Tra le professioni più richieste dalle aziende nell’ambito della sicurezza informatica, c’è sicuramente quella del CISO, Chief Information Security Officer, cioè di un responsabile per la sicurezza delle informazioni in grado di definire la giusta strategia di protezione degli asset aziendali e mitigare tutti i possibili rischi informatici.
Tenendo conto del continuo evolversi delle minacce informatiche, il CISO rappresenta dunque una figura fondamentale per la sicurezza informatica aziendale, soprattutto alla luce delle nuove normative europee per la protezione dei dati, delle reti e dei sistemi informativi: il GDPR e la direttiva NIS 2. La presenza di un responsabile per la sicurezza delle informazioni correttamente inserito nell’organigramma aziendale dovrebbe se non eliminare, quanto meno limitare l’accadere di un data breach.
Nonostante tutto, però, uno studio realizzato dall’Osservatorio Information Security & Privacy del Politecnico di Milano sul finire del 2022 ha evidenziato come la figura del CISO sia formalizzata soltanto nel 53% delle aziende italiane, mentre nel 16% dei casi è di fatto presente anche se non è contemplata ufficialmente. Il più delle volte, poi, il CISO fa capo al CIO (Chief Information Officer) e più raramente si interfaccia direttamente con la proprietà e con il CdA.
Che cos’è e cosa fa il CISO
Appurata l’importanza del CISO all’interno dell’organizzazione aziendale, concentriamoci ora su quelle che sono – o dovrebbero essere – le professionalità che gli vengono richieste.
Gestione documentale e firma digitale: abilita un processo full digital sicuro
Per diventare un CISO, è necessario avere una solida conoscenza delle tecnologie informatiche e dei principi fondamentali della sicurezza delle informazioni. Spesso, un CISO ha una formazione in informatica, ingegneria informatica o un campo correlato. Inoltre, è importante avere esperienza pratica nella gestione della sicurezza delle informazioni e una buona comprensione delle normative e degli standard di sicurezza, come ISO 27001.
Un Chief Information Security Officer (CISO) è un alto dirigente aziendale responsabile della gestione della sicurezza delle informazioni e della protezione dei dati all’interno di un’organizzazione. Il ruolo del CISO è di garantire la sicurezza delle risorse informative, dei sistemi informatici e delle reti aziendali.
Le responsabilità tipiche di un CISO includono:
- Sviluppo di politiche e procedure di sicurezza delle informazioni.
- Pianificazione e implementazione di strategie per la gestione dei rischi informatici.
- Monitoraggio e valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi.
- Supervisione dell’implementazione di controlli di sicurezza, come l’accesso alle informazioni, la crittografia dei dati e la protezione delle reti.
- Gestione delle risposte agli incidenti di sicurezza, inclusa l’indagine e la risoluzione di eventuali violazioni o attacchi informatici.
- Formazione e sensibilizzazione dei dipendenti sulla sicurezza delle informazioni.
- Collaborazione con altri dirigenti aziendali per garantire la conformità alle normative sulla privacy e sulla sicurezza dei dati.
Formazione del CISO e certificazione
Oltre alle ovvie competenze tecniche in merito alla sicurezza informatica acquisite sul campo, il CISO può ottenere anche una specifica certificazione come quella offerta da EC-Council. In particolare, il programma C|CISO (Certified CISO) si articola in cinque campi applicativi fornendo le relative competenze tecniche e applicative riassunte di seguito:
Governance
- Definire, implementare, gestire e mantenere un programma di governance della sicurezza delle informazioni.
- Creare una struttura di gestione della sicurezza dell’informazione.
- Creare un quadro per il monitoraggio della governance della sicurezza dell’informazione tenendo conto delle analisi costi/benefici dei controlli e del ROI (Return on Investment).
- Comprendere gli standard, le procedure, le direttive, le politiche, i regolamenti e le questioni legali che riguardano il programma di sicurezza delle informazioni.
- Conoscere i diversi standard come la serie ISO 27000.
