Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Quanto è importante la figura del CISO in azienda?

pittogramma Zerouno

GOVERNANCE

Quanto è importante la figura del CISO in azienda?

18 Giu 2015

di redazione TechTarget

Sulla figura del Chief Information Security Officer ci sono opinioni diverse ma anche un po’ di confusione. Il CISO è una figura necessaria in un’organizzazione? Quali sono i problemi che deve affrontare? Che qualità deve avere per affermare le sue capacità e la strategicità del suo ruolo?

Secondogli analisti del Threat Track Security Report, le aziende che impiegano un CISO sono significativamente più coscienti di quali siano le minacce alla sicurezza ma anche più fiduciose delle proprie capacità di difesa contro gli attacchi.

Sulla figura del CISO ci sono opinioni diverse ma anche un po’ di confusione. Che differenza c’è tra un CISO e un direttore della sicurezza informatica o un manager della sicurezza? Il CISO è davvero un ruolo necessario in azienda? Quali sono i problemi che deve affrontare? Che qualità deve avere per affermare la sua importanza?

Che cos’è un CISO e qual è il suo valore professionale

Sembra infatti una questione di terminologie, invece ci sono differenze sostanziali rispetto ai compiti e all’impatto sull’organizzazione. Acronimo di Chief Information Security Officer, il CISO ricopre una posizione quadro, come C-level.  

Pertanto, un CISO ha un ruolo manageriale ed esecutivo di grado superiore. Il CISO si occupa di coordinare le iniziative di sicurezza rispetto ai programmi aziendali e agli obiettivi di business, assicurando che gli asset informativi e le tecnologie siano adeguatamente protetti. Quando si parla di evoluzione del business, infatti, bisogna considerare le nuove istanze portate dal BYOD e dalla pervasività delle soluzioni mobile sempre più presenti in azienda, così come della virtualizzazione e del cloud o, ancora, i temi del big data management associato alla ottimizzazione degli storage e delle SAN o, ancora più a vasto raggio, il potenziamento e la relativa messa in sicurezza del data center.

Si tratta di una figura che non dovrebbe occuparsi della parte più operativa quanto, piuttosto, di una risorsa di profilo consulenziale capace di impostare le linee guida delle policy di sicurezza e controllare che queste siano rispettate.

I ricercatori hanno evidenziato come il 94% dei professionisti della sicurezza non solo affermino di essere ottimisti rispetto alla loro capacità di prevenire violazioni e vulnerabilità, ma anche che nel corso del 2015 la sicurezza continuerà a migliorare. L’atteggiamento positivo è legato all’intenzione di investire in nuove tecnologie di riferimento, il che ha tutte le sue buone motivazioni e, potenzialmente, potrebbe aiutare a finalizzare la posizione del CISO come figura strategica. Tuttavia, l’esperienza mostra che non basta un job title a fare la differenza.

Il CISO ha bisogno di guadagnare la fiducia e la stima di tutta l’azienda, il che può avvenire perseguendo tre obiettivi: 
 

1) L’importanza dell’informazione e della condivisione

In primo luogo, il CISO deve lavorare sulla qualità della relazione e della comunicazione con il resto degli executive che lavorano in azienda. È necessario un coinvolgimento a livello di vision ma anche di informazioni pragmatiche e concrete su rischi e possibili ripercussioni delle minacce sul business. Questo può essere fatto programmando l’elaborazione di un report mensile in cui vengono segnalate in evidenza gli incidenti, gli attacchi e i metodi di protezione sui canali più strategici: infrastrutture Web esterne, network, applicazioni legacy business critical e le esperienze di accesso interne, come le violazioni di accesso e le attività di account privilegiati.

L’obiettivo è quello di informare ed educare gli executive in modo tale che, nell’eventualità che si verifichi un’attacco, essi possano conoscere il protocollo di sicurezza adeguato, gestendo l’incidente con pragmatismo ed efficienza. In questo modo, il CISO evita che gli vengano attribuite colpe e responsabilità che non dipendono da lui, ma dai margini di rischio intrinsechi all’ICT.
 

2) Il valore di una politica sempre aggiornata

Il secondo obiettivo è quello di allineare le iniziative di sicurezza ai programmi aziendali e agli obiettivi di business, garantendo così che le risorse informative e le tecnologie siano adeguatamente protette. Questo implica il fatto che le iniziative di sicurezza siano basate su una gestione strategica del business, accettando un margine di rischio e considerando il TCO (Total Cost of Ownership) degli asset che vanno protetti.

È questa la base fondante di un programma di protezione, estremamente più strategico rispetto a un’attività di mero controllo. Anche questo tipo di informazioni vanno inserite nel rapporto mensile della sicurezza.
 

3) La strategicità di un framework

Il terzo obiettivo è utilizzare un framework consolidato per la sicurezza delle informazioni. Si tratta di un approccio fondamentalmente per progettare un sistema di protezione capace di ridurre rischi e vulnerabilità. In relazione al modello di business, alla compliance e all’instratruttura IT, il framework deve essere configurato ad hoc. Esistono diverse le opzioni tra cui scegliere:  ISO 27001, COBIT e NIST 800-53, ad esempio.

Questo tipo di framework assicura che il programma per la sicurezza sia esaustivo e ben strutturato, includendo una compliance allineata all’azienda.

In conclusione, il ruolo del CISO risulta strategico nel momento in cui riesce a comunicare in modo continuativo le azioni e le attenzioni necessarie a presidiare la business continuity aziendale, mantenendo sempre costante l’allineamento delle policy all’evoluzione aziendale, utilizzando framework per la sicurezza consolidati e ben rodati. Senza una profilazione della carica aziendale così precisa, un direttore della sicurezza informatica o un qualsiasi altro quadro aziendale farà molta fatica a riuscire a ottenere gli stessi risultati.

redazione TechTarget

Articolo 1 di 5