Torna all'elenco

Chief Information Security Officer: un “brutto anatroccolo” nelle organizzazioni aziendali

5 febbraio 2020 - Alberto Manfredi






Quanti di voi ricordano la fiaba del “Brutto Anatroccolo” di Hans Christian Andersen (1843)?

“All’interno di una nidiata di anatroccoli, se ne distingue uno dalle piume grigie (Cyber Security), un pò più grande e goffo rispetto ai suoi fratelli (IT). Il protagonista viene emarginato e dopo una lunga serie di vicissitudini (attacchi informatici e perdita di informazioni aziendali) giunge presso uno stagno (Consiglio di Amministrazione) dove vede nuotare un gruppo di splendidi cigni (CxO) e guardando il proprio riflesso nell’acqua, si accorge che lui stesso è diventato un bellissimo cigno bianco”.

Parlare del ruolo nascente di Chief Information Security Officer (CISO) nelle organizzazioni aziendali è come ripercorrere la storia del brutto anatroccolo di Andersen. Vediamo perché e se/come ci potrà essere un lieto fine.

In una società ed economia che gestisce ormai costantemente informazioni “fluide”, ovvero digitali, la cyber security sta diventando oggi uno dei più importanti fattori di successo, o insuccesso, per un’azienda.

Tra le preoccupazioni dei CEO diventa estremamente importante la protezione delle informazioni strategiche e in generale confidenziali, oltre che personali, e la necessità di non essere influenzati nelle decisioni importanti dalla paura di perdere il controllo dell’informazione, in particolare verso la concorrenza (pensiamo, ad es., ad informazioni su offerte commerciali, Merge & Acquisition, Proprietà Intelluale, ecc.).

I CEO manifestano quindi sempre più la necessità di avere un referente specifico executive che possa costantemente assicurarli sulla capacità di gestire la cyber (e information) security in azienda in modalità trasversale in tutte le attività essenziali (Marketing e Vendite, Ricerca e Sviluppo, Produzione, Risorse Umane, Information Technology, …), in particolare verso potenziali minacce informatiche che possono mettere rapidamente in crisi il proprio business (fino al completo blocco), soprattutto se l’azienda è quotata in borsa (quindi più esposta al rischio di reputazione verso i propri azionisti oltre ai clienti).

Il CISO, figura manageriale emergente nell’ambito delle organizzazioni aziendali che hanno elevato la loro attenzione sui temi della cyber e information security diviene quindi la naturale risposta alle esigenze dei CEO di avere un punto di contatto unico.

Tuttavia è spesso un ruolo attivato in situazioni di emergenza, per risolvere un grave incidente informatico o assolvere una prescrizione di una norma di settore o un obbligo di tipo contrattuale, affidato pertanto a figure o troppo tecniche o ad interim di altri ruoli preesistenti. Inoltre l’attenzione del vertice aziendale alla sua attività suscita inevitabili invidie e/o malumori verso altre funzioni aziendali.

Insomma il ruolo di CISO ha oggi un’altissima probabilità di essere emarginato, o peggio odiato, fin dalla nascita, proprio come il brutto anatroccolo.

Qual è oggi il ruolo e missione di questa importante figura e quale può essere la migliore collocazione nelle organizzazioni aziendali che lo renda, usando la metafora di Andersen, un bellissimo cigno come i sui pari CxO ?

Negli ultimi due anni le aziende stanno affrontando da un lato i problemi dell’aumento delle minacce cyber e relativi attacchi ai sistemi informativi da parte della criminalità informatica (uno studio recente riporta che nel 2019 sono stati violati più di 7.9 miliardi di informazioni aziendali e/o personali) e dall’altro l’esigenza di conformità a leggi e norme di settore;

in quest’ultimo caso alcuni esempi sono il Regolamento Generale per la Protezione dei Dati o GDPR, la Direttiva NIS recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (con focus sulla gestione degli incidenti e data breach), lo schema di certificazione Cyber Essential in UK per verificare la postura di sicurezza dei fornitori della Pubblica Amministrazione, il Perimetro di Sicurezza cibernetica nazionale (D.L. 105 del 2019) in Italia, le misure minime di sicurezza per la PA di AGID (Agenzia per l’Italia Digitale), ed altre normative cyber security nazionali emesse dalle rispettive Agenzie di Sicurezza Informatica Nazionali (ad es. il National Cybersecurity Agency o ANSSI in Francia, la Federal Office for Information Security o BSI in Germania), o similari (ad es. National Cyber Security Center in UK…).

