45Gli analisti del Threat Track Security Report già qualche tempo fa scrivevano che le aziende che impiegano un CISO sono significativamente più coscienti di quali siano le minacce alla sicurezza, ma anche più fiduciose delle proprie capacità di difesa contro gli attacchi. Sulla figura del CISO ci sono opinioni diverse ma anche un po’ di confusione. Che differenza c’è tra CIO e CISO o un manager della sicurezza? Il CISO è davvero un ruolo necessario in azienda? Quali sono i problemi che deve affrontare? Come diventare CISO? Che qualità deve avere per affermare la sua importanza?
CISO significato in azienda e suo valore professionale
Una premessa è d’obbligo, bisogna sottolineare che nei risultati dell’Osservatorio Information Security & Privacy 2020 che pur riportano un aumento degli investimenti in sicurezza (pari all’11% anno tra il 2018 e il 2019, per un valore assoluto di revenue riferito a quest’ultimo anno di 1,3 miliardi di euro) si riscontrava ancora una scarsa maturità organizzativa e di gestione. In particolare, si leggeva che nel 40% delle imprese oggetto di osservazione la gestione dell’IT security è ancora affidata a CIO e IT ed è assente il CISO. Tale figura professionale era presente solo nel 27% delle organizzazioni interpellate.
Diffusione in Italia secondo i dati dell’Osservatorio Cybersecutity 2021
La situazione si è evoluta in seguito. Nell’Osservatorio Cybersecurity & Data Protection 2021 si è registrato che nel 41% la responsabilità della cybersecurity è affidata a un CISO, ma nel 38% dei casi non è ancora prevista alcuna comunicazione al Board sull’argomento. Nella maggior parte dei casi i compiti del CISO vengono svolti dal CIO, perdendo però quel tratto distintivo che è il reporting al consiglio di amministrazione dei problemi di security. In Italia il termine CISO, Chief information security officer, viene anche chiamato direttore della sicurezza informatica.
Chi è il CISO
In generale, sembra una questione di terminologie, invece ci sono differenze sostanziali rispetto ai compiti e all’impatto sull’organizzazione. Acronimo di Chief Information Security Officer, il CISO ricopre una posizione quadro, come C-level.
I 3 obiettivi di un CISO
Pertanto, un CISO ha un ruolo manageriale ed esecutivo di grado superiore. Il CISO si occupa di coordinare le iniziative di sicurezza rispetto ai programmi aziendali e agli obiettivi di business, assicurando che gli asset informativi e le tecnologie siano adeguatamente protetti. Quando si parla di evoluzione del business, infatti, bisogna considerare le istanze portate dal BYOD – Bring your own device e dalla pervasività delle soluzioni mobile sempre più presenti in azienda, così come della virtualizzazione e del cloud o, ancora, i temi del big data management associati alla ottimizzazione degli storage e delle SAN o, ancora più a vasto raggio, il potenziamento e la relativa messa in sicurezza del data center.
Si tratta di una figura che non dovrebbe occuparsi della parte più operativa quanto, piuttosto, di una risorsa di profilo consulenziale capace di impostare le linee guida delle policy di sicurezza e controllare che queste siano rispettate. Tuttavia, l’esperienza mostra che non basta un job title a fare la differenza.
Il CISO ha bisogno di guadagnare la fiducia e la stima di tutta l’azienda, il che può avvenire perseguendo tre obiettivi:
- L’importanza dell’informazione e della condivisione. In primo luogo, il CISO deve lavorare sulla qualità della relazione e della comunicazione con il resto degli executive aziendali. È necessario un coinvolgimento a livello di vision ma anche di informazioni pragmatiche e concrete su rischi e possibili ripercussioni delle minacce sul business. Questo può essere fatto programmando l’elaborazione di un report mensile in cui vengono segnalate in evidenza gli incidenti, gli attacchi e i metodi di protezione sui canali più strategici: infrastrutture Web esterne, network, applicazioni legacy business critical e le esperienze di accesso interne, come le violazioni di accesso e le attività di account privilegiati. L’obiettivo è quello di informare ed educare gli executive in modo tale che, nell’eventualità che si verifichi un’attacco, essi possano conoscere il protocollo di sicurezza adeguato, gestendo l’incidente con pragmatismo ed efficienza. In questo modo, il CISO evita che gli vengano attribuite colpe e responsabilità che non dipendono da lui, ma dai margini di rischio intrinsechi all’ICT.
- Il valore di una politica sempre aggiornata Il secondo obiettivo è quello di allineare le iniziative di sicurezza ai programmi aziendali e agli obiettivi di business, garantendo così che le risorse informative e le tecnologie siano adeguatamente protette. Questo implica il fatto che le iniziative di sicurezza siano basate su una gestione strategica del business, accettando un margine di rischio e considerando il TCO (Total Cost of Ownership) degli asset che vanno protetti. È questa la base fondante di un programma di protezione, estremamente più strategico rispetto a un’attività di mero controllo. Anche questo tipo di informazioni vanno inserite nel rapporto mensile della sicurezza.
- La strategicità di un framework. Il terzo obiettivo è utilizzare un framework consolidato per la sicurezza delle informazioni. Si tratta di un approccio fondamentalmente per progettare un sistema di protezione capace di ridurre rischi e vulnerabilità. In relazione al modello di business, alla compliance e all’instratruttura IT, il framework deve essere configurato ad hoc. Esistono diverse le opzioni tra cui scegliere: ISO 27001, COBIT e NIST 800-53, per esempio. Questo tipo di framework assicura che il programma per la sicurezza sia esaustivo e ben strutturato, includendo una compliance allineata all’azienda.
