia di adeguamento normativo nell’organizzazione. Ciò prevede certificazioni incentrate sulla Cyber Security, attività di auditing e, in generale, attività di assessment sui vari regolamenti.
Security Operations
Quest’ultimo ambito riguarda il coordinamento tra le varie figure che si occupano di Cyber Security in azienda, quali IT security, risk management, operational security e supply chain security, al fine di applicare le scelte strategiche adottate dall’azienda. Inoltre il Security Operations, in uno scenario ideale, dovrebbe poter svolgere altre attività, in particolare legate alla quantificazione del rischio cyber, e riportare al CdA il valore economico di un potenziale attacco.
Come si diventa CISO
Affinché lo svolgimento delle attività da parte del Chief Information Security Officer possa contribuire agli obiettivi aziendali, occorre individuare un giusto mix delle responsabilità sopracitate. Ma, nella pratica, come si ottiene un mix adeguato di competenze per farvi fronte?
Formazione del CISO e certificazione
Insieme all’esperienza pratica, il CISO può ottenere una certificazione specifica per migliorare le sue competenze tecniche in sicurezza informatica. Un esempio è quella offerta da EC-Council, il cui programma, lo C|CISO (Certified CISO) si concentra su cinque campi applicativi:
- Governance and Risk Management, che include le politiche, le procedure e le strutture per gestire i rischi aziendali in modo efficace e responsabile;
- Information Security Controls, Compliance, and Audit Management, che riguarda la mitigazione dei rischi, l'aderenza a normative e standard e la verifica dell’efficacia delle politiche di sicurezza;
- Security Program Management and Operations, che indica la progettazione, l'implementazione e la gestione delle attività di sicurezza per proteggere le risorse aziendali e assicurare il funzionamento continuo e sicuro delle operazioni;
- Information Security Core Competencies, che si riferisce alle competenze essenziali per la sicurezza delle informazioni, come la confidenzialità, l’integrità e la disponibilità dei dati;
- Strategic Planning, Finance, Procurement, and Vendor Management, che integra la pianificazione strategica, la gestione finanziaria, l'approvvigionamento e la gestione dei fornitori per raggiungere gli obiettivi aziendali e ottimizzare le risorse.
Le 10 competenze fondamentali del CISO
Oltre alle competenze in ambito informatico e alla profonda conoscenza dell’attività di business, il CISO deve possedere numerose soft skills. Di seguito un elenco delle principali caratteristiche che contraddistinguono il CISO, figura al centro della Cyber Security.
- leadership, poiché deve saper interagire con il Consiglio di amministrazione in modo da influenzarne le decisioni, al fine di crescere a livello di posizionamento organizzativo grazie ad una leadership forte;
- pensiero strategico, in quanto deve generare e implementare idee innovative e in linea con gli obiettivi aziendali;
- comunicazione, perché deve saper comunicare le scelte per la gestione del rischio e spiegare le soluzioni tecnologiche adottate;
- team building, ovvero deve avere la capacità di costruire un team di specialisti in Cyber Security e di stabilire relazioni con gli executive e i decision maker principali dell’azienda;
- problem solving, in quanto deve prendere decisioni in tempi rapidi, valutando le possibili conseguenze nel lungo termine;
- gestione delle crisi: gestire le situazioni critiche e la relativa comunicazione;
- competenze tecnologiche, ossia deve conoscere minacce, vulnerabilità, rischi e sistemi per la protezione della sicurezza;
- comprensione del rischio, inteso come capacità di comprendere i potenziali rischi, legata alla capacità previsionale di scenari futuri;
- approccio data-driven, che consiste nel saper gestire, analizzare e utilizzare i dati a supporto delle decisioni;
- comprensione delle regolamentazioni, dal momento che per raccogliere e trattare i dati online occorre conoscere le regolamentazioni in vigore nei diversi Paesi e le relative implicazioni in materia di sicurezza e protezione dei dati; a tal proposito, tra le principali regolamentazioni si segnala il GDPR (General Data Protection Regulation) e la Direttiva NIS 2 (acronimo di Network and Information System 2, introduce standard minimi di sicurezza e requisiti di segnalazione degli incidenti per migliorare il livello di sicurezza informatica in Europa).
La diffusione del CISO in Italia
Rispetto al DPO, figura anch’essa legata alla gestione della sicurezza informatica, la diffusione del CISO in Italia aumenta gradualmente di anno in anno.
Nel 2023, la presenza di un Chief Information Security Officer formalizzato è incrementata di cinque punti percentuali rispetto all’anno precedente (58% rispetto al 53% del 2022). Nel 22% dei casi il responsabile della sicurezza delle informazioni è posizionato fuori dalla funzione IT, mentre nel restante 36% all’interno della stessa. La responsabilità sulla sicurezza informatica da parte del CIO (Chief Information Officer) rimane invece stabile al 19%. Diminuisce dal 13% del 2022 al 4% la quota di aziende che predilige affidare la gestione dalla sicurezza al CSO (Chief Security Officer).
La presenza del Chief Information Security Officer, considerata ormai fondamentale nelle grandi organizzazioni, non è però un elemento sufficiente. Per garantire una gestione strategica della Cybersecurity è, infatti, necessario che il tema venga portato all'attenzione del board. Nelle grandi aziende si rileva una crescente sensibilità dei vertici nei confronti della materia. Nella maggior parte delle organizzazioni analizzate dall’Osservatorio, i vertici aziendali indirizzano i temi, partecipano al processo decisionale e richiedono periodicamente momenti formali di condivisione rispetto alla sicurezza informatica (48%), mentre in un ulteriore 31% gli stessi si limitano ad avere una conoscenza in proposito, ma senza partecipare al processo decisionale. Il 3% del campione dichiara che il board non ha avviato azioni in merito alla Cyber Security, mentre il 18% si sta progressivamente avvicinando al tema.
Vuoi comprendere come migliorare la sicurezza informatica in azienda?
- Autore
Direttore dell'Osservatorio Digital Identity e Ricercatrice dell'Osservatorio Cyber Security & Data Protection
Gli ultimi articoli di Giorgia Dragoni
-
CISO: chi è e cosa fa un responsabile della sicurezza 09 luglio 2024
-
Attacchi hacker, cosa sono e come proteggersi dalle minacce 08 luglio 2024
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Articoli più letti