Security Risk Management, Controls, Audit Management
- Identificare i processi operativi e gli obiettivi aziendali per valutare il livello di tolleranza al rischio.
- Progettare i controlli dei sistemi informativi in linea con le esigenze e gli obiettivi operativi e condurre test prima dell’implementazione per garantirne l’efficacia e l’efficienza.
- Identificare e selezionare le risorse necessarie per implementare e mantenere efficacemente i controlli sui sistemi informativi.
- Progettare e implementare controlli sui sistemi informativi per mitigare il rischio.
- Progettare e condurre test sui controlli di sicurezza delle informazioni per garantire l’efficacia, individuare le carenze e garantire l’allineamento con le politiche, gli standard e le procedure dell’organizzazione.
- Comprendere il processo di audit IT e avere familiarità con gli standard di audit IT.
- Applicare i principi, le competenze e le tecniche di audit dei sistemi informativi per esaminare e testare le tecnologie e le applicazioni dei sistemi informativi al fine di progettare e attuare un’approfondita strategia di audit IT basata sul rischio.
- Eseguire il processo di audit secondo gli standard stabiliti e interpretare i risultati in base a criteri definiti per assicurare che i sistemi informativi siano protetti, controllati ed efficaci nel supportare gli obiettivi dell’organizzazione.
- Garantire che le necessarie modifiche basate sui risultati dell’audit siano attuate in modo efficace e tempestivo.
Security Program Management & Operations
- Definire le attività necessarie per eseguire con successo il progetto per la sicurezza delle informazioni.
- Sviluppare, gestire e monitorare il budget di programma dei sistemi informativi, stimare e controllare i costi dei singoli progetti.
- Identificare, negoziare, acquisire e gestire le risorse necessarie per una corretta progettazione e implementazione del programma sui sistemi informativi (ad esempio, persone, infrastrutture e architettura).
- Acquisire, sviluppare e gestire un team di progetto per la sicurezza delle informazioni.
- Dirigere il personale addetto alla sicurezza delle informazioni e stabilire comunicazioni e attività di gruppo tra il team dei sistemi informativi e altro personale addetto alla sicurezza.
Information Security Core Concepts
- Identificare i criteri per un controllo di accesso ai dati obbligatorio e discrezionale, comprendere i diversi fattori che aiutano nell’implementazione dei controlli di accesso e progettare un piano di controllo di accesso.
- Identificare diversi sistemi di controllo dell’accesso, come carte d’identità e biometria.
- Comprendere diversi concetti di ingegneria sociale e il loro ruolo negli attacchi che prendono di mira i dipendenti aziendali per sviluppare le migliori pratiche per contrastarli.
- Elaborare un piano di intervento in caso di furto d’identità.
- Identificare e progettare un piano per superare gli attacchi di phishing.
- Identificare i processi di attenuazione e trattamento del rischio e comprendere il concetto di rischio accettabile.
- Individuare le risorse necessarie per l’attuazione del piano di gestione dei rischi.
- Progettare un processo sistematico e strutturato di valutazione dei rischi e stabilire, in coordinamento con gli stakeholder, un programma di gestione dei rischi per la sicurezza IT basato su standard e procedure.
- Sviluppare, coordinare e gestire team di gestione del rischio.
- Comprendere il rischio residuo nell’infrastruttura informativa.
- Valutare le minacce e le vulnerabilità per identificare i rischi per la sicurezza e aggiornare regolarmente i controlli di sicurezza applicabili.
- Sviluppare, implementare e monitorare piani di continuità operativa in caso di eventi dirompenti e garantire l’allineamento con gli obiettivi e gli scopi organizzativi.
- Identificare le vulnerabilità e gli attacchi associati alle reti wireless e gestire i diversi strumenti di sicurezza per le reti wireless.
- Valutare la minaccia di virus, trojan e malware per la sicurezza dell’organizzazione e identificare fonti e mezzi di infezione da malware.
