Categorie
News-IT

IL RUOLO STRATEGICO DEL CISO

news

IL RUOLO STRATEGICO DEL CISO

Da poco ho avuto l’onore di partecipare all’Open Lesson dell’Executive Master in Cybersecurity e Data Protection organizzato da 24ORE Business School, dove abbiamo approfondito la figura del Chief Information Security Officer (CISO).

In uno scenario in cui i cyber attacchi e le minacce informatiche sono in continuo agguato, è imperativo che le aziende siano preparate a gestire e mitigare questi rischi nel rispetto delle esigenze di budget e degli obiettivi di business.

In questo contesto si inserisce il ruolo del CISO, ovvero la figura responsabile dell’impostazione e della gestione della postura di Cyber Security aziendale.

Tra i suoi compiti la definizione delle strategie a lungo e breve periodo, delle best practices, la verifica e la messa in atto di processi per mitigare i rischi del cyber spazio, la diffusione della cultura della cyber security in azienda.

Quello del CISO è un ruolo tanto strategico quanto ancora poco diffuso e solo ora sta iniziando ad ottenere l’attenzione che merita.

Risulta molto importante però che rispetti alcune caratteristiche:

  1. IL CISO NON È UN TECNICO

    Sebbene spesso confuso con una figura tecnica, il CISO non può limitarsi solo a questo aspetto.

    Pur comprendendo le dinamiche e la complessità del mondo cyber, questo ruolo deve infatti essere svolto principalmente da un manager, in grado di comprendere le esigenze aziendali e dialogare con il management.

    Una sorta di figura ibrida in grado di mettere in comunicazione e comprendere entrambi i mondi, quello tecnico e quello del business, per trovare le soluzioni più adeguate a garantire la protezione e la disponibilità dei dati e degli asset aziendali.


  2. IL CISO DEVE RIPORTARE AL BOARD

    Perché questa figura sia efficace è però necessario che il suo collocamento nell’organigramma sia corretto.

    Speso infatti, quando presente, il CISO viene inserito alle dipendenze di altre figure C-level come il CIO (Chief Information Officer) o il CTO (Chief Technology Officer).

    Questo dipende dal fatto che tuttora la Cyber Security viene vista come un sotto-insieme del mondo IT, ma è bene sottolineare che questa concezione è sbagliata e limitante.

    Lo scopo della Cyber Security non può infatti limitarsi alla sola protezione dei dati informatici, ma bensì è quello di proteggere tutti gli asset importanti per aziende, istituzioni e cittadini.

    Nel caso di apparati medicali connessi in rete ed auto elettriche, ad esempio, questi asset comprendono anche le vite umane.

    È quindi importante valutare la Cyber Security come una materia a sé e fare in modo che il CISO possa riportare direttamente al Board aziendale per mantenere l’autonomia e il potere decisionale di cui necessita per operare.


  3. IL CISO POTREBBE ESSERE DISPONIBILE IN MODALITÀ “AS A SERVICE”

    La figura del CISO sarebbe utile in ogni realtà aziendale.

    Ma è più facile trovare questo ruolo nelle grandi aziende, nelle piccole e medie aziende le cose invece si complicano.

    Spesso le PMI non hanno fondi a sufficienza per assumere un CISO e in questi casi sarebbe utile poter utilizzare un servizio di “CISO As a Service“, potendo “noleggiare” al bisogno questa professionalità, ottimizzando i costi e rendendo in questo modo la funzione accessibile anche a realtà più piccole.

    Sebbene questo servizio consentirebbe di diffondere la figura del CISO anche per aziende che non possono permetterselo, d’altra parte, trattandosi di una figura esterna all’azienda, ci potrebbero essere molte resistenze a collocarla correttamente in organigramma, andando ad interferire con la corretta operatività di questo ruolo.
In definitiva, il CISO deve ideare e gestire le strategie di Cyber Security nel rispetto del budget aziendale, in modo da spenderlo in modo efficace ed efficiente.

