Information security: CISO interno vs CISO esterno
12 Maggio 2021 in CISO as a Service
Sebbene la professionalità del CISO (Chief Information Security Officer) sia indispensabile per assicurare la sicurezza delle medie e grandi imprese, gestire una figura di questo genere in house può risultare estremamente oneroso, talvolta con costi e attività non sempre in linea con le esigenze aziendali.
La soluzione arriva dalla gestione in outsourcing del servizio, appoggiandosi ad aziende partner in grado di fornire supporto multidisciplinare in maniera “sartoriale”, personalizzata secondo le necessità dell’impresa. In questo modo si risparmiano costi e tempo, oltre a migliorare la propria brand awareness posizionandosi come una realtà attenta alla sicurezza dei propri sistemi, alla data protection e rispettosa delle regole.
CISO: le differenze tra interno ed esterno
Il CISO non è una prerogativa unicamente delle grandi aziende. Troppo spesso si ritiene che piccole e medie realtà imprenditoriali non siano toccate dai problemi di security, ma i dati e gli esperti sottolineano che non è così. Il cyber crime, gli incidenti legati alla privacy, i controlli delle autorità riguardano qualsiasi impresa, da quella a conduzioni familiare alla multinazionale. È quindi evidente che serva a tutti dotarsi di un professionista come il CISO, figura che abbia un solido background tecnico ma sia caratterizzato anche da competenze manageriali tali da guidare l’azienda nella definizione di una strategia di sicurezza da ogni punto di vista, compreso il budget da stanziare. Tuttavia, assumere nella propria impresa un CISO professionista come dipendente è un’operazione costosa. Non solo, ma anche impegnativa dal punto di vista dei costi nel tempo, in quanto bisognerà dedicare budget alla figura in sé e non a un progetto orientato a soddisfare altre necessità aziendali.
Ingaggiare invece un CISO esterno consente di superare questi problemi e trarre il massimo beneficio dalla attività di questa figura. In pratica si tratta di affidare il servizio in outsourcing, non assumendo direttamente il professionista nell’organigramma aziendale ma appoggiandosi a un’azienda di advisory che fornisce tutte le competenze e l’assistenza necessarie all’espletamento di adempimenti e controlli mirati.
I vantaggi del CISO esterno
Ingaggiare un CISO esterno, dunque, rispetto all’averne uno interno, rende il servizio accessibile anche alle medie imprese. I costi infatti sono personalizzati in base alle necessità reali dell’azienda, si riduce quindi il rischio di sprecare budget prezioso per attività che non sono fondamentali alla sicurezza della realtà in cui si opera.
Il CISO esterno, essendo parte di un’azienda di advisory e non un professionista isolato, può disporre di un numero di competenze multidisciplinari che sarebbe impossibile riscontrare in un singolo individuo. Il CISO esterno infatti può contare su colleghi esperti in altri campi, come avvocati specializzati in data protection, che sapranno consigliare al meglio l’azienda sui passi da compiere per essere sicuri e rispettare le regole. A questo pro, si può garantire un servizio completo affiancando consulenti con expertise diverse. Ogni scelta può essere valutata insieme all’azienda cliente, in quanto il servizio viene altamente personalizzato.
Il CISO esterno è un professionista che vive ogni giorno il mercato, è costantemente aggiornato sui cambiamenti normativi e permette quindi all’azienda di cui si occupa di stare al passo ed essere sempre adeguata alle disposizioni previste dalla legge.
Inoltre, facendo parte di una realtà strutturata, un CISO esterno ha capacità di intervento ventiquattr’ore su ventiquattro, in quanto dispone di sufficiente personale per svolgere controlli ed eventuali attività di risposta agli incidenti anche di notte e nei festivi. Una circostanza da non sottovalutare: gli attacchi avvengono sempre di più quando l’azienda è ferma e apparentemente indifesa.