Sicurezza informatica aziendale: perché un CISO è imprescindibile
21 Dicembre 2020 in CISO as a Service
Una figura fondamentale per la sicurezza informatica aziendale, ma sul cui ruolo si fa spesso ancora confusione. Il Ciso – Chief Information Security Officer è un manager dalle ampie competenze gestionali, informatiche, economico finanziarie. Una figura multidisciplinare che riferisce direttamente al CEO e ha potere decisionale sulle azioni da intraprendere per proteggere l’organizzazione da ogni rischio, cyber ma non solo.
La priorità aziendale: la sicurezza informatica
Dotarsi di questo professionista è una decisione non rimandabile. Considerando il contesto globale infatti, la sicurezza informatica aziendale dev’essere trattata come una priorità. Basti pensare che, come emerge dal report Clusit pubblicato quest’anno, nel triennio 2017-2019 il numero di cyber attacchi gravi analizzati è del +48%, passando da 1.127 a 1.670 annui. Gli esperti dell’associazione hanno chiaramente scritto nella ricerca che il 2019 dal punto di vista della security è stato l’anno peggiore di sempre.
Il problema dunque esiste ed è concreto e riguarda le realtà produttive di qualsiasi dimensione, dalle multinazionali alle PMI. I rischi di un cyber attacco sono sempre più elevati e, nel caso il pericolo si concretizzi, gli impatti per l’azienda possono essere tali da pregiudicarne l’operatività, intaccarne le risorse e creare danni difficili da risolvere. Meglio quindi prevenire, adottando le dovute misure di sicurezza con il coordinamento di un Ciso, figura professionale dal vasto bagaglio culturale.
Sicurezza informatica aziendale, chi è il Ciso
Sarà compito del Ciso creare e fare in modo che si persegua, una strategia di sicurezza informatica aziendale efficace. La confusione sul ruolo di questo esperto è data dalla presenza in azienda di professionisti come l’IT Manager. Banalmente, si potrebbe pensare che il coordinatore dell’area IT sia una figura adeguata e sufficiente per gestire l’ambito cyber security dell’organizzazione. Non è così. L’IT manager ha enormi competenze tecniche in materia di informatica, ma per garantire la sicurezza totale serve un approccio completo che spazi dalla conoscenza tecnologica allo sguardo sul business. Il Ciso sicuramente conosce la tecnologia, ma il suo è un ruolo specifico in ambito sicurezza per preservare le informazioni dell’azienda.
Il Ciso dovrebbe preoccuparsi di creare una cultura aziendale relativa alla cyber security, perché ancora oggi molte aziende non considerano il tema rilevante e urgente e di conseguenza non stanziano budget adeguati per questa area. Il Ciso è un professionista dotato di digital skill che si ritrova in azienda a lavorare a stretto contatto con gli incaricati della compliance per garantire il rispetto dei vincoli normativi. Importante, ad esempio, la collaborazione con il DPO, figura più nota perché espressamente citata nel GDPR.
Cosa fa il Ciso e perché è importante per la sicurezza informatica aziendale
In concreto, il Ciso per prima cosa, appena arrivato in azienda andrà a svolgere un assessment per capire quali sono i problemi più rilevanti e proporre all’azienda una strategia che includerà anche il piano finanziario per realizzarla. L’analisi di rischi e vulnerabilità riguarderà, soprattutto in ambito B2B, anche la filiera dei fornitori e dei clienti, da gestire in collaborazione con il DPO. Questa attività viene svolta in queste modalità perché il Ciso si dovrebbe preoccupare anche di valorizzare gli aspetti di security rispetto ai prodotti aziendali, per migliorare la reputation dell’azienda nei confronti dei clienti. Schematizzando, le prime azioni che intraprenderà il Ciso in azienda sono:
• Assessment iniziale
• Creare un action plan e una strategia di lungo termine
• Implementare le necessarie policy
• Gestire gli aspetti di compliance (ad esempio il GDPR)
• Gestire la classificazione delle informazioni
• Gestire l’asset management
• Gestire i diritti di accesso alle risorse e informazioni
• Gestire le protezioni perimetrali nonché le reti wi-fi
• Prevenire gli attacchi, svolgere attività di hardening, Patch e vulnerability management
• Gestire le identità digitali
• Gestire gli incidenti
• Gestire la formazione del personale
• Riportare in modo diretto ai vertici aziendali
Ciso, il percorso formativo per occuparsi di sicurezza informatica aziendale
Comprendendo quali sono le azioni che il Ciso deve intraprendere, è chiaro quindi che si tratta di un professionista con non solo competenze tecniche, ma anche manageriali. Deve essere assolutamente in grado di individuare le corrette risorse interne e i fornitori giusti per portare avanti la strategia di sicurezza informatica aziendale. Ha una cultura economico-finanziaria di base importante, poiché le ripercussioni degli incidenti informatici sono economiche, tanto che per le aziende quotate in Borsa possono comportare un oscillamento del titolo. Il Ciso deve sapere come funziona il bilancio e il mercato, deve conoscere la differenza tra un investimento e un costo per consigliare al meglio l’azienda. Deve avere, quindi, insomma un approccio risk based, che consiste anche nel riuscire a capire quanti soldi far spendere all’organizzazione e in che periodo.
Sono sicuramente da non trascurare anche le competenze normative. Il Ciso deve conoscere gli articoli del GDPR che lo riguardano e avere un linguaggio condiviso con l’ufficio legale aziendale per collaborare in maniera proficua. È importante che abbia anche un’infarinatura da giuslavorista, perché alcuni strumenti da adottare per la security rischiano di violare lo statuto dei lavoratori. Oltre a ciò, il Ciso dovrà essere dotato di capacità comunicative e comprendere come ragionano le persone. Infatti, uno dei principali vettori di rischio informatico è il fattore umano e il CISO, dunque, si dovrà preoccupare di predisporre adeguata formazione al personale.
Dotarsi di un Ciso autorevole, un nome noto sul mercato e tra gli esperti di security, semplifica molto il rapporto con i clienti e la gestione degli audit. Un professionista così come descritto “in house” comporta un costo non indifferente, con compensi che superano i 100.000 euro all’anno. La soluzione vantaggiosa per le aziende che non possono permettersi tali investimenti è usufruire del servizio in outsourcing, prendendo un esperto esterno che permetta di bilanciare presenze e costi, in relazione alle esigenze aziendali.
Alessio Pennasilico – Information & Cyber Security Advisor presso P4I – Partners4Innovation