Professione CISO: chi è e cosa fa un Responsabile della Sicurezza 2.0

Ultimo aggiornamento / Di Giorgia Dragoni / 0 Comments

Una volta si parlava di Responsabile della sicurezza o Security Manager. Oggi, con le minacce legate allo sviluppo delle tecnologie digitali, le competenze legate alla gestione della sicurezza informatica evolvono, portando alla ribalta nuovi ruoli e nuove figure sempre più specializzate. Nasce così il CISO, all'anagrafe Chief Information Security Officer, un profilo professionale sempre più consolidato che, grazie a profonde competenze tecniche e relazionali, è in grado di assumere il ruolo di Responsabile della sicurezza informatica, e non solo. Attraverso la ricerca dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, in quest'articolo approfondiremo il ruolo del nuovo Security Officer: chi è, cosa fa e, soprattutto, quali skills sono necessarie per diventare CISO?

Chi è e cosa fa il CISO?

Nella prassi il CISO è la figura responsabile dell’information security in azienda. Si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.

I compiti del responsabile della sicurezza informatica (CISO) possono variare a seconda del settore in cui opera e della sua posizione all’interno dell’organizzazione. Il Chief Information Security Officer è una figura estremamente poliedrica, dato che è in grado di comprendere gli aspetti tecnici relativi alla sicurezza ma possiede anche competenze manageriali e comunicative. Tra le principali aree di competenze e responsabilità di un Chief Information Security Officer si trovano le seguenti.

  • Assessment della sicurezza: valutare lo stato dell’arte della sicurezza in azienda e individuare un piano strategico per aumentare la capacità di reagire alle cyber minacce;
  • Definizione delle policy: definire regole e standard per la gestione della sicurezza;
  • Analisi del rischio cyber: comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate alla gestione del rischio cyber in termini di politiche e strumenti;
  • Definizione delle architetture: disegnare l’architettura per la gestione della sicurezza e monitoraggio delle scelte strutturali;
  • Identificazione delle minacce: essere aggiornati sulle tipologie di minacce e di attacco;
  • Monitoraggio della sicurezza: controllare il traffico sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
  • Risposta agli incidenti: rispondere in tempi brevi in caso di data breach per limitarne gli effetti;
  • Investigazione forense: il Chief Information Security Officer deve condurre indagini forensi in caso di data breach, collaborando con risorse interne o specialisti esterni.

Affinché lo svolgimento delle attività da parte del Chief Information Security Officer possa contribuire agli obiettivi aziendali, occorre individuare un mix adeguato delle responsabilità sopracitate.

Diventare CISO: le 10 competenze fondamentali

Oltre alle competenze tecnologiche in ambito informatico e alla profonda conoscenza dell’attività di business, il CISO deve possedere numerose soft skills. Di seguito un elenco delle principali caratteristiche di questa figura al centro della Cyber Security.

  • Leadership: saper interagire con il consiglio di amministrazione in modo da influenzarne le decisioni, al fine di crescere a livello di posizionamento organizzativo grazie ad una leadership forte;
  • Pensiero strategico: generare e implementare idee innovative e in linea con gli obiettivi aziendali;
  • Comunicazione: saper comunicare le scelte per la gestione del rischio e spiegare le soluzioni tecnologiche adottate;
  • Team building: capacità di costruire un team di specialisti in cyber security e di stabilire relazioni con gli executive e i decision maker principali dell’azienda;
  • Problem solving: prendere decisioni in tempi rapidi, valutando le possibili conseguenze nel lungo termine;
  • Gestione delle crisi: gestire le situazioni critiche e la relativa comunicazione;
  • Competenze tecnologiche: conoscenza di minacce, vulnerabilità, rischi e sistemi per la protezione della sicurezza;
  • Comprensione del rischio: capacità di comprendere i potenziali rischi, legata alla capacità previsionale di scenari futuri;
  • Approccio data-driven: gestire, analizzare e utilizzare i dati a supporto delle decisioni;
  • Comprensione delle regolamentazioni: per raccogliere e trattare i dati online occorre conoscere le regolamentazioni in vigore nei diversi Paesi e le relative implicazioni in materia di sicurezza e protezione dei dati.

La diffusione del CISO in Italia

Rispetto al DPO, figura anch’essa legata alla gestione della sicurezza informatica, la diffusione del Chief Information Security Officer in Italia aumenta gradualmente di anno in anno. Nel 2022, la presenza di un Chief Information Security Officer formalizzato è incrementata di sette punti percentuali rispetto all’anno precedente (53% rispetto al 46% del 2021).

Nel 16% dei casi il responsabile della sicurezza delle informazioni è posizionato fuori dalla funzione IT, mentre nel restante 37% all’interno della stessa. Quest’avanzamento del Chief Information Security Officer è dimostrato dal calare della responsabilità sulla sicurezza informatica da parte del CIO (Chief Information Officer) diminuito di 6 punti percentuali dal 25% al 19%. Rimane invariata la quota di aziende che predilige affidare la gestione dalla sicurezza al CSO (acronimo di Chief Security Officer) o Security Manager (13%).

La presenza del Chief Information Security Officer, considerata ormai fondamentale nelle grandi organizzazioni, non è però un elemento sufficiente: per garantire una gestione strategica della cybersecurity è, infatti, necessario che il tema venga portato all'attenzione del board. Nelle grandi aziende si rileva una crescente sensibilità dei vertici nei confronti della materia: nella maggior parte delle organizzazioni analizzate, il Top Management indirizza le decisioni relative alla sicurezza informatica, richiedendo periodicamente una relazione a riguardo (55%), mentre in un ulteriore 32% si limita ad avere una conoscenza in proposito, ma senza partecipare al processo decisionale. Solamente l'1% del campione dichiara che il board non ritiene la cybersecurity un argomento prioritario, mentre il 12% si sta progressivamente avvicinando al tema.

Vuoi comprendere come migliorare la sicurezza informatica in azienda?

Scopri il Programma

  • Autore

Direttore dell'Osservatorio Digital Identity e Ricercatrice dell'Osservatorio Cyber Security & Data Protection