Il Chief Information Security Officer, quali competenze?

Per molti professionisti della sicurezza informatica l'obiettivo finale della carriera è quello di assumere il ruolo di Chief Information Security Officer (CISO). Quella di CISO è una posizione a livello esecutivo, responsabile della gestione e delle operazioni del rischio informatico.

Come sappiamo, la sicurezza informatica si sta trasformando ed oggi un buon CISO deve anche avere forti capacità comunicative e una profonda comprensione del business.

Per potere ricoprire un simile ruolo è necessario comprendere come questo si stia evolvendo e le competenze necessarie per eccellere.

Man mano che le organizzazioni aziendali sviluppano il percorso della digitalizzazione, anche attraverso l’utilizzo dei servizi cloud, la loro capacità di sfruttare efficacemente la tecnologia è diventata parte integrante del loro successo.

Questo processo, però, ha anche creato maggiori opportunità per i criminali informatici.

Negli ultimi anni aziende di tutte le dimensioni hanno subito danni alla reputazione e hanno speso risorse significative per riprendersi da un attacco oppure sono state costrette a pagare multe per violazione della normativa sulla privacy.

Un bravo CISO deve sapere che un incidente informatico è in primo luogo un rischio aziendale e non soltanto un semplice rischio informatico

Quando si prendono decisioni, i consigli di amministrazione e i team esecutivi devono essere in grado di valutare la probabilità di una violazione dei dati oltre a perdite finanziarie o rischi operativi. Un buon CISO li aiuta a farlo.

Secondo una ricerca di Deloitte, ci sono quattro ruoli o aspetti che un CISO deve possedere e sviluppare: il tecnologo, il tutore, lo stratega e il consulente.

Probabilmente molte delle persone che ambiscono al ruolo di CISO hanno già familiarità con le caratteristiche di tecnologo e di tutore.

In qualità di tecnologo, il CISO è responsabile della guida, della distribuzione e della gestione delle tecnologie e degli standard di sicurezza.

Nel ruolo di tutore, monitora e regola programmi e controlli per migliorare continuamente la sicurezza. Non dobbiamo mai dimenticare, però, che i controlli tecnici e gli standard non elimineranno del tutto il rischio di attacchi informatici e che il CISO non ha il controllo su tutte le condizioni che possono aumentare la probabilità di una violazione; ecco perché i ruoli di stratega e consulente hanno assunto una sempre maggiore importanza.

In qualità di stratega, il CISO deve allineare la sicurezza con la strategia aziendale per determinare in che modo gli investimenti in sicurezza possono portare valore all'organizzazione.

In quanto consulente, il CISO aiuta i team esecutivi a comprendere i rischi relativi alla sicurezza informatica in modo che possano prendere decisioni corrette sulla base delle informazioni ricevute.

Per eccellere in questi ruoli è importante avere una ottima conoscenza del business, comprendere la gestione del rischio e migliorare le capacità di comunicazione.

Come dicevamo in precedenza, se si sta già operando nel settore della sicurezza informatica e si è interessati a crescere nel ruolo di CISO, probabilmente, già si conoscono gli aspetti legati al ruolo di tecnologo e di tutore.

È possibile migliorare le proprie competenze tecniche cercando di fare esperienza e ottenere certificazioni in una varietà di aree, in modo da comprendere cosa sia l'analisi delle minacce, la caccia alle minacce, la compliance, l'hacking etico e il controllo del sistema, ma questo non è tutto.

Occorre, infatti, trovare il tempo per lavorare sulle proprie capacità di leadership.

• Comprendere il business è il passo più importante se ci si vuole preparare ad un ruolo a livello esecutivo, occorre imparare a pensare come un uomo d'affari. Chi sono i vostri clienti? Quali sono le grandi opportunità e le sfide del vostro settore? Cosa rende unica la vostra azienda? Quali sono le sue debolezze? Quali strategie aziendali guidano l'organizzazione? È fondamentale prestare attenzione alle comunicazioni aziendali e ai report annuali per scoprire quali priorità ha il board aziendale e perché si sono prese determinate decisioni, leggere articoli relativi al proprio settore per avere una prospettiva più ampia sull'ambiente aziendale e su come la vostra azienda si inserisce nel mercato. Questa ricerca vi aiuterà a prendere decisioni più corrette su come allocare risorse limitate per proteggere i beni aziendali. Vi aiuterà anche a inquadrare le vostre argomentazioni in modo tale che l'azienda ascolti quanto vorrete proporre. Ad esempio, se si desidera convincere l'organizzazione ad aggiornare il firewall, sarà più facile convincere i decisori se si sarà in grado di spiegare le relazioni tra un incidente di sicurezza e il rapporto dell'azienda con clienti o investitori.
• Imparare la gestione del rischio: le aziende lungimiranti assumono regolarmente rischi strategici per raggiungere i propri obiettivi, colgono opportunità per lanciare nuovi prodotti o acquisire un concorrente che renderà i propri prodotti più appetibili sul mercato. Queste decisioni, se errate, possono causare fallimenti o perdite enormi. La gestione del rischio è una disciplina che cerca di comprendere i lati positivi e negativi dell'azione ed eliminare o mitigare i rischi, per quanto possibile. Confrontando la probabilità delle varie opzioni, ad esempio il ritorno sull'investimento se l'impresa ha successo o la potenziale perdita in caso di fallimento, i gestori possono prendere decisioni migliori. Il CISO aiuta a identificare e quantificare i rischi per la sicurezza informatica che dovrebbero essere considerati insieme ai rischi finanziari e operativi.
• Migliorare le capacità di comunicazione: Per essere un buon consulente e stratega, è necessario comunicare in modo efficace con le persone che hanno esperienze e background differenti. Un giorno ci si potrebbe trovare a discutere con un membro molto tecnico della propria squadra, il giorno dopo potrebbe essere necessario partecipare a una decisione aziendale a livello esecutivo o addirittura essere invitato a presentarsi al consiglio di amministrazione. Un piano di comunicazione può essere d’aiuto a perfezionare i messaggi che si devono dare ai vari interlocutori. Per iniziare a sviluppare queste caratteristiche bisogna cercare di capire gli obiettivi delle persone con cui si parla regolarmente. Quali sono le loro necessità? È possibile inquadrare le comunicazioni di sicurezza in termini tali da poterli aiutare a superare queste sfide? È necessario riflettere e prendersi del tempo per mettersi nei panni di qualcun altro prima delle riunioni, delle conversazioni nel corridoio, prima di scambiare e-mail e chat. Può fare davvero la differenza!

Un buon piano di comunicazione fornisce messaggi di sicurezza mirati:

Negli ultimi anni, il ruolo dei CISO è stato portato ad essere parte del board di un’azienda proprio per avere una consulenza strategica sulla sicurezza.

Costruire capacità di leadership come la gestione del rischio e la comunicazione vi aiuterà a entrare in questo ruolo in modo sempre più importante.

Carlo Mauceli