Assistenza

800 033 727 - supporto@osservatori.net

English
Osservatori Digital Innovation del Politecnico di Milano

Torna

Cerca

Accedi
Accedi

Abbonamenti

Apri menù
Piani Singoli Piani Aziendali
Accedi
Accedi

Carrello

English

Assistenza

800 033 727 - supporto@osservatori.net

Il Chief Information Security Officer (CISO) è il Responsabile della sicurezza informatica all’interno dell’organizzazione. Questa figura non va confusa con il CIO (Chief Information Officer) o direttore informatico, con il CSO (Chief Security Officer) o Security Manager, e nemmeno con il DPO (Data Protection Officer) che si occupa specificamente di protezione dati personali e compliance GDPR.

Nell’era digitale, il CISO è diventatO sempre più strategica a causa della crescente complessità delle minacce informatiche e della trasformazione digitale delle aziende. La Ricerca dell’Osservatorio Cybersecurity & Data Protection della POLIMI School of Management evidenzia che nel corso del 2024 il 73% delle grandi imprese ha subito almeno un attacco. Le organizzazioni stanno cercando di rafforzare la propria sicurezza informatica, e i dati lo confermano: il mercato della Cybersecuirty ha raggiunto un valore di 2,48 miliardi di euro, con una crescita del 15% sull’anno precedente. È qui che il ruolo del CISO entra in gioco, non solo come responsabile della sicurezza tecnica, ma anche come artefice della strategia di sicurezza informatica, capace di dialogare con il top management e garantire la resilienza aziendale.

Attraverso la Ricerca dell’Osservatorio, in quest’articolo approfondiremo il ruolo del CISO: chi è, cosa fa e, soprattutto, quali skills sono necessarie per diventare Chief Information Security Officer.

cybersecurity

Cosa si intende per CISO e di cosa si occupa

Nella pratica, cosa vuol dire CISO? Scopriamolo con una puntuale definizione:

il CISO è la figura responsabile dell’information security in azienda: si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.

I compiti del responsabile della sicurezza informatica (CISO) possono variare a seconda del settore in cui opera e della sua posizione all’interno dell’organizzazione. Il Chief Information Security Officer è una figura estremamente poliedrica all’interno dell’organigramma aziendale, dato che è in grado di comprendere gli aspetti tecnici relativi alla sicurezza delle informazioni, ma possiede anche competenze manageriali e comunicative. Tra le principali aree di competenze e responsabilità di un Chief Information Security Officer si trovano le seguenti:

  • assessment della sicurezza, ovvero valutare lo stato dell’arte della sicurezza in azienda e individuare un piano strategico per aumentare la capacità di reagire alle cyber minacce;
  • definizione delle policy, vale a dire le regole e gli standard per la gestione della sicurezza;
  • analisi del rischio cyber, ossia comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate alla gestione del rischio cyber in termini di politiche e strumenti;
  • definizione delle architetture per la gestione della sicurezza e monitoraggio delle scelte strutturali;
  • identificazione delle minacce e dei rischi informatici, che implica l’essere aggiornati sulle tipologie di minacce e di attacco;
  • monitoraggio della sicurezza, attraverso un controllo sui diversi canali sviluppando un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
  • risposta agli incidenti in tempi brevi in caso di data breach (ossia una violazione dei dati personali) per limitarne gli effetti;
  • investigazione forense in caso di data breach, collaborando con risorse interne o specialisti esterni.

Con uno sviluppo della figura tecnica del CISO a un ibrido con compiti anche manageriali, vi è un ampliamento delle sfide che lo stesso deve affrontare. Dalla Ricerca dell’Osservatorio Cybersecurity e Data Protection è emerso come sia sempre più essenziale un dialogo aperto e continuativo tra la sua funzione e i vertici aziendali, sia opportuna la creazione di un team a supporto e sia necessario che aumenti l’attenzione alla formazione e sensibilizzazione di tutti i dipendenti in materia di cybersicurezza.

Le responsabilità del CISO moderno si articolano in quattro aree principali che definiscono il perimetro del suo ruolo strategico: Security Strategy, Security Education & Awareness, Security & Compliance e Security Operations.

Security Strategy

La Security Strategy include sia aspetti tecnologici che interdisciplinari. Pertanto, oltre alle competenze tecniche, il CISO deve possedere anche capacità manageriali, evolvendosi in un ruolo di livello dirigenziale (C-level). L’assetto ottimale prevede un CISO che sia parte del Consiglio di Amministrazione aziendale e indipendente dalla Direzione IT, sostenuto da specialisti tecnici e con una chiara strategia di sicurezza.

Security Education & Awareness

Nell’ambito della vulnerabilità informatica occorre tenere presente che lo sfruttamento del comportamento umano è la principale tipologia di attacco. Insieme alla Direzione HR e al CdA aziendale, il CISO dovrebbe definire attività di formazione e sensibilizzazione per dipendenti e terzi (come consulenti o partner). La Ricerca dell’Osservatorio ha rilevato che, oltre a lezioni frontali, sono molto efficaci per la sensibilizzazione del personale delle vere e proprie simulazioni di attacco, come nel caso del phishing (ossia tentativi fraudolenti volti a ottenere dati sensibili degli utenti attraverso e-mail, SMS, ecc).

Security & Compliance

L’adeguamento alle normative è un altro elemento fondamentale per il Chief Information Security Officer. Insieme alle figure Legal e Compliance, ma non solo, il CISO dovrebbe definire una strategia di adeguamento normativo nell’organizzazione. Ciò prevede certificazioni incentrate sulla Cyber Security, attività di auditing e, in generale, attività di assessment sui vari regolamenti.

