Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA

CISO: che fa e come si diventa Chief Information Security Officer

Il CISO ha il compito di definire le strategie corrette per proteggere al meglio gli asset aziendali e mitigare i rischi informatici: si tratta dunque di una figura importante dell’organigramma aziendale. Ecco perché

12 Lug 2018

Paolo Tarsitano


Tra le professioni più richieste nel 2018, da tutti ormai considerato come l’anno della sicurezza informatica, c’è sicuramente quella del CISO, Chief Information Security Officer, cioè di un responsabile per la sicurezza delle informazioni in grado di definire la giusta strategia di protezione degli asset aziendali e mitigare tutti i possibili rischi informatici.

Tenendo conto del continuo evolversi delle minacce informatiche, il CISO rappresenta dunque una figura fondamentale per la sicurezza informatica aziendale, soprattutto alla luce delle nuove normative europee per la protezione dei dati, delle reti e dei sistemi informativi: il GDRP e la direttiva NIS. La presenza di un responsabile per la sicurezza delle informazioni correttamente inserito nell’organigramma aziendale dovrebbe se non eliminare, quanto meno limitare l’accadere di un data breach.

Nonostante tutto, però, uno studio realizzato dall’Osservatorio Information Security & Privacy del Politecnico di Milano sul finire del 2017 ha evidenziato come la figura del CISO sia formalizzata soltanto nel 46% delle aziende italiane, mentre nel 12% dei casi è di fatto presente anche se non è contemplata ufficialmente. Il più delle volte, poi, il CISO fa capo al CIO (Chief Information Officer) e più raramente si interfaccia direttamente con la proprietà e con il CdA.

Che cos’è e cosa fa il CISO

Appurata l’importanza del CISO all’interno dell’organizzazione aziendale, concentriamoci ora su quelle che sono – o dovrebbero essere – le professionalità che gli vengono richieste.

Oltre alle ovvie competenze tecniche in merito alla sicurezza informatica acquisite sul campo, il CISO può ottenere anche una specifica certificazione come quella offerta da EC-Council. In particolare, il programma C|CISO (Certified CISO) si articola in cinque campi applicativi fornendo le relative competenze tecniche e applicative riassunte di seguito:

Governance

  • Definire, implementare, gestire e mantenere un programma di governance della sicurezza delle informazioni
  • Creare una struttura di gestione della sicurezza dell’informazione
  • Creare un quadro per il monitoraggio della governance della sicurezza dell’informazione tenendo conto delle analisi costi/benefici dei controlli e del ROI (Return on Investment)
  • Comprendere gli standard, le procedure, le direttive, le politiche, i regolamenti e le questioni legali che riguardano il programma di sicurezza delle informazioni
  • Conoscere i diversi standard come la serie ISO 27000

Security Risk Management, Controls, Audit Management

  • Identificare i processi operativi e gli obiettivi aziendali per valutare il livello di tolleranza al rischio
  • Progettare i controlli dei sistemi informativi in linea con le esigenze e gli obiettivi operativi e condurre test prima dell’implementazione per garantirne l’efficacia e l’efficienza
  • Identificare e selezionare le risorse necessarie per implementare e mantenere efficacemente i controlli sui sistemi informativi
  • Progettare e implementare controlli sui sistemi informativi per mitigare il rischio
  • Progettare e condurre test sui controlli di sicurezza delle informazioni per garantire l’efficacia, individuare le carenze e garantire l’allineamento con le politiche, gli standard e le procedure dell’organizzazione
  • Comprendere il processo di audit IT e avere familiarità con gli standard di audit IT
  • Applicare i principi, le competenze e le tecniche di audit dei sistemi informativi per esaminare e testare le tecnologie e le applicazioni dei sistemi informativi al fine di progettare e attuare un’approfondita strategia di audit IT basata sul rischio
  • Eseguire il processo di audit secondo gli standard stabiliti e interpretare i risultati in base a criteri definiti per assicurare che i sistemi informativi siano protetti, controllati ed efficaci nel supportare gli obiettivi dell’organizzazione
  • Garantire che le necessarie modifiche basate sui risultati dell’audit siano attuate in modo efficace e tempestivo

Security Program Management & Operations

  • Definire le attività necessarie per eseguire con successo il progetto per la sicurezza delle informazioni
  • Sviluppare, gestire e monitorare il budget di programma dei sistemi informativi, stimare e controllare i costi dei singoli progetti
  • Identificare, negoziare, acquisire e gestire le risorse necessarie per una corretta progettazione e implementazione del programma sui sistemi informativi (ad esempio, persone, infrastrutture e architettura)
  • Acquisire, sviluppare e gestire un team di progetto per la sicurezza delle informazioni
  • Dirigere il personale addetto alla sicurezza delle informazioni e stabilire comunicazioni e attività di gruppo tra il team dei sistemi informativi e altro personale addetto alla sicurezza

