Digital business e sicurezza: ecco chi è il CISO e cosa fa

di Alessandro Piva

Digitalizzazione e sicurezza sono processi che corrono fianco a fianco. Se ogni business si appresta a essere un business digitale, del resto, l’esposizione dei processi aziendali ai rischi legati alla sicurezza informatica è crescente. E preoccupa. Anche per questo, sempre più spesso, si sente parlare di information security e di come, questa, richieda figure sempre più qualificate in grado di padroneggiare contesti eterogenei e mutevoli.

Quello che sappiamo, ad oggi, è che i modelli di governance sono particolarmente variegati e prevedono la presenza - e spesso la coesistenza - di diversi meccanismi di coordinamento. I numeri ci dicono che nel 43% dei casi esiste una funzione dedicata, all’opposto il presidio viene delegato all’esterno nell’11% dei casi. Nel 50% dei casi esiste un gruppo specializzato nella direzione ICT, e in un terzo dei casi vi è un gruppo di figure cross funzionale che presidia le competenze necessarie all’espletamento delle principali attività. In rari casi esistono ruoli dedicati nelle linee di business (9%), mentre solo nell' 11% dei casi non esiste una struttura, o meccanismi formalizzati, e la gestione avviene in modo destrutturato a seconda delle necessità.

Ci troviamo davanti a una complessità crescente. Per questo motivo le imprese stanno iniziando a prendere in considerazione la creazione di figure manageriali in grado di gestire le problematiche di information security. Un ruolo su tutti è quello dello Chief Information Security Officer (CISO), che in sostanza è la figura responsabile di definire la visione strategica, implementare programmi a protezione degli asset informativi e di identificare, sviluppare e mettere in campo processi volti a mitigare i rischi derivanti dall’adozione pervasiva delle tecnologie digitali.

Rispetto al CISO, i dati disponibili ci raccontano come nel 42% del campione sia presente in modo formalizzato questa figura, mentre in un ulteriore 10% ne è prevista l’introduzione nei prossimi 12 mesi. Nel 36% dei casi non esiste una figura formalizzata ed il presidio dell’information security è demandato ad altre figure aziendali. Tra questi ultimi, in un 15% dei casi l’information security è seguita in parte da un responsabile della sicurezza (CSO), che svolge anche compiti legati alla gestione della sicurezza fisica e logica. Nel restante 12% invece non esiste una figura dedicata e non ne è prevista l’introduzione nel prossimo anno.

Le principali attività del CISO

Ma quali sono le principali attività di un Chief Information Security Officer? È possibile distinguerle in due macroaree di responsabilità: la pianificazione e l'implementazione. Nelle attività riferibili alla prima figurano la relazione con gli executive, i business manager, l’audit interna e l’area legal nella definizione dei requisiti (47%), l’allocazione delle risorse e del budget per la sicurezza (44%), la definizione degli obblighi e le responsabilità in materia di security all’interno dell’organizzazione (42%). Fra le attività riguardanti l’implementazione vi sono lo sviluppo e l’implementazione di policy, standard e linee guida per la sicurezza delle applicazioni (80%), la promozione della formazione e della consapevolezza rispetto all’information security (70%), lo sviluppo e l’implementazione di strategie di risk management (30%) e l’acquisito di nuovi processi, servizi e tecnologie e strumenti di testing (25%). Vi è poi una responsabilità che riguarda l’investigazione e l’analisi di sospetti incidenti di sicurezza e data breach e l’individuazione delle azioni correttive (52%) che può essere considerata l’attività a supporto di una revisione delle attività di pianificazione e di implementazione.  Dall’analisi dei diversi profili, emerge come un 12% dei responsabili abbia un profilo completo, che spazia in modo ampio dalla pianificazione all’implementazione. Una buona parte dei responsabili si concentra prevalentemente sugli aspetti di pianificazione (30%), o sugli aspetti di implementazione (22%), mentre la restante parte è caratterizzata da responsabilità più limitate ed eterogenee (36%).

Dal punto di vista delle responsabilità in ambito compliance, appare chiaro che il CISO non deve essere il soggetto cui competono le valutazioni e/o le interpretazioni normative e le scelte sottostanti all’adempimento alle normative stesse. Per fare un esempio, se per l’installazione di un sistema di sicurezza fosse necessario un accordo sindacale ex art. 4 Statuto dei Lavoratori, non dovrebbe essere il CISO a porsi la domanda e a impostare e gestire il percorso di adempimento a tale obbligo di legge. Spetterebbe invece a lui stendere la policy interna inerente il sistema di sicurezza stesso, interfacciandosi con altre figure aziendali.

Pertanto, risulta quanto mai attuale la necessità di una gestione integrata della materia privacy&security: esperti di sicurezza, legali, risorse di compliance, tecnici e responsabili relazioni industriali devono saper dialogare e lavorare in team per il miglior presidio della tematica.

 Maggiori informazioni sul convegno "Information Security & Privacy - Digital Transformation: siamo al sicuro?"