In uno scenario in cui le risorse tendono ad essere scarse a fronte di minacce sempre crescenti, è infatti prioritario gestire correttamente i budget per non ottenere un danno maggiore.

Conoscere le minacce per lo specifico settore e risk model dell’azienda è certamente un ottimo strumento in tal senso, che consente di mirare in modo più preciso le strategie e le difese. Lo scenario delle minacce cyber cambia continuamente e con grande rapidità, è quindi molto importante ottenere informazioni puntuali e dettagliate in merito.

Hackmanac può essere utile a questo scopo, chiedici come!

Latest news

				
					-----BEGIN PGP PUBLIC KEY BLOCK----- xsFNBFyONI0BEAC3wJRo5qhtr1KsqVdMz7b5JqHmt7H0ZZr14oJ9TV/hD9LMfrKpnQ94dFGnpfGa BKC1wSoJN4Yfs5lg5YmN4hmHmm6PkjgQdenVgL4YDfLDodwn5DgXKuywRBqIFbbnTDvFAb03DX2A FPnc+4g2QHsfiFycz+ISg/Z+8i21gY3j5oZlrdMKVWrNczrNc/lDJqJ36RSYDn1QzAW1ZGY/pUXk imPRvLew5Idr3462sZVVhuUFMD3Uf/W1SaS3bSEQM89pSYKZfo8AFpAs659Mn7gqKru6ndxilRdF wJGQuepqR8kz+vVPLyxJj68ii2ZBIY50RQvSBgJRnNF/Htp30cuk3v8jfSGZit9XYTTGQThVbfGR ZcKWze/iF+es110+mNXA/8s7jKs95PI+z1Foc9o74Ujs8dvjEGHTaESIEzX3JtEZUCZUiPt/P8pU Jw0ewbj1XCacYxYVsR7ODlf6GEsjt868WcjiqsuuZo2rzO4og9hFU5DlBzuePklfhw8dO5CiMN2H vtSkAn4DkgHqC+JiciHc9h5Cvvfjp52oQPj1eYmU3LkOvGFmPXVIts3VfxsQT3gk+DmrQ4J//fAl tNRSbMBnGu5F/qnLLkJmKRKPKNNcpjptFznKxLZbxW5QbAeDok3ho8YQACfADKcrmaIRkoPr8/mn PxZgMSMB87W7sQARAQABzSRTb2ZpYSBTY296emFyaSA8c29maWFAaGFja21hbmFjLmNvbT7CwZQE EwEIAD4WIQTNwEbcXbH0vegGlHCd6fr0nsTifwUCXI40jQIbIwUJEswDAAULCQgHAgYVCgkICwIE FgIDAQIeAQIXgAAKCRCd6fr0nsTifwKuD/4+3MaN+9eFiltI06fFBjr1Csh0OLFw89jFnpuYl9Sm ImVqmBwrnm+APxxLK4M+FMuNm4fW08X249t09Nsf0ba6UJ0HR/7/fRTipjzRLqHSr0+ZjVUGHhon fuuFZgNzPA5RmQZZCyiwyqZJs7pLn1QI/CtlDP6MsQhadywbkO/5LlDoBoYh/2DYNA/mtEfJbvc/ cOvfk47thj5OzcXJEWFxz7h2P5C2ELwxdhNPC+uqcOQkTScnuIBJooheJPhdmqOtOwrbUUIfaryM IESrol3Jg3/MUOe7FLXhwCSQGY1iefzl4py2jTeK936GMBHifLSUCA88lpE7ALkbf3+qJ9ABra9G