Il CISO, Il Guardiano della Sicurezza Informatica in azienda

Cybersecurity

I dati, siano essi sensibili, bancari o di qualsiasi altra natura, rappresentano il cuore di ogni organizzazione. Ma cosa accadrebbe se venissero rubati o manipolati? Se qualcuno riuscisse a infiltrarsi nella vostra organizzazione, manomettere o bloccare la produzione? E se vi estorcessero informazioni essenziali, dati sensibili o bancari per sottrarre denaro?

Nessuno vorrebbe mai trovarsi in una situazione del genere, ma è possibile prevenire questi rischi con una solida strategia di cybersicurezza. E dietro ogni strategia, c’è chi la guida. In questo contesto, emerge una figura essenziale: il Chief Information Security Officer (CISO). Questo ruolo è cruciale per proteggere le infrastrutture IT e i dati aziendali, diventando sempre più rilevante e discusso.

Uno studio del Politecnico di Milano su un campione di 110 grandi organizzazioni in Italia evidenzia che il 58% di queste hanno introdotto formalmente la figura del CISO e che l’81% ha un piano strutturato di sviluppo Cyber*

Ma chi è questo professionista e quali sono le sue funzioni? Scopriamolo insieme.

In passato si parlava di Responsabile della sicurezza o Security Manager. Tuttavia, con l’avanzare delle tecnologie digitali e con l’aumento delle minacce informatiche, le competenze richieste per gestire la sicurezza si sono notevolmente evolute. Questo ha portato all’emergere di ruoli sempre più specializzati. Tra questi, spicca il CISO, ovvero il Chief Information Security Officer. Questo profilo professionale, ormai ben consolidato, combina competenze tecniche e relazionali, diventando una figura fondamentale che ogni azienda strutturata dovrebbe avere. Sia che il CISO operi all’interno dell’azienda o come consulente esterno, la sua presenza è ormai imprescindibile.

La sua missione è quella di coordinare il team di sicurezza al fine di salvaguardare e proteggere le infrastrutture IT e i dati aziendali da possibili attacchi e minacce cyber, al fine di promuovere una cultura della sicurezza all’interno dell’organizzazione, garantendo che tutti gli utenti dell’organizzazione stessa siano consapevoli dei rischi e seguano le politiche di sicurezza.

Il CISO deve essere sempre un passo avanti, anticipando le sfide e preparando risposte adeguate agli attacchi e alle minacce emergenti. Questo ruolo è in continua evoluzione e richiede un mix di conoscenze approfondite e capacità di leadership per mantenere l’organizzazione al sicuro. Non si tratta solo di competenze IT. Possiamo immaginare il CISO come una sorta di supereroe, impegnato nella lotta contro i cybercriminali per proteggere i dati e l’intera azienda.

Come si inserisce il CISO all’interno di un’organizzazione?

È un operatore solitario o interagisce con diverse figure aziendali? Con chi collabora e chi sono i suoi interlocutori? Cerchiamo di rispondere a queste domande

Questa figura potrebbe potenzialmente collaborare con tutte le funzioni all’interno dell’organizzazione, mixando tecnologia, gestione dei rischi operativi, fornitori ed esigenze normative per la sicurezza dell’ambiente operativo.

Non è più solo un tecnico, ma un vero e proprio manager. Questa figura ora si concentra non solo sulla sicurezza interna, ma anche sulla gestione di una vasta rete di interlocutori, siano essi interni o esterni, agendo come una sorta di consulente e mediatore.

Il CISO deve essere in grado di comunicare efficacemente con una varietà di stakeholder, traducendo le complesse esigenze della sicurezza informatica in strategie aziendali chiare, attuabili e protette. Per realizzare questa trasformazione, sono necessarie non solo competenze tecniche avanzate, ma anche possesso di leadership e comprensione delle dinamiche aziendali, unite alla capacità di gestione del rischio informatico. Inoltre, è fondamentale possedere eccellenti capacità comunicative per garantire una corretta circolazione delle informazioni, essenziali per la presa delle decisioni strategiche che spesso richiedono la sua consulenza.

In sintesi, il CISO è oggi un manager dalle molteplici funzioni, che svolge un ruolo essenziale nella protezione delle risorse digitali dell’azienda, assicurandosi allo stesso tempo che la sicurezza sia ben insita in tutte le operazioni aziendali.

Competenze Trasversali e Collaborazione Strategica nell’Azienda

Il suo ruolo multifunzionale e multi-interlocutore si traduce in una vasta gamma di competenze e responsabilità. Oltre alle competenze tecniche, deve avere una conoscenza approfondita degli aspetti normativi che delimitano il suo campo d’azione. È fondamentale che comprenda il rischio, il mercato, i fornitori e i contratti. Deve sapere cosa è sostenibile per l’azienda e ciò che la distingue dai concorrenti. Vediamo più nel dettaglio.

