La necessità del Chief Information Security Officer o CISO nell’organizzazione deriva indubbiamente dal fatto che oggi gli attacchi informatici e le truffe sono una componente di rischio per qualsiasi ente tanto quanto le fonti umane di rischio.
Le statistiche più recenti sugli attacchi informatici al seguito della pandemia di Covid-19 evidenziano come, più che mai, sia fondamentale per le aziende disporre di una figura professionale e altamente specializzata della pianificazione delle corrette strategie di Information Security, Compliance e Risk Management.
Negli ultimi due anni, i CISO hanno riscontrato una serie di sfide chiave, tra cui il COVID-19 e la transizione dall’ufficio allo smart working.
In effetti, i dirigenti aziendali hanno potuto riconosciuto l’importanza della sicurezza informatica per garantire che l’azienda funzioni senza intoppi, riconoscendo così il merito ai CISO che sono passati dalla retroscena alla prima linea per assicurare la continuità operativa.
Nel gestire le difficoltà combinate di violazioni della catena di approvvigionamento, ransomware, smart-working, implementazione del 5G e molto altro nel 2022, i CISO dovranno senza dubbio dimostrare quanto sia vitale la loro posizione.
Ne parliamo approfonditamente in quest’articolo.
Sommario degli argomenti
-
Qual è il ritratto di un CISO?
-
Il ruolo del CISO
-
Operazioni di sicurezza
-
Conformità normativa
-
Continuità operativa
-
Integrazione delle parti interessati
-
I tre tipi di CISO
-
Conclusione
Il ritratto di un CISO
La richiesta di un esperto, il Chief Information Security Officer, è fondamentale in un contesto digitale che offre quantità sempre più elevate e complicate di rischi. Questa figura professionale si differenzia dal responsabile dei sistemi informatici sia per la posizione aziendale che ricopre; che è paragonabile a quella di un manager sia per la sua sensibilità generale al problema del rischio aziendale, non solo informatico.
Si tratta di un profilo che consente alle imprese di costruire strategie preventive e, in caso d’incidente, risposte mirate ed efficaci, sfruttando la loro conoscenza delle tecniche e degli schemi dei criminali informatici.
Di conseguenza, il CISO aggiunge un grande valore alle imprese che altrimenti non sarebbero preparate ad affrontare le numerose difficoltà che vanno ben oltre i danni causati da un fermo produttivo. Secondo il Ponemon Institute, la perdita di un singolo record o riga di database può costare a una società fino a 180 dollari. Dunque, si pensi a quanti record ogni azienda possiede per la gestione delle sue attività e alle perdite che potrebbe subire per via di un attacco informatico.
Un’azienda che impiega un Chief Information Security Officer, d’altra parte, può spesso dimostrare ai clienti che è stabile e aderisce ai requisiti di qualità e sicurezza più elevati.
Il ruolo del CISO
I compiti e le responsabilità di un CISO vanno oltre l’approccio tradizionale delle soluzioni di sicurezza.
Il CISO deve fornire informazioni strategiche e attuabili, avere una comprensione completa delle competenze di sicurezza rilevanti per un’azienda specifica ed esercitare eccellenti capacità di collaborazione.
In caso di violazione dei dati o di un incidente di sicurezza, è loro responsabilità guidare tutti i team nelle numerose divisioni dell’organizzazione, fornendo tecniche e approfondimenti preventivi e convenienti per la gestione delle crisi.
La proattività è di fondamentale importanza.
Il CISO deve garantire che tutti i dipendenti siano formati al fine di affrontare potenziali situazioni di minaccia informatica, in particolare quelle che attirerebbero l’attenzione dei media, delle normative e del governo.
Un CISO fa questo facendo affidamento sulle seguenti risorse: gli addetti alla sicurezza qualificati e un impiego più efficace della tecnologia, quest’ultima definita dal grado di allineamento con gli obiettivi di sicurezza piuttosto che dalle attuali tendenze tecnologiche.
Operazioni di sicurezza
Un CISO deve contribuire in modo significativo allo sviluppo, alla progettazione, all’implementazione e all’approvazione della strategia di sicurezza di un’azienda. Nel piano devono essere considerate le attività di sicurezza dei dati end-to-end, come ad esempio:
- Gestione del rischio e valutazione dell’intera infrastruttura IT dell’azienda
- Stabilire politiche di sicurezza per ridurre le minacce e le vulnerabilità
- Coordinamento e verifica dei requisiti di conformità e certificazione.
Il CISO è anche responsabile dell’integrazione delle numerose parti interessate dell’organizzazione, della mobilitazione delle risorse finanziarie appropriate e della creazione di connessioni critiche con fornitori di terze parti e specialisti della sicurezza.
Infine, è responsabilità del CISO supervisionare le iniziative di sicurezza dei dati e i team di sicurezza al fine di garantire che le operazioni aziendali siano efficienti e prive di rischi.
Conformità normativa
Il CISO dovrebbe sviluppare piani e politiche di sicurezza che consentano all’organizzazione di reagire ai mutevoli requisiti di conformità normativa.
Ciò è particolarmente critico per le multinazionali che devono affrontare una varietà di regole, come il GDPR, che ha requisiti normativi onerosi e multe elevate. Il CISO dovrebbe stabilire questi standard per tutte le parti interessate e creare sforzi per la sicurezza delle informazioni che soddisfino queste esigenze in base a qualsiasi nuova legislazione che emerga.
Risorse umane
Secondo gli studi, più della metà delle violazioni dei dati e della sicurezza informatica sono causate da inettitudine o negligenza del personale.
Di conseguenza, è obbligo del Chief Information Security Officer sviluppare un sistema solido che riduca le violazioni dei dati causate da errori umani e la loro influenza complessiva sulla posizione di sicurezza informatica dell’azienda.