Information Security Core Concepts

  • Identificare i criteri per un controllo di accesso ai dati obbligatorio e discrezionale, comprendere i diversi fattori che aiutano nell’implementazione dei controlli di accesso e progettare un piano di controllo di accesso
  • Identificare diversi sistemi di controllo dell’accesso, come carte d’identità e biometria
  • Comprendere diversi concetti di ingegneria sociale e il loro ruolo negli attacchi che prendono di mira i dipendenti aziendali per sviluppare le migliori pratiche per contrastarli
  • Elaborare un piano di intervento in caso di furto d’identità
  • Identificare e progettare un piano per superare gli attacchi di phishing
  • Identificare i processi di attenuazione e trattamento del rischio e comprendere il concetto di rischio accettabile
  • Individuare le risorse necessarie per l’attuazione del piano di gestione dei rischi
  • Progettare un processo sistematico e strutturato di valutazione dei rischi e stabilire, in coordinamento con gli stakeholder, un programma di gestione dei rischi per la sicurezza IT basato su standard e procedure
  • Sviluppare, coordinare e gestire team di gestione del rischio
  • Comprendere il rischio residuo nell’infrastruttura informativa
  • Valutare le minacce e le vulnerabilità per identificare i rischi per la sicurezza e aggiornare regolarmente i controlli di sicurezza applicabili
  • Sviluppare, implementare e monitorare piani di continuità operativa in caso di eventi dirompenti e garantire l’allineamento con gli obiettivi e gli scopi organizzativi
  • Identificare le vulnerabilità e gli attacchi associati alle reti wireless e gestire i diversi strumenti di sicurezza per le reti wireless
  • Valutare la minaccia di virus, trojan e malware per la sicurezza dell’organizzazione e identificare fonti e mezzi di infezione da malware

Strategic Planning, Finance & Vendor Management

  • Eseguire analisi esterne dell’organizzazione (ad esempio, analisi di clienti, concorrenti, mercati e ambiente industriale) e interne (gestione dei rischi, capacità organizzative, misurazione delle prestazioni) e utilizzarle per allineare il programma di sicurezza delle informazioni con gli obiettivi dell’organizzazione
  • Valutare e adeguare gli investimenti IT per garantire che siano sulla buona strada per supportare gli obiettivi strategici dell’organizzazione
  • Acquisire e gestire le risorse necessarie per l’attuazione e la gestione del piano di sicurezza delle informazioni
  • Monitorare e supervisionare la gestione dei costi dei progetti di sicurezza dell’informazione, il ritorno sugli investimenti (ROI) dei principali acquisti relativi alle infrastrutture IT e alla sicurezza e garantire l’allineamento con il piano strategico

In generale, quindi, si capisce come sia opportuno che il CISO ricopra una posizione quadro all’interno dell’azienda, con un ruolo manageriale ed esecutivo. Il suo compito principale è quello di fare in modo che le iniziative di sicurezza siano coerenti con i programmi aziendali e gli obiettivi di business, garantendo che gli asset informativi e le tecnologie utilizzate vengano adeguatamente protetti.

Il CISO all’interno dell’azienda: il suo campo d’azione

In un momento storico in cui le imprese focalizzano il loro business in una sempre più massiccia presenza su Internet, quindi, il Chief Information Security Officer deve avere un profilo operativo sempre più completo e deve essere in grado di affiancare alle proprie competenze tecniche, tecnologiche e organizzative, anche buone capacità relazionali e di coordinamento con gruppi di lavoro che possono essere complessi.

È fondamentale che il CISO abbia piena consapevolezza delle problematiche di cyber security all’interno dell’azienda per la quale lavora: solo così potrà comprendere quali sono i reali interessi economici e comunicare alla dirigenza i rischi derivanti dalle nuove minacce informatiche.

Questo discorso è ancor più vero se si considera che le tecnologie mobile, di virtualizzazione e di tipo cloud stanno diventando sempre più pervasive e presenti nelle aziende stesse, aumentando di fatto il rischio di possibili vulnerabilità a nuove minacce informatiche.

Il CISO deve dunque dotarsi di competenze tecnologiche eterogenee e provvedere ad un aggiornamento tecnico costante proprio per essere in grado di fornire le soluzioni giuste e le contromisure necessarie da adottare per far fronte ad ogni nuova e sconosciuta tipologia di attacco. Oltre ad occuparsi della parte prettamente operativa di cyber security, il CISO deve avere anche un profilo consulenziale capace di impostare le linee guida delle policy di sicurezza e controllare che queste siano pienamente rispettate.

L’importanza del CISO per la compliance al GDPR

Alla luce di quanto detto finora viene naturale collocare, organizzativamente parlando, la figura del CISO all’interno di un sistema di gestione Security e Privacy di cui faccia parte integrante anche il DPO (Data Protection Officer, il responsabile della protezione dati introdotto nella normativa con l’entrata in vigore del GDPR). Solo grazie alla stretta collaborazione di queste due figure assolutamente complementari tra loro, sarà possibile garantire la corretta gestione della sicurezza informatica e degli asset aziendali, ormai sempre più focalizzati sulla gestione dei dati.

Lo stipendio: quanto viene pagato un CISO

Come valorizzare, dunque, la figura professionale del CISO? Difficile dirlo: bisogna tener conto ovviamente delle realtà produttive in cui vivono quotidianamente le aziende. Ma anche della dinamicità del mercato della sicurezza informatica. In un mondo ormai costantemente connesso le minacce sono tantissime e il furto di dati potrebbe avere costi difficilmente quantificabili.

A chiunque voglia approfondire il discorso sulla figura del CISO segnaliamo il Global CISO Forum organizzato dalla EC-Council ad Atlanta, in Georgia, il prossimo 13 settembre. Un appuntamento da non perdere per conoscere tutte le novità in merito all’interessante e sempre più richiesta professione del Chief Information Security Officer.

Articolo 1 di 5