Il CISO collabora strettamente con il CIO per garantire la sicurezza degli applicativi e dei servizi in utilizzo dall’azienda. Ove presente un Innovation Manager, collabora con questa figura per creare sinergie tra progetti, piattaforme e tecnologie, portando valore sia internamente che esternamente. Inoltre, coopera con il Risk Manager per valutare i rischi cyber e offrire consulenze specializzate sulle specifiche tematiche. Mantiene stretti rapporti con l’Ufficio Amministrativo per fornire consulenza sulla strategia di investimenti, supportando in tal senso le decisioni più aziendali e strategiche

Inoltre collabora strettamente con l’ufficio HR che, gestendo l’ingresso e l’uscita del personale, necessita della sua consulenza per l’abilitazione e della disabilitazione degli account aziendali, per prendere decisioni riguardo lo smart working, compresa la definizione delle policy per l’uso corretto dei dispositivi aziendali, per la pianificazione e gestione dei costi di formazione per sensibilizzare il personale sulla sicurezza informatica. In tutte queste decisioni, il contributo del CISO è cruciale, poiché coinvolge l’uso dei dispositivi, l’identificazione di rischi e minacce cyber, e la gestione dei relativi costi.

Un Ruolo Centrale nella Valutazione dei Rischi e nella Collaborazione Aziendale

Affrontiamo poi il tema cruciale della privacy e della sicurezza. Anche se i DPO e i Privacy Manager possiedono competenze normative molto specializzate, spetta al CISO valutare i rischi associati all’uso di diverse soluzioni tecnologiche. Questo include la valutazione di strumenti per il tracciamento dei dati o per la profilazione degli utenti per esempio. Il CISO deve garantire che queste valutazioni siano in linea con la Compliance Interna, la quale valuta l’adempimento degli obblighi aziendali e l’implementazione delle misure necessarie, sia internamente che esternamente.

Arriviamo poi all’Ufficio Acquisti e alla collaborazione che il CISO ha con questo. Nel percorso di valutazione di un fornitore infatti, è fondamentale la presenza del CISO per il monitoraggio e la valutazione delle performance di sicurezza del fornitore stesso.

Queste sono solo alcune delle possibili relazioni che il CISO può avere con le diverse funzioni aziendali. Non si tratta di un elenco completo né di un modello applicabile a tutte le imprese o organizzazioni. Ad esempio, nel contesto OT o nell’ufficio di Ricerca e Sviluppo, specialmente quando si tratta di prodotti interconnessi con altri dispositivi e quindi vulnerabili a minacce cyber, le interazioni possono variare significativamente.

Quindi, tutte le aziende dovrebbero avere un CISO interno?

La risposta è già stata accennata all’inizio dell’articolo. La figura del CISO non è necessaria solo per le grandi imprese; anche le piccole e medie aziende sono ampiamente vulnerabili alle minacce e ai rischi cyber. Tuttavia, non è indispensabile che questa figura sia interna all’azienda.

Per le piccole imprese, l’assunzione di un CISO interno potrebbe infatti essere onerosa sia in termini di costi che di impegno organizzativo. Per questo motivo, molte aziende potrebbero optare per un CISO esterno, superando questi ostacoli e ottenendo il massimo beneficio dai servizi offerti.
Quali sono i vantaggi di esternalizzare questa figura?
Sicuramente come abbiamo già anticipato, l’ottimizzazione dei costi, soprattutto per le piccole e medie imprese, rendendo accessibile a tutti un servizio sempre più imprescindibile. Una figura esterna è spesso parte di una società di consulenza, la quale è dedicata full time alle tematiche cyber. Un CISO esterno è un professionista che interagisce quotidianamente con il mercato, mantenendosi sempre aggiornato sui cambiamenti normativi. Questo consente all’azienda che beneficerà dei servizi di rimanere conforme alle leggi e alle disposizioni vigenti, assicurando un adeguamento costante alle nuove normative e di disporre e attuare una strategia di cybersicurezza in linea con l’organizzazione e le necessità dell’azienda stessa.

In sintesi, considerando le crescenti difficoltà e la necessità di un ambiente sempre più sicuro, il ruolo del CISO non dovrebbe più essere visto come un’opzione, ma come una necessità per qualsiasi impresa. La presenza di un CISO è fondamentale per garantire una sicurezza informatica adeguata alle minacce sempre più gravi ed emergenti.

*Fonte: Osservatorio Politecnico di Milano – webinar 13-03-2024 “Il mercato della cybersecurity e le dinamiche dell’offerta”