Con la crescente importanza della cybersecurity aziendale, è aumentato il ricorso a una figura quale il Chief Information Security Officer. Ecco chi è, cosa fa e come si può diventare CISO
Con un numero sempre maggiore di organizzazioni che si affidano alla tecnologia informatica, un profilo di rilievo come il Chief Information Security Officer (CISO) è una presenza sempre più diffusa. Con la necessità di contare su un grado adeguato di sicurezza IT, per proteggere sistemi ormai vitali per la vita aziendale non si può prescindere da un ruolo così delicato. Secondo un’indagine di Navisite (del 2021) circa il 55% di tutte le aziende sondate ha una figura dedicata. Tra quelle che non contemplano il CISO, il 58% dichiara la propensione ad aggiungere questa posizione nel proprio organico.
In passato, la sicurezza informatica rientrava nelle competenze di altri dirigenti IT. Il Chief Technology Officer (CTO) o il Chief Information Officer (CIO) si occupavano generalmente di prevenire gli attacchi informatici. Questi dirigenti collaboravano con gli esperti di sicurezza informatica del team IT per creare solide difese digitali.
Oggi, il progressivo aumento di rischio causato dalle minacce informatiche fa sì che la sicurezza IT sia cruciale. Come annota il Federal Bureau of Investigation, le frodi informatiche sono aumentate di quasi il 500% negli ultimi cinque anni. La criminalità informatica ha un costo per l’economia mondiale stimato in 5500 miliardi di euro nel 2021.
Da qui si comprende perché l’importanza del ruolo del CISO continua a crescere con la diffusione delle tecnologie digitali, con il lavoro ibrido che rimane la norma in molti settori e con l’aumento della preoccupazione per i cyberattacchi, in particolare per i ransomware.
È un ruolo cardine, che richiede determinate responsabilità e un percorso formativo di elevato livello, con guadagni adeguati, pur con differenze sostanziali tra Paese e Paese.
Chi è il CISO
Il Chief Information Security Officer è un dirigente di alto livello che supervisiona la strategia di sicurezza delle informazioni di un’organizzazione. Il suo ruolo è spesso amministrativo e manageriale, in quanto dirige i vari membri di un team dedicato.
È il leader esecutivo responsabile della IT e cybersecurity. In quanto professionista con solide e approfondite competenze tecniche, commerciali e organizzative, opera in tutti i settori economici. Monitora le vulnerabilità della sicurezza, si tiene aggiornato sui cambiamenti tecnologici e attribuisce le risorse per facilitare l’efficienza e l’efficacia.
Lavora a fianco dei funzionari aziendali, dei responsabili aziendali, dei team e dei responsabili IT per monitorare e mantenere efficacemente la sicurezza delle applicazioni, dei database, dei computer e dei siti web della loro organizzazione. Ha anche il compito di stabilire politiche di sicurezza a livello aziendale, sviluppare piani di resilienza alle violazioni dei dati, supervisionare le comunicazioni di aggiornamento dei sistemi e gestire le finanze della cybersecurity.
Il CISO collabora con il Chief Information Officer (CIO) per quanto riguarda le soluzioni informatiche che sono efficaci per le operazioni aziendali e non compromettono la sicurezza della rete o dei database. Tuttavia, come rileva Global Chief Information Security Officer survey 2022 di Heidrick & Struggles, quasi due terzi dei CISO riportano a qualcuno che non sia il CIO, mentre solo l’8% riferisce direttamente all’amministratore delegato.
Di cosa si occupa
Il compito principale di un Chief Information Security Officer è proteggere i dati dell’organizzazione; la sua responsabilità prioritaria è comprendere le operazioni e le sfide della sicurezza nello stato attuale e futuro delle attività aziendali.
Tuttavia il suo ruolo prescinde la sicurezza IT: in quanto incaricato di proteggere i dati proprietari e la proprietà intellettuale delle loro organizzazioni, il Chief Information Security Officer gestisce la sicurezza generale dell’azienda.