L’impiego di criteri efficaci e oggettivi per l’audit e l’integrazione di personale di sicurezza esperti nello sviluppo dei rischi per la sicurezza e altamente qualificati nella mitigazione del rischio sono tra i compiti chiave. I passaggi di questa procedura sono i seguenti:
- Verifica delle qualifiche delle persone in cerca di lavoro e delle persone prescelte;
- Durante l’onboarding di nuovi membri, l’esecuzione di programmi di formazione sulla sicurezza;
- Creazione di policy di controllo dell’identità e dell’accesso.
Continuità operativa
Per contrastare le minacce informatiche, il CISO dovrebbe essere in grado d’implementare tattiche solide.
Oltre a identificare, bloccare e ridurre al minimo possibili attacchi alla sicurezza, la resilienza al rischio informatico è importante.
Si concentra maggiormente su un ripristino più rapido dagli effetti di tali violazioni della sicurezza.
Una solida gestione delle crisi, un piano di comunicazione e una ripresa dalla catastrofe possono aiutare a raggiungere questo obiettivo.
Il CISO ha il compito di analizzare ogni evento di sicurezza e proporre nuovi miglioramenti e strategie di risposta.
Integrazione delle parti interessate
Ogni sforzo di sicurezza richiede un grande investimento di risorse sia finanziarie che umane, che può portare a tensioni tra i diversi stakeholder dell’organizzazione che perseguono obiettivi e rendimenti aziendali diversi.
Di conseguenza, è obbligo del CISO valutare le prospettive commerciali potenziali e soppesare i rischi per la sicurezza che potrebbero mettere a repentaglio la stabilità e i profitti futuri di un’azienda.
Il CISO deve valutare queste nuove prospettive e trovare una soluzione solida che tuteli la crescita a lungo termine dell’azienda e le iniziative di sicurezza dei dati. L’assunzione di dirigenti esecutivi qualificati che condividono gli stessi principi di sicurezza è fondamentale a questo proposito.
In questo modo è semplice offrire a queste parti interessate notifiche frequenti e idee per strategie di budgeting ottimali e come influenzano le iniziative di sicurezza esistenti.
I tre tipi di CISO
Dopo aver spiegato chi è il CISO e quali sono le sue funzioni e responsabilità all’interno di un’azienda, passeremo ai tre tipi di personalità principali del CISO. In generale, nessun CISO può essere classificato in un particolare tipo di personalità. Tuttavia, data la loro ampia descrizione del lavoro, queste tre personalità aiutano a rispondere alla questione di dove un CISO dovrebbe riferire.
Responsabile della sicurezza delle informazioni tecniche (TISO)
I controlli e la gestione della sicurezza tecnica, comprese le operazioni di sicurezza essenziali, le funzioni e l’amministrazione del firewall, sono tra le aree di competenza del TISO. Inoltre, provvedono a garantire che l’architettura IDS/IPS e il monitoraggio delle minacce siano entrambi efficienti.
Le politiche tecniche, le valutazioni del rischio e le restrizioni di accesso sono coordinate e gestite dal TISO.
Questa figura spesso si rapporta al CIO, al CTO o a un consulente IT di livello superiore.
Il Chief Information Security Officer for Business (BISO)
Il BISO è responsabile di affrontare i rischi per la sicurezza dei dati che hanno un impatto diretto sull’azienda.
L’implementazione della tecnologia incentrata sul cliente e delle migliori pratiche per la protezione delle informazioni dei clienti, ad esempio, fa parte della loro mansione. Una delle principali responsabilità del BISO è istruire il personale di tutte le aree organizzative sulla necessità di buone procedure di sicurezza delle informazioni e su come queste siano un obbligo legale.
Il BISO dovrebbe assistere anche con la creazione, l’implementazione e la proposta di criteri/requisiti di sicurezza dell’organizzazione e coordinare i problemi di sicurezza incentrati sul business. Infine, dovrebbero idealmente riferire alla direzione aziendale e lavorare in questo ruolo all’interno di ogni dipartimento o divisione.
Il responsabile della sicurezza delle informazioni strategiche (SISO)
Il SISO lavora per garantire che gli obiettivi di sicurezza aziendale fondamentali, i nuovi rischi e la consapevolezza del personale di sicurezza siano tutti sincronizzati.
Per gestire in modo efficiente i rischi aziendali previsti, viene utilizzata una roadmap di aggiornamenti che abbracciano persone, politiche, procedure e tecnologia. Dopo la fase di pianificazione, il passo successivo nello sviluppo di una posizione strategica di sicurezza è rilevare vulnerabilità, comportamenti indesiderati e rispondere con una velocità che corrisponda alla criticità della sicurezza.
Il SISO è anche incaricato di amministrare e/o commissionare l’attività di analisi della sicurezza informatica e di presentare rapporti esecutivi al Consiglio di amministrazione sull’attuale stato di sicurezza (SOS).
Infine, il SISO ha il compito di difendere gli interessi di sicurezza dell’azienda a soggetti esterni alla sicurezza come le autorità di sicurezza informatica.
Conclusione
Concludendo, si può dedurre dagli esempi precedenti di personalità CISO che potrebbe essere necessario più di un tipo CISO per supervisionare le operazioni di sicurezza dei dati di un’organizzazione.
Data la natura estensiva delle mansioni del CIO, la maggior parte delle aziende richiederà più di un dirigente CISO per svolgere queste funzioni.
Un sofisticato programma di sicurezza per le organizzazioni più grandi richiederebbe più di un professionista della sicurezza per la gestione.
In effetti, un numero crescente di aziende afferma di avere diversi Chief Information Security Officer.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
