L'evoluzione di un CISO: come è cambiato il ruolo
In molte organizzazioni, il Chief Information Security Officer (CISO) si concentra principalmente (e talvolta esclusivamente) sulla cybersecurity. Tuttavia, con le minacce sofisticate di oggi e il landscape in evoluzione, le aziende stanno spostando molte responsabilità di ruoli e l'espansione del ruolo del CISO è al centro di questi cambiamenti. Secondo Gartner, la pressione regolatoria e l'espansione della superficie d'attacco porteranno il 45% dei mandati dei CISO a espandersi oltre la cybersecurity entro il 2027.
Poiché l'ambito delle responsabilità di un CISO cambia così rapidamente, come si adatterà il ruolo per affrontare le sfide cibernetiche del futuro?
Newsletter di settore
Le ultime tendenze in materia di AI, proposte da esperti
Ricevi insight selezionati sulle notizie più importanti e interessanti sull'AI. Iscriviti alla nostra newsletter settimanale Think. Leggi l'Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.
Steve Katz è diventato il primo CISO al mondo quando ha assunto la posizione presso Citicorp/Citigroup nel 1995. Fin dall'inizio del suo percorso da CISO, Katz ha capito che il ruolo non era solo una posizione IT: si trattava di servire l'azienda riducendo i rischi. Negli anni successivi, altre organizzazioni hanno aggiunto questa nuova posizione e nella maggior parte delle strutture organizzative il CISO risponde al CIO. Sebbene molti CISO riconoscessero la vera natura del loro ruolo, il resto delle loro organizzazioni spesso non era sulla stessa lunghezza d'onda.
Col tempo, i CISO si sono ritrovati a gestire problematiche esterne alle proprie organizzazioni, come la creazione di partnership, la collaborazione con i fornitori e la gestione delle trasmissioni di dati esterni. Tuttavia, molte organizzazioni ritenevano che il ruolo rimanesse principalmente nel campo IT, con la responsabilità principale di evitare che l'azienda finisse sulle prime pagine a causa di una grave violazione della sicurezza informatica o attacco. Ciò significava che molti CISO si concentravano principalmente sulla conformità e sulla gestione del rischio.
Negli ultimi anni, il ruolo del CISO ha subito un altro cambiamento significativo di fronte all'aumento degli attacchi informatici e ai crescenti rischi di interruzioni aziendali, multe e danni reputazionali. Secondo il CISO Report di Splunk, l'86% degli intervistati afferma che il ruolo è cambiato così tanto da quando sono diventati CISO che è quasi un lavoro diverso: da ruolo prevalentemente tecnico si è evoluto a uno più da leader aziendale.
Invece di implementare la cybersecurity, i CISO ora si concentrano sull'aiutare i leader dell'organizzazione a comprendere l'importanza della cybersecurity e a guidare il pensiero strategico per la strategia cyber dell'organizzazione. I CISO colmano il divario tra il linguaggio tecnico più facilmente comprensibile al reparto IT e il linguaggio aziendale dei dirigenti senior.
Secondo il report di Splunk, questo cambiamento ha comportato anche una riorganizzazione della struttura organizzativa: il 47% dei CISO ora risponde direttamente al CEO. Facendo sì che il CISO risponda al CEO invece che al CIO, l'organizzazione illustra l'importanza della cybersecurity come priorità chiave. Inoltre, i CISO hanno ora maggiore influenza, potendo sedere al tavolo dei dirigenti e, spesso, persino nel consiglio di amministrazione.
Gli esperti di cybersecurity discutono se il ruolo del CISO debba concentrarsi sul business o sulla tecnologia. Man mano che andiamo avanti, la risposta sicuramente sarà nel mezzo. Oggi più che mai, i CISO di successo devono possedere una rara combinazione di acume tecnico e commerciale per avere davvero successo nel loro ruolo.
Invece di aiutare semplicemente l'organizzazione a parlare un linguaggio comune in termini di cybersecurity e rischio, il CISO assumerà un ruolo di leadership più ampio, assumendo la strategia di cybersecurity per l'intera organizzazione. Con l'aumento della visibilità e delle responsabilità, anche gli altri dipendenti comprenderanno l'importanza della cybersecurity nelle organizzazioni.
Essendo uno dei ruoli esecutivi più recenti, esistente solo negli ultimi decenni, il CISO si è evoluto notevolmente da quando Katz ha fatto notizia. Man mano che le minacce diventano più sofisticate e le aziende diventano sempre più digitali, la disruption aziendale causata dagli attacchi di cybersecurity spesso colpisce ogni aspetto di un'azienda. Le organizzazioni che si rendono conto della crescente importanza della cybersecurity e sviluppano il proprio ruolo di CISO possono creare una cultura in cui ogni dipendente e dirigente considera la cybersecurity come il proprio lavoro.