Parte integrante del dna di un CISO è aver cura e proteggere la sicurezza dei dati, che rappresentano la linfa vitale di ogni azienda moderna. In qualità di responsabile della sicurezza informatica e digitale, uno dei suoi compiti più importanti è garantire che i dati fluiscano in modo sicuro e affidabile all’interno dell’organizzazione. Con la sicurezza informatica sotto controllo, l’azienda sarà libera di concentrarsi sulla sua strategia a lungo termine.
Sintetizzando alcuni dei punti forti della sua attività, occorre segnare tra le sue priorità quella di sviluppare un’infrastruttura di sicurezza, di sostenere la strategia aziendale, di approvare gli investimenti tecnologici e di assicurare la supervisione della conformità normativa.
Inoltre, deve essere in grado di individuare i punti deboli delle tecnologie e dei programmi di sicurezza informatica esistenti. Grazie alla collaborazione con i dirigenti e i team dedicati, sviluppa politiche di sicurezza e di protezione delle informazioni.
Tra i compiti aggiuntivi vi è la preparazione di bilanci e previsioni finanziarie per le operazioni di security e la manutenzione.
Parte della sua responsabilità in azienda comprende anche l’allocazione delle risorse finanziarie dedicate, il coordinamento delle attività investigative e di recupero dei dati, la valutazione dei rischi e degli audit, oltre che avere chiara conoscenza della conformità alle normative e alle leggi vigenti.
I compiti e le responsabilità specifiche del CISO possono variare notevolmente a seconda delle dimensioni dell’azienda, della gerarchia, del settore e delle normative di conformità. In genere, queste responsabilità coprono molti ambiti funzionali dell’azienda, tra cui:
- Attività per la sicurezza: il CISO si occupa della valutazione del panorama delle minacce informatiche, della definizione di politiche e controlli di sicurezza informatica per ridurre i rischi, oltre alla conduzione di iniziative di auditing e conformità e altro ancora. A questo proposito rientra anche la capacità di determinare se le iniziative di sicurezza dei dati valgono gli investimenti finanziari.
- Disaster recovery: il responsabile della sicurezza informatica deve sviluppare la resilienza informatica in modo che l’organizzazione possa riprendersi rapidamente da hacking, incidenti di sicurezza o violazioni.
- Gestione delle risorse umane: tra le mansioni c’è anche quella di stabilire un sistema che riduca l’errore umano e il suo impatto sulla sicurezza dell’organizzazione.
- Conformità: il CISO deve sapere garantire l’adattabilità dell’organizzazione all’evoluzione delle normative di conformità.
- Documentazione: contribuisce a una serie di politiche di sicurezza associate a conformità, governance, gestione del rischio, degli incidenti, delle risorse umane e di altri ambiti.
- Program onboarding: deve essere in grado di soppesare le opportunità di business rispetto ai rischi per la sicurezza che possono potenzialmente compromettere i risultati finanziari a lungo termine dell’organizzazione.
Diventare CISO: le competenze necessarie
Quando un’azienda assume un nuovo Chief Information Security Officer, cerca una persona di cui fidarsi completamente. In qualità di CISO, egli avrà il controllo completo sulla sicurezza dei dati. Inoltre, avrà anche voce in capitolo nella strategia a lungo termine dell’azienda.
Per iniziare, è necessario conseguire una laurea in informatica, in ingegneria informatica, in sicurezza informatica (o cybersecurity). Se si sceglie di optare per una laurea in informatica, è bene prevedere nel programma di studi il maggior numero possibile di corsi relativi alla sicurezza, obiettivo principale come CISO.
Tra le competenze solide che occorre avere, una fondamentale è la capacità di crittografia: sapere crittografare e de-crittografare i dati è fondamentale, soprattutto quando si condividono dati in rete.
Possiamo consigliare altri passi necessari nel percorso da compiere per ricoprire la carica di CISO. Oltre a contare su un’adeguata formazione universitaria e postuniversitaria, è bene dotarsi di una qualifica ulteriore: una laurea non è sufficiente per diventare Chief Information Security Officer. È necessaria una formazione aggiuntiva e spesso è indispensabile un Master che fornisca la formazione necessaria in materia di governance e sicurezza informatica.