Chief information security officer cosa fa?
Il Chief information security officer si deve occupare di definire una strategia di sicurezza informatica, di realizzare programmi di protezione e di progettare e far rispettare procedure per mitigare i rischi informatici.
Questa figura, solitamente come abbiamo visto inquadrata a livello dirigenziale, risulta strategica se riesce a comunicare in modo continuativo le azioni e le attenzioni necessarie a presidiare la business continuity aziendale, deve avere una contatto diretto con alti dirigenti in azienda mantenendo un allineamento costante oltre ad avere la visibilità necessaria per la gestione esecutiva di tutte le problematiche che riguardano la sicurezza delle informazioni. Senza una profilazione della carica aziendale così precisa, un direttore della sicurezza informatica o un qualsiasi altro quadro aziendale farà molta fatica a riuscire a ottenere gli stessi risultati. E le chiavi per rendere un CISO un ruolo fondamentale in azienda sono 3: l’indipendenza, la responsabilizzazione e la posizione.
“Il Chief Information Security Officer si scopre responsabile oltre che del Rischio Sicurezza (Security), in una It con problemi in fondo solo difensivi, anche di un Rischio Protezione (Safety) e Qualità di esecuzione, in una Operational technology e in un’Internet of Things strettamente connesse con le app aziendali” dichiarava qualche tempo Peter Sondergaard Senior Vp e Head of Research, Gartner.
Con l’affermarsi del digital business sempre più basato sugli smart object, sulle reti che vedono protagoniste le cose, sull’intelligenza artificiale, sui social network aumentano i rischi, più che altro si entra in una fase dove vi sono rischi nuovi inclusi quelli etici.
È importante ricordare che a oggi il principale anello debole della gestione della catena di sicurezza è il fattore umano: secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano 2018, la distrazione e la scarsa consapevolezza dei dipendenti rappresentano le criticità prevalenti per l’82% delle aziende. Fondamentale è quindi che siano sensibilizzati dipendenti e collaboratori su questi temi.
Come ricordato da Giorgia Dragoni, Ricercatrice Senior dell’Osservatorio in questo video, a oggi l’80% negli scorsi 12 mesi ha introdotto un piano strategico in questo senso.
Il valore del CISO in quanto responsabile della cyber security risulta dunque quello di avere un approccio risk based, ossia capace di capire quanti soldi l’azienda dovrà investire nella sicurezza, sia di formazione del personale.
L’approccio basato sulla compliance alle normative non è dunque in generale sufficiente, secondo gli uomini di Gartner serve una mentalità business per garantire la sicurezza e competenze di varia natura incluse capacità di leadership oltre che legali e di business risk management.
CISO e GDPR
Il ruolo del CISO riguarda anche tutti gli aspetti relativi alla protezione di privacy e dati sensibili. A questo proposito, nel GDPR – General data protection regulation è fissato l’obbligo della presenza in molteplici tipologie di aziende del DPO – Data protection officer, quest’ultimo deve collaborare proprio con gli altri responsabili della sicurezza IT (a partire ovviamente quindi dal CISO) per portare a termine le proprie attività che implicano la protezione delle infrastrutture e, in generale, degli asset aziendali.
Diventare chief information security officer, ecco come fare e quali competenze avere
Il CISO deve naturalmente avere le competenze tecniche relative alla sicurezza informatica, a ciò si può aggiungere una certificazione specifica quale la CCISO rilasciata dall’istituto statunitense EC-Council. Per esempio, i professionisti che otterranno tale certificazione potranno contare sulle competenze nei seguenti ambiti: Governance; IS Management Controls and Auditing Management; Management – Projects and Operations; Information Security Core Competencies; Strategic Planning & Finance.
Tutto ciò significa che le competenze del CISO devono spaziare dalla definizione e implementazione di un programma di governance e controllo della sicurezza delle informazioni per la propria azienda, all’identificazione dei processi operativi per sapere quale possa essere il livello di tolleranza al rischio, alla definizione delle attività da svolgere e a quali risorse assegnarle sino alla capacità di monitorare la spesa per i progetti di sicurezza e il relativo ROI- Return on investment.
CISO e stipendio, quanto viene pagata questa figura professionale in Italia e nel mondo?
Sono naturalmente tantissime le variabili che incidono sullo stipendio del CISO e, in generale, di un ruolo professionale a prescindere dalle competenze specifiche e dall’anzianità.
La busta paga dipende dalle dimensioni aziendali e dal settore di business, dall’area in cui le organizzazioni (o le varie filiali) operano e così via.
Sul portale statunitense PayScale qualche mese fa si leggeva che il salario medio di un Chief information security officer è pari a quasi 160mila dollari all’anno, lo stesso portale indica che in Italia lo stipendio del CISO non arriva ai 100mila, una cifra comunque importante da raggiungere.
Una ricerca di Modis (società del gruppo Adecco) del 2020, sottolineava che in ogni caso gli esperti di sicurezza sono i più pagati in ambito ICT, ma parlava nello specifico di una media dello stipendio del CISO di circa 60mila euro l’anno (pur ricordando che in aziende straniere di grandi dimensioni si può arrivare ai 200mila).
