CISO: i vantaggi di scegliere l’outsourcing
5 Maggio 2021 in CISO as a Service
Perché, quando si pensa di ricorrere al CISO, l’outsourcing può essere conveniente? Per le imprese non è una novità avvalersi di professionisti esterni come il medico del lavoro o il DPO (Data Protection Officer). Il CISO, acronimo di Chief Information Security Officer, è una figura strategica che deve occuparsi della sicurezza delle informazioni e della protezione dell’organizzazione nel suo complesso.
Tuttavia, i vantaggi dell’outsourcing in altri campi, come ad esempio disporre di un professionista sempre aggiornato senza che l’azienda debba farsi carico dei costi di formazione, potranno valere a maggior ragione per il CISO. Un professionista esterno, alla luce della sua esperienza in molteplici realtà, potrà infatti consigliare al meglio l’azienda ed esercitare un importante ruolo terzo, del tutto estraneo alle eventuali logiche di potere interne. Soprattutto per questo motivo, la scelta di un CISO esterno sarà certamente una scelta estremamente delicata, ma la sua indipendenza e la sua capacità di essere super partes in una logica consulenziale potrà aiutare l’azienda nella scelta delle soluzioni più adatte, a differenza di quanto potrebbe fare un system integrator, interessato a spingere prodotti suoi o dei partner.
CISO interno o CISO in outsourcing?
Il ricorso al CISO in outsourcing potrebbe determinare un salto di qualità per molte imprese italiane ancora immature in questo campo. L’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano rileva infatti che nel 40% delle grandi organizzazioni nazionali non esiste una specifica funzione Information Security. Quando c’è, il ruolo è affidato a una figura interna, molto spesso il CIO, che ha però altre priorità. Si tratta dunque di una scelta controproducente, visto che la priorità del CISO è invece principalmente la security, che può richiedere scelte in contrasto con altri criteri che il CIO potrebbe considerare prioritari, come la facilità di gestione o l’economicità di una soluzione IT.
Anche quando esistono un CISO o una figura equivalente, in poco più di un quarto dei casi, riporta comunque all’IT, mentre sono minoritarie le figure che riportano a una funzione differente (Corporate Security, Risk Management, Legal, Compliance, e così via) e ancor meno quelle che riportano direttamene al board. Sarebbe invece quest’ultima la soluzione preferibile per garantire il necessario ruolo strategico della gestione della sicurezza e l’autonomia del CISO.
La scelta del CISO in outsourcing comporta a questo proposito un ulteriore vantaggio: un professionista esterno ha una maggior consuetudine alle relazioni con i vertici aziendali ed è dunque più adatto ad interfacciarsi con il top management.
Il CISO esterno può inoltre portare, all’interno di realtà dove non si è mai verificato un incidente grave, la sua grande esperienza nella gestione di situazioni critiche. Consente infine di bilanciare il costo sulla base delle reali esigenze dell’organizzazione. Una PMI per la quale, ad esempio, sia sufficiente la disponibilità del CISO occasionalmente, grazie all’outsourcing potrà disporre di un professionista esperto che internamente non si potrebbe permettere, dovendolo assumere a tempo pieno.
CISO, quando e perché conviene in outsourcing
Premesso che affidare il ruolo del CISO in outsourcing è un incarico fiduciario, si dovranno selezionare consulenti che possano vantare esperienze come CISO e non solo generiche competenze ed esperienze nel campo dei progetti di sicurezza.
Un CISO deve essere in grado, infatti, di operare in situazioni complesse, come quelle che si determinano in caso di incidente, quando potrebbe trovarsi nella situazione di coordinare un team tecnico che sta lavorando per ripristinare l’operatività, un team legale che sta operando per sporgere la denuncia presso le autorità competenti, un team focalizzato sulla protezione dei dati personali, che deve notificare la violazione al Garante, un team per la comunicazione che deve adoperarsi per prevenire danni all’immagine aziendale. Solo chi ha sperimentato in più occasioni situazioni di questo tipo e ha un approccio multidisciplinare riesce a non perdere la testa ed essere davvero efficace.
È dunque preferibile scegliere come outsourcer un’azienda che non si limiti a mettere disposizione un CISO esperto ma offra anche il supporto di un team con competenze multidisciplinari integrate, organizzative, legali, tecnologiche e di security, per poter svolgere al meglio il ruolo di CISO in qualunque circostanza.