e9e0dirIlPvFgBkEBBXsoIReQLrhHKFBtvKdrrE9Rb7kAwon+sW+3Uf6Ie3M8nTisGy2AmlI/tQ5 V0MHU2UJUNcc59hk7ADIlXN64eeqELgsMtlR4wEHd6nwcEpoPCTWfrVSwzsPtXUGNAGbgGxISv/F ltcFJ6Qw6Zy4f+YBEyCx/7GA3kjLllkcHv4kwHpP+WQCzbjh2JdkGEp5AY7puil1AtOFcbirbHbR 83KVeqx4Vvlyh2jhIDQYB/9qpTDC1xDKpndn40gnNd5hvjK0I0Xvbhb0PLhCpJQ5tsvPiQHjhOMF Wye3ZigaX1gTZxE29MLtwBbOYdGCYG0MrM7BTQRcjjSNARAAupAKTZXLRktriUVqhkZpU8zUVwrW ik6siStg7BppSJuKVW+Ic8QIagW0I48d2jZIIXrQRvqVBixn8eeBTE8Cujum1mZyhTw2sri3gE9i 81gisF17T/uewzRyYwx8obMfSEBnwJa44td7VjtbfLMRtfneK9R40+kELhhvXZa3DBbcG86zHVPU f1YkLX4RNSyjz4vOCX3WlcIAOr6MJA8DT+F5mUCVEhnkeUbflXtxRSeTUTfOw/3MYLs+mc6hWwLq gqTMcIQhDrYEY5wUgb5Mj86NR/uvsThL6MtWCJWVbfxHxM575woyTdD9E6HGO6loHYdky/7I+XFZ twgxsGn6HJYT+Gwn9BI5/DiwT1Qb/AyADktN1jGmZGTlniS+hly7rm0EHb2CTTM5zT1fh/sCOtQb nYIUf2in2cIfcFvzeFrUbDk2HfJMp5FmY6tBEV5xyNCww/mBkW2nuZy9CvAheJEOGoO8lyonPU2u ARq345LdbS6l+VdivPmZoLNpIMRw9MSTYmzm08h7C+/6hxzpjw1/nWZ+W2k9VpLutEs7KMtsbZR4 WhVFVS1uhqxrnjoeBHznh360Ou8SR+PFO0HIrYz4W7ayfcBhqcsGrM9u1E892gjUVTbPv8UoXQ8S Zm9ra2jqbfZGbyOpMIlyMzHTak7r0IZvCedEUDCimitbw98AEQEAAcLBfAQYAQgAJhYhBM3ARtxd sfS96AaUcJ3p+vSexOJ/BQJcjjSNAhsMBQkSzAMAAAoJEJ3p+vSexOJ/C+wP/iGvKG1NldCT2gR7 oWhmvgBnsD7qjC57RX0Go7WD1lmrWP4xWpvM6Tj0V4ZsXnyB8zUR38p49PPymjwy51FAss5PYh8S bVC1/sKC5Sae3kiAoMGH29MBAwL1IkJ8PNw6uOJHhUIJgKT5RWk2f7q3+Tha19slXwD/FC1IcBJK baxyVkG3cG5AnNvvKZyFAUNZ9FiBycaNHO4o6bCcCzSsaRLL2azudJLrF8UYPfTNBQ6Cr4QLqaRb t+ZqL2nqmcadO1AtxLtq5lQjxbhJ3jSYIcQJRq0ztbIBcPrdR2B/dfVED9cU5leSmNXxrh09gJ7N tmUpVo5fBcbf6fP7h2HIFBpH+G/8UUlcbm9pQ5Jcb8FEom0JrfaIAuv1gEIJAk1mkqLNzWUs8KuL nCBBVT2+2hfEZjtjUYbCLVB4LRCsLs9CY1wS3yKca90S8m0tfKcSj3K3k8qlKodkE2raX2GW2dm9 b200ENbb41B1uZlPts4Yh/AMfLqoNv8wyw0GlUQ2DqgDqviLANYbg4/GHwTLwO2b9UMHuTVU3woS 1LRKt0iPPsd+ir+9YRAVt5LB5XTS5C5cdIW9JSXQ+0cnbr3LPZCBulOew/M72liBINKWKGoUyueF 73ckNO9S7pzTOCpjn3+gAuzN/itwgwrMLoqUqqBuxzd7cKNJHTFdTIfTm53f =KIMs -----END PGP PUBLIC KEY BLOCK-----