Il CISO: sfide e priorità d’azione

Il CISO (Chief Information Security Officer) è un executive responsabile della gestione dell’information security all’interno di un’organizzazione. Definisce la visione strategica, implementa programmi a protezione degli asset informativi e identifica, sviluppa e mette in campo processi volti a mitigare i rischi derivanti dall’adozione pervasiva delle tecnologie digitali.

La figura del CISO, che nel 2022 a livello italiano era presente nel 53% delle organizzazioni e a livello internazionale nel 55%, ha visto negli ultimi anni una significativa intensificazione delle sfide a cui deve far fronte in quanto responsabile della security. In particolare, le responsabilità del CISO possono essere ripartite in quattro aree, che si differenziano sia per le tematiche da affrontare sia per le competenze da mettere in campo. Le aree di riferimento sono:

1. Security Strategy
2. Security Education & Awareness
3. Security & Compliance
4. Security Operations

Al fine di analizzare l’evoluzione del ruolo del CISO e individuare possibili margini di miglioramento nelle quattro aree, all’interno della ricerca 2023 dell’Osservatorio Cybersecurity & Data Protection sono stati condotti alcuni focus group con professionisti della security di grandi realtà italiane.

All’interno della Security Strategy figurano sia aspetti tecnologici sia aspetti interdisciplinari. Per far fronte a un contesto sempre più complesso, infatti, la figura del CISO deve evolvere da un professionista meramente tecnico a un C-level con competenze eterogenee, che comprendano skill sia tecnologiche sia manageriali. Lo scenario ideale prevede la presenza di un CISO esterno alla Direzione IT e membro del Board dell’azienda, supportato da un team di specialisti tecnici e con una chiara strategia di security da seguire. Per completare lo scenario ideale, attraverso i focus group è stata evidenziata la necessità di comunicazione e collaborazione continua tra CISO e funzione IT, in quanto, soprattutto nel caso del CISO esterno, è possibile che i due presidi abbiano obiettivi e priorità differenti.

Nonostante quando si parla di cybersecurity si pensi subito agli elementi tecnologici, è indispensabile non dimenticarsi delle tipologie di attacco che si basano sullo sfruttamento della componente umana. Si consideri che nel 2022, il ricorso a tecniche di social engineering, tra cui il phishing, è aumentato del 52% rispetto all’anno precedente¹. Il fattore umano è da annoverarsi tra le più significative vulnerabilità in ambito cybersecurity, perciò il CISO dovrebbe, in coordinamento con la direzione HR e il Board aziendale, definire attività di formazione e sensibilizzazione sia per i dipendenti sia per le terze parti. Nello specifico, si parla di Security Education & Awareness, area che comprende sia la formazione dedicata agli specialisti, come i programmi di certificazione, sia l’assunzione di nuove figure specializzate, che vanno di pari passo con tutte le iniziative che mirano ad aumentare il livello di consapevolezza generale dei dipendenti dell’azienda. Tra le possibili iniziative di sensibilizzazione, oltre alle tradizionali lezioni online o frontali dirette ai dipendenti, un esempio è rappresentato dalle simulazioni di phishing. In quest’ottica, durante i focus group, si è sottolineata l’importanza delle attività di simulazione, della concreta collaborazione con le risorse umane e della possibilità di affiancare alla realtà aziendale anche centri di ricerca e fondi pubblici.

Tra le responsabilità del CISO rientrano anche gli aspetti di adeguamento ai requisiti previsti dalle normative in materia, ovvero ciò che è stato categorizzato sotto la dicitura Security & Compliance. In un mondo sempre più interconnesso, dove le minacce cyber possono avere conseguenze non solo sulla singola azienda ma anche sull’economia e sulla società, è naturale che vi sia la volontà da parte degli Stati di creare un quadro comune di normative e regolamenti. In questo scenario, il CISO dovrebbe contribuire, insieme alle funzioni preposte come Legal e Compliance, alla definizione di una strategia di adeguamento normativo e del relativo piano di implementazione all’interno dell’organizzazione. A tal fine, è utile che siano conseguite certificazioni aziendali in ambito cybersecurity, si definiscano standard di sicurezza di alto livello, si conducano attività di auditing e si valuti anche la compliance delle terze parti con cui l’azienda si relaziona. In accordo con quanto emerso dai focus group, è importante non solo che il CISO sia informato rispetto alle attività portate avanti dall’azienda in materia di adeguamento alla compliance, ma che svolga un ruolo più attivo, come ad esempio, nello svolgere attività di assessment sui vari regolamenti.

L’ultima area di responsabilità del CISO afferisce all’ambito Security Operations. Il CISO ha un ruolo chiave nel coordinare gli aspetti operativi relativi alla cybersecurity, ovvero aspetti di IT security, risk management, supply chain security e operational security. Nello scenario ideale la gestione del rischio cyber avviene in un processo integrato per la gestione del rischio aziendale, e il CISO è centrale nella scelta delle applicazioni adottate dall’azienda. Completano il quadro delle responsabilità in questo ambito la possibilità di avviare programmi finalizzati alla quantificazione del rischio cyber, di svolgere un assessment continuo sulle linee di produzione e di portare al board la quantificazione economica di un potenziale attacco.

In conclusione, il Chief Information Security Officer è una figura professionale chiave per la gestione della cybersecurity in tutti i suoi aspetti, da quelli prettamente tecnici a quelli più manageriali e sociali. Nonostante vi sia ancora ampio margine di manovra nella definizione delle responsabilità del CISO, nell’attuale scenario dove il numero di attacchi cyber è in continuo aumento, la sua presenza fa la differenza nella postura di cybersecurity di un’organizzazione.

¹Clusit (2023). Rapporto sulla sicurezza ICT in Italia.