TUTTI GLI ARTICOLI  >  Information Security

Professione CISO: chi è e cosa fa un Responsabile della Sicurezza 2.0

11 aprile 2019 / Di Giorgia Dragoni / Nessun commento

Una volta si parlava di Responsabile della sicurezza o Security Manager. Oggi, con le minacce legate allo sviluppo delle tecnologie digitali, le competenze legate alla gestione della sicurezza informatica evolvono, portando alla ribalta nuovi ruoli e nuove figure sempre più specializzate.

Nasce così il CISO, all'anagrafe Chief Information Security Officer, un profilo professionale sempre più consolidato che, grazie a profonde competenze tecniche e relazionali, è in grado di assumere il ruolo di Responsabile della sicurezza informatica, e non solo. In quest'articolo approfondiremo il ruolo del nuovo Security Officer: chi è, cosa fa e, soprattutto, quali skills sono necessare per diventare CISO?

 

Chi è e cosa fa il CISO?

Nella prassi il CISO è la figura responsabile dell’information security in azienda. Si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.

I compiti del Chief Information Security Officer possono variare a seconda del settore in cui opera e della sua posizione all’interno dell’organizzazione. Si tratta di una figura estremamente poliedrica, dato che è in grado di comprendere gli aspetti tecnici relativi alla sicurezza ma possiede anche competenze manageriali e comunicative. Tra le principali aree di competenze e responsabilità di questa figura si trovano le seguenti.

  • Assessment della sicurezza: valutare lo stato dell’arte della sicurezza in azienda e individuare un piano strategico per aumentare la capacità di reagire alle cyber minacce;
  • Definizione delle policy: definire regole e standard per la gestione della sicurezza;
  • Analisi del rischio cyber: comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate per la gestione del rischio cyber in termini di politiche e strumenti;
  • Definizione delle architetture: disegnare l’architettura per la gestione della sicurezza e monitoraggio delle scelte strutturali;
  • Identificazione delle minacce: essere aggiornati sulle tipologie di minacce e di attacco;
  • Monitoraggio della sicurezza: controllare il traffico sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
  • Risposta agli incidenti: rispondere in tempi brevi in caso di data breach per limitarne gli effetti;
  • Investigazione forense: condurre indagini forensi in caso di data breach, collaborando con risorse interne o specialisti esterni.

Affinché lo svolgimento delle attività da parte del CISO possa contribuire agli obiettivi aziendali, occorre individuare un mix adeguato delle responsabilità sopracitate.

 

Diventare CISO: le 10 competenze fondamentali

Oltre alle competenze tecnologiche in ambito informatico e alla profonda conoscenza dell’attività di business, il CISO deve possedere numerose soft skills. Di seguito un elenco delle principali caratteristiche di questa figura al centro della Cyber Security.

  • Leadership: saper interagire con il consiglio di amministrazione in modo da influenzarne le decisioni, al fine di crescere a livello di posizionamento organizzativo grazie ad una leadership forte;
  • Pensiero strategico: generare e implementare idee innovative e in linea con gli obiettivi aziendali;
  • Comunicazione: saper comunicare le scelte per la gestione del rischio e spiegare le soluzioni tecnologiche adottate;
  • Team building: capacità di costruire un team di specialisti in cyber security e di stabilire relazioni con gli executive e i decision maker principali dell’azienda;
  • Problem solving: prendere decisioni in tempi rapidi, valutando le possibili conseguenze nel lungo termine;
  • Gestione delle crisi: gestire le situazioni critiche e la relativa comunicazione;
  • Competenze tecnologiche: conoscenza di minacce, vulnerabilità, rischi e sistemi per la protezione della sicurezza;
  • Comprensione del rischio: capacità di comprendere i potenziali rischi, legata alla capacità previsionale di scenari futuri;
  • Approccio data-driven: gestire, analizzare e utilizzare i dati a supporto delle decisioni;
  • Comprensione delle regolamentazioni: per raccogliere e trattare i dati online occorre conoscere le regolamentazioni in vigore nei diversi Paesi e le relative implicazioni in materia di sicurezza e protezione dei dati.

 

La diffusione del CISO in Italia

Rispetto al DPO, figura anch’essa legata alla gestione della sicurezza informatica, il Chief Information Security Officer è meno diffuso in Italia: solo nel 47% delle grandi imprese questa figura è presente in maniera formalizzata. Nel 12% delle imprese si tratta solo di una figura informale, mentre nel 37% dei casi le mansioni proprie dell'Information Security Officer sono svolte dal CIO (Chief Information Officer) o da altre funzioni.

Questo “ritardo” del contesto italiano è particolarmente evidente se si osservano le aziende in cui è presente il CISO. Infatti, per svolgere adeguatamente il suo compito di gestione della sicurezza dovrebbe riportare direttamente al consiglio d’amministrazione (in modo da porre la security come elemento strategico e possedere autonomia e potere decisionale), ma questo avviene soltanto nell’8% delle aziende. Se invece riportasse direttamente al consiglio, avrebbe minori difficoltà di comunicazione e potrebbe aumentare il commitment sul tema della sicurezza in azienda. Ancora, nel 60% dei casi questa figura fa parte della direzione ICT e fa riferimento al CIO. Nei restanti casi fa parte di altre funzioni, come Legal & Compliance o Risk Management.

Vai al Webinar