CISO: Chief Information Security Officer.
1 Dicembre 2022
0
0
Una volta si parlava di Responsabile della sicurezza o Security Manager. Oggi, con le minacce legate allo sviluppo delle tecnologie digitali, le competenze legate alla gestione della sicurezza informatica evolvono, portando alla ribalta nuovi ruoli e nuove figure sempre più specializzate.
Il CISO, all’anagrafe Chief Information Security Officer, un profilo professionale sempre più consolidato che, grazie a profonde competenze tecniche e relazionali, è in grado di assumere il ruolo di Responsabile della sicurezza informatica, e non solo. In quest’articolo approfondiremo il ruolo del nuovo Security Officer: chi è, cosa fa e, soprattutto, quali skills sono necessare per diventare CISO?
Chi è e cosa fa il CISO?
Nella prassi il CISO è la figura responsabile dell’information security in azienda. Si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.
I compiti del Chief Information Security Officer possono variare a seconda del settore in cui opera e della sua posizione all’interno dell’organizzazione. Si tratta di una figura estremamente poliedrica, dato che è in grado di comprendere gli aspetti tecnici relativi alla sicurezza ma possiede anche competenze manageriali e comunicative. Tra le principali aree di competenze e responsabilità di questa figura si trovano le seguenti.
- Assessment della sicurezza: valutare lo stato dell’arte della sicurezza in azienda e individuare un piano strategico per aumentare la capacità di reagire alle cyber minacce;
- Definizione delle policy: definire regole e standard per la gestione della sicurezza;
- Analisi del rischio cyber: comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate per la gestione del rischio cyber in termini di politiche e strumenti;
- Definizione delle architetture: disegnare l’architettura per la gestione della sicurezza e monitoraggio delle scelte strutturali;
- Identificazione delle minacce: essere aggiornati sulle tipologie di minacce e di attacco;
- Monitoraggio della sicurezza: controllare il traffico sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
- Risposta agli incidenti: rispondere in tempi brevi in caso di data breach per limitarne gli effetti;
- Investigazione forense: condurre indagini forensi in caso di data breach, collaborando con risorse interne o specialisti esterni.
Affinché lo svolgimento delle attività da parte del CISO possa contribuire agli obiettivi aziendali, occorre individuare un mix adeguato delle responsabilità sopracitate.
Diventare CISO: le 10 competenze fondamentali
Oltre alle competenze tecnologiche in ambito informatico e alla profonda conoscenza dell’attività di business, il CISO deve possedere numerose soft skills. Di seguito un elenco delle principali caratteristiche di questa figura al centro della Cyber Security.
- Leadership: saper interagire con il consiglio di amministrazione in modo da influenzarne le decisioni, al fine di crescere a livello di posizionamento organizzativo grazie ad una leadership forte;
- Pensiero strategico: generare e implementare idee innovative e in linea con gli obiettivi aziendali;
- Comunicazione: saper comunicare le scelte per la gestione del rischio e spiegare le soluzioni tecnologiche adottate;
- Team building: capacità di costruire un team di specialisti in cyber security e di stabilire relazioni con gli executive e i decision maker principali dell’azienda;
- Problem solving: prendere decisioni in tempi rapidi, valutando le possibili conseguenze nel lungo termine;
- Gestione delle crisi: gestire le situazioni critiche e la relativa comunicazione;
- Competenze tecnologiche: conoscenza di minacce, vulnerabilità, rischi e sistemi per la protezione della sicurezza;
- Comprensione del rischio: capacità di comprendere i potenziali rischi, legata alla capacità previsionale di scenari futuri;
- Approccio data-driven: gestire, analizzare e utilizzare i dati a supporto delle decisioni;
- Comprensione delle regolamentazioni: per raccogliere e trattare i dati online occorre conoscere le regolamentazioni in vigore nei diversi Paesi e le relative implicazioni in materia di sicurezza e protezione dei dati.
La diffusione del CISO in Italia
Rispetto al DPO, figura anch’essa legata alla gestione della sicurezza informatica, il Chief Information Security Officer è meno diffuso in Italia: solo nel 41% delle grandi imprese questa figura è presente in maniera formalizzata. Nella maggior parte dei casi le mansioni proprie dell’Information Security Officer sono svolte dal CIO (Chief Information Officer) o da altre funzioni.
Questo “ritardo” del contesto italiano è particolarmente evidente se si osservano le aziende in cui è presente il CISO. Infatti, per svolgere adeguatamente il suo compito di gestione della sicurezza dovrebbe riportare direttamente al consiglio d’amministrazione (in modo da porre la security come elemento strategico e possedere autonomia e potere decisionale), ma questo avviene soltanto nell’8% delle aziende. Se invece riportasse direttamente al consiglio, avrebbe minori difficoltà di comunicazione e potrebbe aumentare il commitment sul tema della sicurezza in azienda. Ancora, nel 60% dei casi questa figura fa parte della direzione ICT e fa riferimento al CIO. Nei restanti casi fa parte di altre funzioni, come Legal & Compliance o Risk Management.
