Non è più concepibile che in alcune aziende manchi la figura del Chief Information Security Officer (CISO), il responsabile della sicurezza informatica.
La prevenzione è sempre un tema noioso, quando dici di fare backup o di usare password sicure, tutti se ne fregano. Poi quando spariscono i dati e gli account, tutti si disperano e sono disposti a pagare qualsiasi cifra pur di riaverli indietro.
Oggi però non c’è più alcun dubbio. Verremo hackerati. Fine. Per cui non si tratta di prevenzione, ma di intervenire quotidianamente a protezione dei nostri “averi” digitali. Questo vale per le persone, figuratevi per le aziende.
Gli attacchi dei cybercriminali e gli incidenti di vario tipo, lo sappiamo, sono in continuo aumento. Soltanto nei primi sei mesi del 2022, in Italia, ci sono stati 1.141 incidenti gravi, l’8,4% in più rispetto allo stesso periodo del 2021, dice l’Osservatorio Cybersecurity & Data Protection del Polimi. Come conseguenza, un’impresa su sette ha subito interruzioni del servizio, ritardi nell’operatività o danni alla reputazione. È chiaro che non si può andare avanti così: c’è sempre più bisogno di una figura professionale che, per competenze ed esperienza, sia in grado di proteggere le infrastrutture dell’azienda, i suoi dati e di conseguenza quelli che ci lavorano.
Questa persona esiste e si chiama CISO.
È il dirigente che deve garantire che le informazioni e le tecnologie siano sempre protette. Ovviamente i suoi compiti possono variare a seconda delle dimensioni dell’impresa, del settore industriale, delle esigenze specifiche. Ma, in generale, il CISO si occupa di definire la strategia per prevenire e contrastare i cyberattacchi e di identificare, valutare e mitigare i rischi informatici. La sua attività non si limita solo a questo: a lui spetta la compliance, cioè deve garantire che l’organizzazione rispetti tutte le leggi, i regolamenti e le norme relative alla sicurezza. Il CISO deve anche promuovere la consapevolezza dei rischi informatici tra i dipendenti, formandoli sulle migliori pratiche e sulle minacce emergenti. Ovviamente deve saper rispondere in modo efficace a eventuali incidenti. È inoltre responsabile della gestione del budget dedicato alla sicurezza informatica e deve monitorare continuamente l’efficacia delle misure adottate, per poi riferire tutto allo staff esecutivo e al consiglio di amministrazione.
Come si diventa CISO? Grazie a una combinazione di formazione, esperienza e competenze specifiche. Di solito il Chief Information Security Officer ha una laurea in informatica, ingegneria informatica, sicurezza delle informazioni o un campo simile. A volte possiede certificazioni che dimostrano il suo livello di conoscenza: deve conoscere a fondo le reti, i sistemi operativi, la crittografia e altre aree tecniche.
Ma servono anche le cosiddette competenze “soft”: la leadership, il pensiero strategico, la capacità di comunicare in modo efficace, la capacità di fare squadra, l’abilità nel risolvere problemi e gestire crisi, la conoscenza delle regolamentazioni.
Il numero dei CISO nelle aziende italiane sta aumentando. Nel 2022, il 53% aveva un CISO formalizzato, rispetto al 46% dell’anno precedente. Molto bene, ma bisogna andare oltre: il tema della cybersecurity deve essere portato all’attenzione del consiglio di amministrazione. Perché è cruciale per la sopravvivenza stessa dell’impresa.