CISO: figura fondamentale nell’organigramma aziendale
Il CISO, acronimo di Chief Information Security Officer, è un security manager che negli ultimi anni sta emergendo, seppur lentamente, quale soggetto chiave deputato alla sicurezza delle informazioni e degli asset aziendali.
In DEFENSIS abbiamo il privilegio di lavorare con alcuni dei migliori CEO, CIO, CISO, CSO, Direttori Audit, legal e HR d’Italia. Se stai cercando un CISO in outsourcing o vuoi supporto in ambito cyber e corporate security contattaci senza impegno.
Secondo alcuni studi di settore, la figura del CISO è formalizzata soltanto nel 46% delle aziende italiane, nel 12% colui che riveste tale ruolo non è stato formalmente incaricato, mentre nel 37% dei casi le mansioni proprie dell'Information Security Officer sono svolte dal CIO, ossia il Chief Information Officer.
Il dato più preoccupante è un altro: Nove volte su dieci in Italia la security non viene vista come un elemento centrale ed imprescindibile dell’azienda, al punto che la suddetta figura non riporta direttamente al CdA finendo, nel peggiore dei casi, per essere uno dei dirigenti dell’area Legal & Compliance.
In ogni caso il CISO è un security manager con competenze eterogenee: tecniche, tecnologiche, organizzative e di coordinamento. Un soggetto che possiede un insieme di skills fondamentali al giorno d’oggi in cui le imprese concentrano il loro core business su internet.
Si tratta di una figura che si occupa di definire quale sia la visione strategica della società, di implementare programmi per la sicurezza degli asset informativi e di definire best practice per limitare il più possibile i rischi legati all’adozione delle tecnologie digitali.
Essendo una figura quanto mai poliedrica, le sue competenze sono trasversali, occupando un ruolo che risulta essere al contempo sia tecnico che manageriale-esecutivo, dovendosi rapportare da un lato con il Consiglio di Amministrazione, dall’altro con il CIO, spesso posto in posizione a lui sovraordinata.
Un buon CISO, come detto, ha una formazione completa che gli permette una conoscenza a 360 gradi della realtà in cui opera così da prevenire i rischi – si sa che il rischio zero non esiste, e chi sostiene di averlo raggiunto è un mero sognatore, ma questo può senza dubbio esser mitigato – e adoperarsi prontamente in caso di incidenti, su tutti il temibile data breach che rappresenta per qualunque realtà un danno non solo diretto – legato alla perdita dei dati e, frequentemente, al loro recupero previo pagamento di un riscatto – ma anche e soprattutto per via degli ingenti danni di immagine e da disservizio.
I principali compiti del CISO
Tra i principali compiti del CISO troviamo:
- Assessment della sicurezza: valutare lo stato dell’arte della sicurezza per poi andare ad individuare, in coordinamento con la struttura IT della società, un working plan che permetta di aumentare la capacità di reagire alle minacce cibernetiche tenendo conto dell’analisi costi/benefici;
- Definizione delle architetture aziendali: disegnare l’architettura di gestione e di monitoraggio della sicurezza delle informazioni secondo una logica by design;
- Definizione delle policy: definire regole e standard per la gestione della sicurezza fisica e di quella logica;
- Predisposizione di una funzione compliance aziendale: monitoraggio e verifica dell’efficienza e dell’effettività delle norme di etero regolamentazione ed autoregolamentazione, sì da prevenire possibili violazioni ed incidenti;
- Analisi del rischio cyber: comprendere le potenziali vulnerabilità delle reti e le minacce ai sistemi, così da poter compiere scelte adeguate per la gestione del rischio cyber in termini di politiche e strumenti, compatibilmente con RoI;
- Identificazione delle minacce: aggiornarsi quotidianamente sulle tipologie di minacce e di attacco, sia fisiche che virtuali, tanto su larga scala quanto “customizzate”;
- Monitoraggio della sicurezza: controllare il traffico sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno per analizzare i flussi di traffico, eventuali picchi e altre anomalie;
- Risposta agli incidenti: rispondere in tempi brevi in caso di data breach così da andare a limitarne gli effetti;
- Investigazione forense: coordinare indagini informatiche in caso di data breach, collaborando con risorse dell’area ICT e dell’area legale, siano essi soggetti interni o specialisti esterni.
Per fare tutto questo il Responsabile della Sicurezza deve possedere competenze manageriali e di leadership, essere a conoscenza degli standard di sicurezza ISO/IEC in materia di sistemi di gestione della sicurezza delle informazioni, conoscere i processi di audit interno in ambito IT ed essere in grado di porli in essere, gestisce situazioni critiche prendendo in tempi rapidi decisioni ponderando rischi e benefici nel lungo periodo, conosce le regolamentazioni in vigore, su tutti il General Data Protection Regulation e la direttiva NIS.
In definitiva appare necessaria la previsione all’interno dell’organigramma aziendale di una figura responsabile della Security Governance che sia in grado di guidare le attività e le scelte in base alle esigenze e strategie aziendali. Così come avviene in materia di privacy per la designazione del Data Protection Officer, il soggetto che andrà a rivestire tale posizione potrà essere tanto una risorsa dirigenziale interna quanto una figura esterna. Nell’ultimo periodo è emersa la figura del “CISO as a Service”, soprattutto tra le piccole e medie imprese, in grado di garantire elevate competenze e professionalità ma ad un prezzo più contenuto: un modello “pay per use” che permette alla società di dimezzare il relativo costo.