In questo senso, per chi fosse interessato, Bologna Business School offre un master in Digital Technology Management con focus sulla cybersecurity. È solo un esempio: un altro può essere l’executive master Cybersecurity e Data Protection proposto da 24 Ore Business School.
Il CISO è un ruolo che comporta doti di leadership. Gran parte delle energie necessarie per svolgere al meglio questo ruolo è legato alla capacità di lavorare con le persone, creando un team di cybersecurity dedicato, ma dovrà essere capace di operare con diversi ruoli.
Una certa capacità di comunicazione è altrettanto richiesta: il CISO deve essere in grado di comunicare efficacemente con una varietà di persone diverse, superando il divario tra pubblico tecnico e aziendale.
Per diventare un buon responsabile della sicurezza informatica, occorre anche sviluppare una visione strategica. Quando un’azienda assume un nuovo dirigente, cerca anche qualcuno che possa guidarla verso il futuro.
Quanto guadagna un CISO?
La responsabilità elevata e le competenze necessarie per svolgere degnamente il ruolo di Chief Information Security Officer comportano una retribuzione congrua. In alcuni casi si tratta di cifre astronomiche: segnalava già nel 2019 il Los Angeles Times che giusto dieci anni fa per ricoprire questo ruolo in una delle più grandi aziende americane erano stati proposti ben 650mila dollari a Matt Comyns (all’epoca managing partner, cyber security practice alla Caldwell Partners), una delle proposte più remunerative all’epoca. Nel 2019 la stessa azienda ha dovuto pagare 2,5 milioni di dollari per ricoprire lo stesso ruolo…
A parte questi eccessi, di certo, le prospettive di lavoro per i responsabili della sicurezza informatica sono molto favorevoli. L’Ufficio Statistico del Lavoro degli Stati Uniti prevede tra il 2020 e il 2030 una crescita del 13% dell’occupazione nel settore informatico e delle tecnologie dell’informazione. La necessità di raccogliere e archiviare grandi dati nell’odierna economia dell’informazione sta determinando una rapida crescita. Poiché le aziende si affidano a dirigenti IT e di cybersecurity per proteggere i dati preziosi dei clienti, la necessità di CISO continuerà ad aumentare.
La già citata survey 2022 di di Heidrick & Struggles, negli Stati Uniti, registra una retribuzione mediana dei CISO salita a 584mila dollari quest’anno, con un aumento del 15% rispetto ai 509mila dollari dello scorso anno e del 23% rispetto ai 473mila $ del 2020.
Nel Regno Unito, la stessa survey annota una retribuzione media è aumentata del 4% a 318mila sterline quest’anno, rispetto alle 306mila del 2021.
Il mercato in Italia
Resta ora da capire quale sia la situazione in Italia, dove – riporta il Corriere della Sera – il Chief Information Security Officer entro i due anni di esperienza può arrivare a guadagnare 60mila euro lordi l’anno per raggiungere i 100mila euro dopo un lustro. Già così, si nota il sensibile divario tra il nostro Paese e il Regno Unito (per non parlare degli USA).
Il mercato italiano, per un CISO, è ancora ai primordi e ancora poco diffuso. Secondo gli Osservatori della School of Management del Politecnico di Milano, solo nel 41% delle grandi imprese è presente questa figura professionale, mentre nella maggioranza dei casi la mansione è delegata al CIO o ad altri profili. Rilevano, a questo proposito, che:
“questo ‘ritardo’ del contesto italiano è particolarmente evidente se si osservano le aziende in cui è presente il CISO. Infatti, per svolgere adeguatamente il suo compito di gestione della sicurezza dovrebbe riportare direttamente al consiglio d’amministrazione (in modo da porre la security come elemento strategico e possedere autonomia e potere decisionale), ma questo avviene soltanto nell’8% delle aziende“.
Quest’ultima considerazione stride molto rispetto al contesto che si vive in vari Paesi all’estero. Come riporta la Global Chief Information Security Officer survey 2022, l’88% dei CISO campione ha dichiarato di riferire all’intero consiglio o a un comitato.