Chief Information Security Officer: perché le imprese lo devono avere
12 Ottobre 2021 in CISO as a Service
L’importanza del Chief Information Security Officer in azienda nasce dal fatto che oggi gli attacchi e le truffe informatiche rappresentano una delle principali componenti di rischio per qualsiasi impresa, al pari delle fonti umane di rischio, come dei guasti ai macchinari o la perdita di know-how per mezzo dei collaboratori.
Tale circostanza emerge anche dai report elaborati dal Clusit e dall’Osservatorio Cyber Security del Politecnico di Milano, i quali hanno registrato, nel 2020, un aumento del 37%, rispetto alla media degli ultimi 6 anni e, solo nel triennio 17-19, un incremento di circa il 50% degli attacchi gravi rispetto al triennio precedente.
Sono dati, questi, che mettono in luce quanto, come mai prima d’ora, sia di fondamentale importanza per le imprese dotarsi di una figura professionale e altamente specializzata che si occupi di pianificare delle corrette strategie di Information Security, Compliance e Risk Management, oltre che di supportare la trasformazione organizzativa delle imprese sui mercati di riferimento: il Chief Information Security Officer, o CISO.
Chief Information Security Officer: un valore aggiunto in azienda
In un contesto fattuale che presenta quantità di rischi sempre maggiori e complessi, la necessità di dotarsi di uno specialista, il Chief Information Security Officer, è fondamentale.
Tale figura professionale differisce dal responsabile dei sistemi IT, sia per via del differente ruolo aziendale che ricopre (assimilabile a quello di un dirigente), che per la sensibilità generale che possiede sul tema del rischio aziendale (non solo informatico). Si tratta di un profilo che permette alle imprese di attuare piani di prevenzione e, in caso di incidente, azioni, mirate ed efficaci, sfruttando la propria conoscenza delle modalità e degli schemi tramite cui operano i cyber criminali.
Il CISO va a costituire, così, un enorme valore aggiunto per le imprese, che si troverebbero altrimenti impreparate ad affrontare i numerosi rischi che il mercato oggi presenta, che vanno ben oltre ai danni provocati da un blocco della produzione. Si stima, ad esempio, che la perdita di un singolo record, di una singola riga di database, possa costare all’azienda colpita ben 180 dollari (Fonte Ponemon Institute). In relazione a quest’ultimo dato, si pensi a quanti record ogni azienda, specie se di rilevanti dimensioni, possiede per la gestione dei dipendenti, del magazzino, degli asset, o altro, e alle centinaia di migliaia di dollari in cui l’attacco informatico può tradursi.
Ancor più rilevanti sono le conseguenze reputazionali cui l’azienda può andare incontro, a seguito di un attacco informatico. Questo vale soprattutto nel caso in cui il suo core business sia quello di fornire servizi ai propri clienti. Al contrario, un’azienda dotata di un Chief Information Security Officer è spesso in grado di dimostrare ai propri clienti di essere solida e di rispondere a criteri di qualità e sicurezza maggiori. Una dimostrazione è data dal fatto che per poter partecipare ad alcuni appalti di servizi si richiede ai fornitori, ai sensi di quanto disposto da AGID nelle sue linee guida, di disporre di un CISO tra il proprio organico.
CISO come alleato indispensabile del top management
Le peculiari competenze organizzativo-gestionali e di pianificazione richieste al Chief Information Security Officer lo pongono allo stesso livello, all’interno dell’organizzazione aziendale, del DPO e della direzione. E proprio come il DPO o l’RSPP, può essere sia un dipendente dell’azienda che un soggetto esterno alla stessa, purché siano sempre preservati i requisiti organizzativi che consentono al CISO di interagire e cooperare con il top management in modo proattivo.
L’obiettivo comune deve essere il perseguimento della sicurezza e della continuità aziendale, in applicazione del principio della “segregation of duties” (separazione dei compiti).
In conclusione, il Chief Information Security Officer è l’alleato indispensabile per:
- pianificare una corretta strategia di sicurezza che permetta di prevenire le frodi informatiche;
- gestire la crescente pressione normativa in tema di sicurezza;
- trasformare la sicurezza in valore aggiunto.