Il CISO diventa pertanto la risposta ad una richiesta aziendale di un forte coordinamento delle attività afferenti alla sicurezza delle informazioni, reti e sistemi sia sul fronte tecnico, sia organizzativo e compliance. Tra i principali compiti citiamo:

  • la gestione del sistema di sicurezza delle informazioni (ad es. con riferimento alla norma ISO/IEC 27001);
  • la definizione di requisiti cyber security per tutti i progetti e processi aziendali, in particolare quelli core/critici;
  • il monitoraggio (audit) della postura di sicurezza informatica aziendale;
  • il coordinamento degli interventi a fronte di incidenti informatici (attraverso i Computer Emergency Response Team – CERT o Computer Security Incident Response Team – CSIRT);
  • la definizione di strategie specifiche a supporto del business, della comunicazione e consulenza verso il top management.

Ma come valorizzare la “C”, Chief, di questa figura che nasce spesso come esperto in sicurezza informatica e quindi fino a pochissimo tempo fa collocata a livelli organizzativi molto più bassi, tipicamente in ambito Information Technology ?

Dalla ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano di Febbraio 2019 si evince che il mercato italiano delle soluzioni di information security & privacy nel 2018 è in continua crescita (+9%), raggiungendo il valore di 1,19 miliardi di euro, sostenuta dalle esigenze di adeguamento a leggi e normative di settore, in particolare il GDPR (88% delle aziende ha un budget dedicato).

Le tecnologie e processi interessati sono Network Security & Endpoint Security (grande attenzione all’implementazione di tecnologie di encryption) e Business Continuity & Disaster Recovery.

Appare sempre più evidente pertanto come le necessità di una protezione cyber adeguata coinvolga tecnologie, processi e persone (nella ricerca il 41% delle grandi imprese analizzate prevede anche un aumento dell’organico dedicato alla gestione della security) e, nell’era della rivoluzione digitale, anche un governo della valutazione ed utilizzo di nuove tecnologie quali Internet of Things, Artificial Intelligence, Machine Learning (molto affascinanti e spesso ingredienti principali di una strategia di innovazione di prodotti e servizi), affiancando alle valutazioni di efficacia ed efficienza delle soluzioni e prodotti anche quelle di rischio cyber (correlando i requisiti di sicurezza e privacy).

Appare pertanto evidente come l’allocazione del budget e responsabilità richiesti nella gestione della cyber security in azienda debbano avere un punto di coordinamento unico che aiuti a focalizzare al meglio le risorse e collaborazione con le funzioni aziendali nel raggiungimento dell’obiettivo comune.

Ma se l’obiettivo è chiaro (governare la sicurezza), la strada per raggiungerlo è ancora tortuosa poichè, come sempre, la riorganizzazione delle responsabilità in azienda, che in questo caso comporta la creazione di un ruolo che deve essere in grado di abilitare degli ”innesti” di controllo trasversale nelle altre funzioni aziendali, non è semplice, in particolare in ambiti e ruoli tradizionalmente indipendenti quali ad es. IT, Risk Management, Legale, Acquisti, Ingegneria.

Questa incertezza organizzativa si nota nei dati del rapporto in cui nel 37% delle aziende del campione intervistato non esiste una figura dedicata e sono il Chief Information Officer (30%) o funzioni diverse dall’ICT (7%) a occuparsi del presidio della cyber security.

Anche nelle aziende che hanno inserito il CISO, tipicamente le medio-grandi aziende, la situazione non è rosea: solo nell’8% dei casi il CISO riporta direttamente al Board aziendale, nel 60% fa parte della direzione ICT e riporta al CIO, nel 10% il CISO riporta ad una funzione Security Corporate (che si occupa di sicurezza sia fisica sia logica), nel 3% alla funzione Compliance e Legal, nel 2% Risk Management oppure Operations.

La situazione attuale di prevalente subordinazione del CISO ad altre funzioni aziendali comporta in generale diversi rischi, tra cui:

  • difficoltà nel recepire le esigenze del business e quindi nel fornire una consulenza adeguata e soprattutto rapida al top management (le informazioni del Board possono essere filtrate o diversamente indirizzate dal diretto responsabile del CISO);
  • gestione non ottimale del budget cyber security che può subire, ad esempio, tagli improvvisi dovuti a cause terze e quasi sempre considerato in bassa priorità rispetto al budget della funzione di cui è subordinato (ad es. IT, Corporate Security, …);
  • difficoltà a rendere pervasiva in tutta l’azienda la cultura della sicurezza informatica dovuta a carenza di budget e supporto debole, ovvero poco visibile alle altre funzioni aziendali, da parte del top management;
  • difficoltà ad effettuare analisi del rischio ed introdurre controlli cyber security nei principali processi aziendali (IT, R&D, HR, Procurement, …) dovuti a carenza di budget e supporto debole da parte del top management.