Strategic Planning, Finance & Vendor Management
- Eseguire analisi esterne dell’organizzazione (ad esempio, analisi di clienti, concorrenti, mercati e ambiente industriale) e interne (gestione dei rischi, capacità organizzative, misurazione delle prestazioni) e utilizzarle per allineare il programma di sicurezza delle informazioni con gli obiettivi dell’organizzazione.
- Valutare e adeguare gli investimenti IT per garantire che siano sulla buona strada per supportare gli obiettivi strategici dell’organizzazione.
- Acquisire e gestire le risorse necessarie per l’attuazione e la gestione del piano di sicurezza delle informazioni.
- Monitorare e supervisionare la gestione dei costi dei progetti di sicurezza dell’informazione, il ritorno sugli investimenti (ROI) dei principali acquisti relativi alle infrastrutture IT e alla sicurezza e garantire l’allineamento con il piano strategico.
Altri CISO possono puntare a ottenere una certificazione professionale, come il Certified Information Systems Security Professional (CISSP), per dimostrare la loro competenza e abilità nel campo della sicurezza delle informazioni.
In generale, quindi, si capisce come sia opportuno che il CISO ricopra una posizione quadro all’interno dell’azienda, con un ruolo manageriale ed esecutivo. Il suo compito principale è quello di fare in modo che le iniziative di sicurezza siano coerenti con i programmi aziendali e gli obiettivi di business, garantendo che gli asset informativi e le tecnologie utilizzate vengano adeguatamente protetti.
Il CISO all’interno dell’azienda: il suo campo d’azione
In un momento storico in cui le imprese focalizzano il loro business in una sempre più massiccia presenza su Internet, quindi, il Chief Information Security Officer deve avere un profilo operativo sempre più completo e deve essere in grado di affiancare alle proprie competenze tecniche, tecnologiche e organizzative, anche buone capacità relazionali e di coordinamento con gruppi di lavoro che possono essere complessi.
È fondamentale che il CISO abbia piena consapevolezza delle problematiche di cyber security all’interno dell’azienda per la quale lavora: solo così potrà comprendere quali sono i reali interessi economici e comunicare alla dirigenza i rischi derivanti dalle nuove minacce informatiche.
Questo discorso è ancor più vero se si considera che le tecnologie mobile, di virtualizzazione e di tipo cloud stanno diventando sempre più pervasive e presenti nelle aziende stesse, aumentando di fatto il rischio di possibili vulnerabilità a nuove minacce informatiche.
Il CISO deve dunque dotarsi di competenze tecnologiche eterogenee e provvedere ad un aggiornamento tecnico costante proprio per essere in grado di fornire le soluzioni giuste e le contromisure necessarie da adottare per far fronte ad ogni nuova e sconosciuta tipologia di attacco. Oltre ad occuparsi della parte prettamente operativa di cyber security, il CISO deve avere anche un profilo consulenziale capace di impostare le linee guida delle policy di sicurezza e controllare che queste siano pienamente rispettate.
L’importanza del CISO per la compliance al GDPR
Alla luce di quanto detto finora viene naturale collocare, organizzativamente parlando, la figura del CISO all’interno di un sistema di gestione Security e Privacy di cui faccia parte integrante anche il DPO (Data Protection Officer, il responsabile della protezione dati introdotto nella normativa con l’entrata in vigore del GDPR).
Solo grazie alla stretta collaborazione di queste due figure assolutamente complementari tra loro, sarà possibile garantire la corretta gestione della sicurezza informatica e degli asset aziendali, ormai sempre più focalizzati sulla gestione dei dati.
Lo stipendio: quanto guadagna un CISO
Come valorizzare, dunque, la figura professionale del CISO? Difficile dirlo: bisogna tener conto ovviamente delle realtà produttive in cui vivono quotidianamente le aziende. Ma anche della dinamicità del mercato della sicurezza informatica. In un mondo ormai costantemente connesso le minacce sono tantissime e il furto di dati potrebbe avere costi difficilmente quantificabili.