Un Chief Information Security Officer (CISO) è la figura responsabile della sicurezza informatica all’interno di un’organizzazione. Ancora oggi in Italia è una figura poco presente, ma con l’espansione delle nuove tecnologie questa sta andando sempre di più ad espandersi. Cerchiamo di capire come e perché un CISO è così importante all’interno dei contesti aziendali.
Chi è il Chief Information Security Officer (CISO)?
Il CISO è la figura responsabile della sicurezza informatica aziendale, che si occupa di creare ed implementare sistemi per la protezione delle risorse informative e delle reti informatiche, cercando di limitare i rischi connessi.
Si tratta di una figura estremamente versatile, la quale può cambiare volto in base al contesto in cui si trova, per adattarsi a nuove esigenze legate al settore in cui opera.
Competenze e responsabilità di un CISO
Le aree di cui si occupa un CISO sono molteplici, perché l’ambito della sicurezza informatica risulta essere molto variegato.
- Elaborazione di piani strategici: ogni contesto aziendale è variabile, dunque al CISO spetterà trovare un piano strategico idoneo per evitare incidenti informatici e limitarne eventuali danni.
- Creazione della policy: il CISO deve necessariamente istituire regole base per la gestione della sicurezza.
- Monitoraggio: occorre un costante monitoraggio della sicurezza aziendale.
- Identificazione delle cyber-minacce: questa figura dovrà rimanere aggiornate delle potenziali minacce che possono colpire l’azienda, minandone così la sicurezza.
- Risposta agli attacchi: il CISO dovrà essere capace di rispondere nel modo più rapido ed efficace possibile ad attacchi informatici subiti.
- Alfabetizzazione del personale: il suo compito sarà anche quello di tenere aggiornati più possibile i dipendenti, affinché possano riconoscere eventuali minacce e segnalarle qualora ci fosse bisogno.
Requisiti per diventare un Chief Information Security Officer
Per diventare un buon CISO non esiste una strada univoca e ben delineata, in quanto occorrono un insieme di competenze estese e poliedriche.
Competenze necessarie
Principalmente quando parliamo di competenze necessarie per un CISO, parliamo di competenze tecniche, infatti la conoscenza dei sistemi e delle vulnerabilità a cui possono andare incontro è assolutamente necessaria. Tendenzialmente per queste tipologie di conoscenze si tende a focalizzare il proprio percorso di studi, se presente, in corsi e specializzazioni, in particolare che riguardano:
- Gestione dei rischi
- Mitigazione dei rischi
- Progettazione e implementazione di sistemi appositi
- Sicurezza delle informazioni (integrità, disponibilità, confidenzialità)
- Conoscenza delle normative: il CISO deve conoscere quali normative sono in vigore nei vari Paesi per poter operare delle scelte in totale sicurezza e trasparenza, in particolare per quanto riguarda il GDPR in ambito privacy e NIS 2 per gli standard di sicurezza da adottare.
Competenze trasversali
Oltre alle numerose competenze in ambito tecnico-informatico, ci sono altre “soft-skills” che vengono spesso richieste per figure di questo tipo:
- Leadership: parliamo della capacità di coinvolgere i dirigenti aziendali per far loro conoscere i piani strategici e influenzarne le decisioni.
- Buona comunicazione: prima parlavamo dell’alfabetizzazione dei dipendenti, dunque è chiaro come un buon CISO debba necessariamente saper parlare e coinvolgere anche lavoratori che non operano nel proprio campo.
- Lavoro di squadra: difficilmente un CISO si troverà a lavorare in totale solitudine, dovrà anzi fronteggiare moltissimi rapporti umani e quindi le abilità di lavorare e collaborare con un team è assolutamente necessaria.
- Problem solving: capacità di risolvere in tempi rapidi ed in modo efficace numerosi problemi.
- Gestione della crisi: non consideriamo solo la “crisi tecnica” a cui le minacce informatiche portano, ma parliamo anche di “crisi psicologica”. I momenti di pressione e panico devono essere sovrastati da sangue freddo, che deve essere trasmesso anche agli altri componenti della squadra.
Differenze tra CISO, CIO, CSO e DPO
Spesso queste figure vengono associate ad un unico soggetto vista la sovrapposizione delle loro responsabilità e delle mansioni, tuttavia ci sono alcune distinzioni importanti da operare:
CIO (Chief Information Officer)
È il responsabile della strategia IT complessiva dell’organizzazione, comprese l’implementazione e la gestione delle tecnologie e dei sistemi informatici.La confusione tra nasce perché entrambi i ruoli sono legati alla gestione dell’infrastruttura IT. Tuttavia, mentre il CISO si concentra sulla sicurezza delle informazioni, il CIO ha una responsabilità più ampia che include l’efficienza operativa e l’innovazione tecnologica.
CSO (Chief Security Officer)
È il responsabile della sicurezza aziendale in generale, che può includere sia la sicurezza fisica che quella delle informazioni. In alcune organizzazioni, il CSO potrebbe avere responsabilità che comprendono anche la sicurezza informatica, creando sovrapposizioni con il ruolo del CISO. Tuttavia, il CISO è specificamente focalizzato sulla sicurezza delle informazioni e delle tecnologie.
DPO (Data Protection Officer)
È specificamente focalizzato sulla protezione dei dati personali e sulla conformità alle normative sulla privacy. È una figura prevista dal GDPR e da altre normative sulla protezione dei dati. Ha il compito di assicurare che l’organizzazione rispetti le normative sulla protezione dei dati personali. Per altre informazioni più approfondite leggi l’articolo completo su Come si diventa un Data Protection Officer.
La figura del CISO in Italia
Determinare la percentuale di tempo e di lavoro dedicato ai CISO in Italia può variare in base alle specifiche esigenze dell’azienda, alla dimensione dell’organizzazione e al settore in cui opera. Tuttavia possiamo dare un’idea generale, espressa in percentuale, delle macro-aree toccate da queste figure nel nostro Paese:
- Gestione del rischio e valutazione della sicurezza 20-25%
- Valutazione della conformità normativa delle operazioni 15-20%
- Risposta agli incidenti 15-20%
- Sviluppo e implementazione delle politiche di sicurezza 10-15%
- Alfabetizzazione e formazione 10-15%
- Resoconti e comunicazione 5-10%
Possiamo comunque dire che la figura del CISO sta crescendo notevolmente negli ultimi anni anche in Italia, infatti nel 2023 è cresciuta del 5%, passando dal 53% al 58%.
Dobbiamo anche considerare che poco più del 60% dei CISO italiani ha paura di subire un attacco informatico nei successivi 12 mesi. Questa consapevolezza va crescendo rispetto agli scorsi anni, vediamo infatti il 49% del 2023 e il 46% del 2022. Sebbene questo timore, solo il 49% di loro, ritiene che la propria azienda sia effettivamente impreparata a far fronte a un cyber-attacco, rispetto al 52% del 2023 e al 42% del 2022.
Dunque, nonostante aumentino le paure che le nuove tecnologie portano con sé, aumentano anche le consapevolezze dei propri mezzi e delle proprie capacità di risoluzione ai problemi.