Le aziende riconoscono l’importanza della cybersecurity e la inseriscono sempre più spesso come asset nelle loro strategie operative. Tuttavia, mischiare sicurezza e operazioni può diluire la missione principale del Chief Information Security Officer o CISO: proteggere gli asset dell’azienda da attacchi indesiderati.
Indice degli argomenti
Il CISO negli anni ’90 vs oggi: da tecnico a stratega
Negli anni ’90, il ruolo del CISO era più tecnico e focalizzato sull’IT. La sicurezza era considerata in termini binari, e i dipartimenti cercavano di eliminare qualsiasi elemento rappresentasse un rischio. Negli ultimi 20 anni, però, il lavoro è cambiato: i CISO si trovano di fronte a più rischi di quanti possano essere risolti, devono bilanciare la sicurezza con la capacità operativa e convincere i dirigenti a investire nella protezione.
Oggi, ci si aspetta che i CISO diano priorità alle esigenze aziendali pur rimanendo responsabili in caso di violazioni. Sempre più spesso i CISO hanno un background nel business e sono meno concentrati sugli aspetti tecnici della cybersicurezza e più focalizzati sul supporto delle priorità aziendali.
I rischi della nuova direzione del ruolo CISO
Questo cambiamento può mettere le aziende in una posizione precaria. Ridurre l’attenzione alla sicurezza informatica per accelerare i processi minaccia la protezione dei dati aziendali e crea rischi inutili. E non si tratta di un problema da poco. Secondo il “Cost of a Data Breach Report 2024″ di IBM, il costo medio di una violazione dei dati nel 2024 è stato di 4,88 milioni di dollari: un aumento del 10% sul 2023 e il totale più alto di sempre.
CISO 2025: la necessità di un nuovo approccio
Nel 2025, è necessario ripensare nuovamente il ruolo del CISO. Il CISO moderno deve aiutare la propria organizzazione a comprendere che dare priorità alla riduzione del rischio è fondamentale per la resilienza aziendale di fronte alle minacce attuali.
Il CISO contemporaneo: equilibrio tra politica e resilienza
Un tempo, i CISO riuscivano a far valere la loro importanza sostenendo che, in termini di cybersicurezza, il mondo stava per crollare.
Tuttavia, con la crescente integrazione tra business e sicurezza, la responsabilità aziendale è entrata in gioco. Il focus dei CISO è passato dall’evitare i rischi con il risk management, al valutare quale livello di rischio sia accettabile per raggiungere gli obiettivi aziendali.
In molti casi, sono le unità aziendali che generano ricavi a decidere quale livello di rischio, incluso quello informatico, sia accettabile. Allo stesso tempo, i leader aziendali, ormai più consapevoli della cybersicurezza, non vogliono più sentir parlare solo di minacce catastrofiche. Preferiscono che il CISO si concentri sulla crescita e la redditività, proteggendo al contempo l’azienda dagli attacchi informatici.
Nuove responsabilità del CISO nell’era dei ransomware
Con la proliferazione dei ransomware, i CISO non devono solo prevenire, rilevare e risolvere i rischi di sicurezza, ma anche considerare quanto i sistemi siano resilienti contro attacchi che potrebbero mettere l’azienda fuori gioco. Devono inoltre valutare la rapidità con cui l’azienda può riprendersi da un incidente informatico.
La buona notizia per i CISO è che molti di questi ruoli sono stati elevati a una posizione autenticamente di livello C (C-level). La cattiva notizia è che il loro ruolo è principalmente consulenziale, subordinato alle decisioni dei leader riguardo al rischio accettabile. Questa posizione sta diventando sempre più difficile da sostenere.
Competenze essenziali per il CISO del futuro
Per avere successo oggi, i CISO devono sviluppare nuove competenze mantenendo al contempo solide basi. Vediamo come possono riuscirci:
Comunicare efficacemente con il board
i CISO devono essere abili negoziatori. Devono sostenere la necessità di una maggiore sicurezza e convincere il consiglio di amministrazione e le unità aziendali dei rischi, utilizzando un linguaggio comprensibile per loro. A seconda dell’esperienza dei membri del consiglio (tecnologica o aziendale), può essere utile presentare dimostrazioni pratiche che traducano i rischi tecnici in una prospettiva di business. Inoltre, è fondamentale confrontarsi con altri dirigenti di livello C e con CISO di altri settori per ottenere conferme e nuove prospettive su discussioni simili.
Strategie operative per il CISO moderno
Accettare le zone grigie: i CISO devono adottare un approccio basato sul rischio e concentrarsi sulla resilienza, perché gli attacchi sono inevitabili. È importante avere un piano di risposta testato, oltre alle misure preventive. Inoltre, bisogna sempre ricordare che la sicurezza assoluta non esiste: si tratta di bilanciare il rischio con i costi.
Dare importanza ai fondamentali: i CISO devono costruire un team tecnico solido che si concentri sulle pratiche di sicurezza essenziali. Devono condurre esercitazioni pratiche su scenari come il blocco di un sistema o l’impossibilità di connettersi a Internet. Non bisogna affidarsi ad assunzioni su come rispondere a un incidente: testare e simulare i piani di risposta è essenziale.
Scegliere con attenzione la tecnologia: i team di sicurezza oggi devono gestire una quantità eccessiva di informazioni. È cruciale consolidare i dati e investire nell’automazione. Trascorrere un terzo del tempo raccogliendo dati e creando report, risulta un impiego inefficace delle risorse. L’automazione può aiutare, permettendo ai professionisti della sicurezza di concentrarsi sul loro vero compito, invece di occuparsi di funzioni amministrative.
Documentazione e responsabilità legali del CISO
Documentare tutto: quando si verifica un incidente grave, spesso la colpa ricade sul CISO. Negli ultimi anni, CISO di grandi aziende sono stati licenziati, chiamati a testimoniare in tribunale e, in alcuni casi, incriminati. Per questo motivo, è essenziale sviluppare un piano di risposta agli attacchi informatici, documentare ogni passaggio e seguirlo con precisione. Questo potrebbe non salvare il lavoro del CISO, ma potrebbe evitare conseguenze legali.
Il futuro del CISO in un panorama di minacce evolutivo
Il panorama IT aziendale è cambiato radicalmente negli ultimi 40 anni, diventando sempre più decentralizzato, basato sul cloud e fondamentale per il business. Anche il panorama delle minacce informatiche si è evoluto, e le violazioni dei dati sono ormai considerate inevitabili.
Con così tanti cambiamenti, è irrealistico pensare che il CISO di oggi possa operare nello stesso modo di decenni fa. In questo nuovo contesto, i CISO devono ridefinire il modo in cui bilanciano la resilienza informatica e le esigenze operative, collaborano con i dirigenti e il consiglio di amministrazione e guidano i propri team e le strategie tecniche.