Security Operations

Quest’ultimo ambito riguarda il coordinamento tra le varie figure che si occupano di Cybersecurity in azienda, quali IT security, risk management, operational security e supply chain security, al fine di applicare le scelte strategiche adottate dall’azienda. Inoltre il Security Operations, in uno scenario ideale, dovrebbe poter svolgere altre attività, in particolare legate alla quantificazione del rischio cyber, e riportare al CdA il valore economico di un potenziale attacco.

Come si diventa CISO

Affinché lo svolgimento delle attività da parte del Chief Information Security Officer possa contribuire agli obiettivi aziendali, occorre individuare un giusto mix delle responsabilità sopracitate. Ma, nella pratica, come si ottiene un mix adeguato di competenze per farvi fronte?

Formazione del CISO e certificazione

Insieme all’esperienza pratica, il CISO può ottenere una certificazione specifica per migliorare le sue competenze tecniche in sicurezza informatica. Un esempio è quella offerta da EC-Council, il cui programma, lo C|CISO (Certified CISO) si concentra su cinque campi applicativi:

  • Governance and Risk Management, che include le politiche, le procedure e le strutture per gestire i rischi aziendali in modo efficace e responsabile;
  • Information Security Controls, Compliance, and Audit Management, che riguarda la mitigazione dei rischi, l’aderenza a normative e standard e la verifica dell’efficacia delle politiche di sicurezza;
  • Security Program Management and Operations, che indica la progettazione, l’implementazione e la gestione delle attività di sicurezza per proteggere le risorse aziendali e assicurare il funzionamento continuo e sicuro delle operazioni;
  • Information Security Core Competencies, che si riferisce alle competenze essenziali per la sicurezza delle informazioni, come la confidenzialità, l’integrità e la disponibilità dei dati;
  • Strategic Planning, Finance, Procurement, and Vendor Management, che integra la pianificazione strategica, la gestione finanziaria, l’approvvigionamento e la gestione dei fornitori per raggiungere gli obiettivi aziendali e ottimizzare le risorse.

alessandro-piva-cta-ai

Le 10 competenze fondamentali del CISO

Oltre alle competenze in ambito informatico e alla profonda conoscenza dell’attività di business, il CISO deve possedere numerose soft skills. Di seguito un elenco delle principali caratteristiche che contraddistinguono il CISO, figura al centro della Cyber Security.

  • leadership, poiché deve saper interagire con il Consiglio di amministrazione in modo da influenzarne le decisioni, al fine di crescere a livello di posizionamento organizzativo grazie ad una leadership forte;
  • pensiero strategico, in quanto deve generare e implementare idee innovative e in linea con gli obiettivi aziendali;
  • comunicazione, perché deve saper comunicare le scelte per la gestione del rischio e spiegare le soluzioni tecnologiche adottate;
  • team building, ovvero deve avere la capacità di costruire un team di specialisti in Cyber Security e di stabilire relazioni con gli executive e i decision maker principali dell’azienda;
  • problem solving, in quanto deve prendere decisioni in tempi rapidi, valutando le possibili conseguenze nel lungo termine;
  • gestione delle crisi: gestire le situazioni critiche e la relativa comunicazione;
  • competenze tecnologiche, ossia deve conoscere minacce, vulnerabilità, rischi e sistemi per la protezione della sicurezza;
  • comprensione del rischio, inteso come capacità di comprendere i potenziali rischi, legata alla capacità previsionale di scenari futuri;
  • approccio data-driven, che consiste nel saper gestire, analizzare e utilizzare i dati a supporto delle decisioni;
  • comprensione delle regolamentazioni, dal momento che per raccogliere e trattare i dati online occorre conoscere le regolamentazioni in vigore nei diversi Paesi e le relative implicazioni in materia di sicurezza e protezione dei dati; a tal proposito, tra le principali regolamentazioni si segnala il GDPR (General Data Protection Regulation) e la Direttiva NIS 2 (acronimo di Network and Information System 2, introduce standard minimi di sicurezza e requisiti di segnalazione degli incidenti per migliorare il livello di sicurezza informatica in Europa).

La diffusione del CISO in Italia

Nel 2024, la presenza di un Chief Information Security Officer formalizzato è presente nel 58% delle grandi organizzazioni. Un dato sostanzialmente stabile rispetto all’anno precedente.

La presenza del Chief Information Security Officer non è però un elemento sufficiente. Per garantire una gestione strategica della Cybersecurity è, infatti, necessario che il tema venga portato all’attenzione del board. Tuttavia, secondo i dati dell’Osservatorio, il dialogo tra Cybersecurity e business è assente nel 40% dei casi e sporadico nel 9%. Questi dati segnalano un forte disallineamento, che rischia di amplificarsi con l’aumento delle minacce informatiche e l’introduzione di nuove tecnologie nei processi aziendali.

A interrogarsi sul futuro del proprio ruolo sono proprio i CISO: da figura prevalentemente tecnica, focalizzata sulle operations, il CISO dovrà assumere un profilo più business-oriented, ponendo attenzione maggiormente ai rischi e trasformandosi progressivamente in un “BISO” (Business Information Security Officer). Si tratta di una transizione necessaria per garantire che la sicurezza informatica non sia più vista come un costo o una barriera operativa, ma come un fattore chiave di competitività e innovazione.

Ti è piaciuto l'articolo? Accedi a tutte le altre risorse di Osservatori.net

Lascia un commento

Subscribe
Notificami
guest
0 Commenti
Oldest
Newest Most Voted
Inline Feedbacks
View all comments