Da poco ho avuto l’onore di partecipare all’Open Lesson dell’Executive Master in Cybersecurity e Data Protection organizzato da 24ORE Business School, dove abbiamo approfondito la figura del Chief Information Security Officer (CISO).

In uno scenario in cui i cyber attacchi e le minacce informatiche sono in continuo agguato, è imperativo che le aziende siano preparate a gestire e mitigare questi rischi nel rispetto delle esigenze di budget e degli obiettivi di business.

In questo contesto si inserisce il ruolo del CISO, ovvero la figura responsabile dell’impostazione e della gestione della postura di Cyber Security aziendale.

Tra i suoi compiti la definizione delle strategie a lungo e breve periodo, delle best practices, la verifica e la messa in atto di processi per mitigare i rischi del cyber spazio, la diffusione della cultura della cyber security in azienda.

Quello del CISO è un ruolo tanto strategico quanto ancora poco diffuso e solo ora sta iniziando ad ottenere l’attenzione che merita.

Risulta molto importante però che rispetti alcune caratteristiche:

1. IL CISO NON È UN TECNICO
   
   Sebbene spesso confuso con una figura tecnica, il CISO non può limitarsi solo a questo aspetto.
   
   Pur comprendendo le dinamiche e la complessità del mondo cyber, questo ruolo deve infatti essere svolto principalmente da un manager, in grado di comprendere le esigenze aziendali e dialogare con il management.
   
   Una sorta di figura ibrida in grado di mettere in comunicazione e comprendere entrambi i mondi, quello tecnico e quello del business, per trovare le soluzioni più adeguate a garantire la protezione e la disponibilità dei dati e degli asset aziendali.



2. IL CISO DEVE RIPORTARE AL BOARD
   
   Perché questa figura sia efficace è però necessario che il suo collocamento nell’organigramma sia corretto.
   
   Speso infatti, quando presente, il CISO viene inserito alle dipendenze di altre figure C-level come il CIO (Chief Information Officer) o il CTO (Chief Technology Officer).
   
   Questo dipende dal fatto che tuttora la Cyber Security viene vista come un sotto-insieme del mondo IT, ma è bene sottolineare che questa concezione è sbagliata e limitante.
   
   Lo scopo della Cyber Security non può infatti limitarsi alla sola protezione dei dati informatici, ma bensì è quello di proteggere tutti gli asset importanti per aziende, istituzioni e cittadini.
   
   Nel caso di apparati medicali connessi in rete ed auto elettriche, ad esempio, questi asset comprendono anche le vite umane.
   
   È quindi importante valutare la Cyber Security come una materia a sé e fare in modo che il CISO possa riportare direttamente al Board aziendale per mantenere l’autonomia e il potere decisionale di cui necessita per operare.



3. IL CISO POTREBBE ESSERE DISPONIBILE IN MODALITÀ “AS A SERVICE”
   
   La figura del CISO sarebbe utile in ogni realtà aziendale.
   
   Ma è più facile trovare questo ruolo nelle grandi aziende, nelle piccole e medie aziende le cose invece si complicano.
   
   Spesso le PMI non hanno fondi a sufficienza per assumere un CISO e in questi casi sarebbe utile poter utilizzare un servizio di “CISO As a Service“, potendo “noleggiare” al bisogno questa professionalità, ottimizzando i costi e rendendo in questo modo la funzione accessibile anche a realtà più piccole.
   
   Sebbene questo servizio consentirebbe di diffondere la figura del CISO anche per aziende che non possono permetterselo, d’altra parte, trattandosi di una figura esterna all’azienda, ci potrebbero essere molte resistenze a collocarla correttamente in organigramma, andando ad interferire con la corretta operatività di questo ruolo.

In definitiva, il CISO deve ideare e gestire le strategie di Cyber Security nel rispetto del budget aziendale, in modo da spenderlo in modo efficace ed efficiente.

In uno scenario in cui le risorse tendono ad essere scarse a fronte di minacce sempre crescenti, è infatti prioritario gestire correttamente i budget per non ottenere un danno maggiore.

Conoscere le minacce per lo specifico settore e risk model dell’azienda è certamente un ottimo strumento in tal senso, che consente di mirare in modo più preciso le strategie e le difese. Lo scenario delle minacce cyber cambia continuamente e con grande rapidità, è quindi molto importante ottenere informazioni puntuali e dettagliate in merito.

Hackmanac può essere utile a questo scopo, chiedici come!