In generale la mancanza di un adeguato supporto (endorsement) del top management al ruolo di CISO può comportare una scarsa collaborazione interna delle altre funzioni aziendali che corrono pertanto il rischio di mettere in secondo piano l’attuazione di azioni di protezione cyber che singolarmente possono apparire poco efficaci, ma che inserite in un quadro complessivo di gestione del rischio cyber aziendale possono provocare effetti devastanti per il business (pensiamo, ad esempio, ai danni provocati da alcune tipologie di virus informatici, i ransomware, causati principalmente da carenze nell’attuazione del processo di aggiornamento dei software e di salvataggio dei dati, oppure alle carenze nei controlli sia fisici sia logici di ingresso/uscita dall’azienda di dispositivi informatici di terze parti, in particolare pendrive usb, causa di perdita di informazioni confidenziali verso la concorrenza).

Infine l’ansia suscitata dai continui attacchi informatici porta le aziende a sacrificare risorse tecniche specialistiche in questo ruolo “incerto”, con tante promesse di crescita, ma che porta spesso alla luce carenze tecniche ed organizzative interne che creano difficoltà a collaborare efficacemente in contesti di crisi.

Il risultato è quello di “bruciare” competenze interne promettenti (la vita lavorativa media di un CISO all’interno della stessa realtà aziendale è stimata in circa 18 mesi) in un mercato in cui sta diventando molto difficile trovare e reclutare risorse competenti ad alto potenziale.

Da dove partire allora ?

Una strada percorribile può essere quella di considerare la funzione e missione del CISO paragonabile dal punto di vista dell’importanza, autorevolezza, competenza ed indipendenza a quella del DPO (Data Protection Officer), nuovo ruolo previsto dal GDPR volto ad assicurare il rispetto dei requisiti previsti dal Regolamento e, in generale, a sorvegliare l’osservanza della normativa europea.

I due ruoli presentano infatti diversi punti di contatto, in particolare nelle competenze richieste e nel posizionamento nell’organizzazione aziendale. Dal punto di vista della competenza è centrale per entrambi la gestione del rischio e l’adozione di misure minime di sicurezza con riferimento a:

  • applicazione di metodologie di analisi del rischio per valutare la postura di sicurezza, tra cui la valutazione di impatto sulla protezione dei dati o Data Protection Impact Assessment (DPIA);
  • governo dei processi di gestione degli incidenti informatici, tra cui i data breach privacy, e relative notifiche alle Autorità di controllo;
  • utilizzo estensivo delle tecniche di crittografia e pseudonominizzazione per proteggere la confidenzialità delle informazioni;
  • resilienza, ovvero capacità di resistenza (rispetto a riservatezza, integrità e disponibilità) dei sistemi che trattano le informazioni agli attacchi informatici;
  • promozione dei principi di privacy e security by design e by default per i quali le misure di sicurezza adottate devono assicurare efficacemente la protezione dei dati fin dalla progettazione di un trattamento o sistema (by design) e durante tutto il suo ciclo di vita (by default);
  • gestione della conformità verso leggi (GDPR) e normative (ad es. ISO/IEC 27001 e la nuova ISO/IEC 27701) con modelli di governo e audit integrati (ad es. COBIT).

Dal punto di vista organizzativo ad entrambi è richiesto di operare con un grado sufficiente di autonomia all’interno dell’organizzazione ed essere il primo punto di contatto del Consiglio di Amministrazione sulle tematiche di competenza. Analizzando meglio gli articoli del GDPR si possono poi trovare altre analogie nei compiti e responsabilità.

Da questo punto di vista, considerando che le competenze e storia professionale del CISO nascono in ambiti prettamente tecnici specialistici (IT Security in particolare), la scelta di questo profilo non è semplice e sarà probabilmente uno dei maggiori “mal di testa” di chi verrà incaricato per la loro ricerca e selezione.

Tuttavia il CISO potrà essere un ottimo alleato dei suoi “colleghi” CxO, in particolare del Chief Information Officer (CIO), poichè, unendo le rispettive forze, saranno in grado di fornire al Consiglio di Amministrazione quelle evidenze necessarie a giustificare investimenti adeguati in tecnologie e soluzioni sempre più innovative e soprattutto “security by design” per lo sviluppo e sostenibilità del business.