Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

governance

Conflitti CIO-CISO: quando il budget di sicurezza diventa ostaggio della trasformazione digitale

Home Soluzioni aziendali
Indirizzo copiato

Per risolvere eventuali conflitti CIO-CISO è necessario riconoscere che sicurezza ed efficienza operativa non sono obiettivi opposti ma complementari quando gestiti con autorità e competenze adeguate. Solo così, il CISO può trasformarsi da esecutore tecnico in architetto strategico della resilienza organizzativa

Pubblicato il 21 ott 2025
Fabrizio Saviano

CISO ANPS Milano

Conflitti CIO CISO

Il reporting del CISO al CIO crea una dinamica perversa: il budget di sicurezza dell’intera organizzazione diventa sottoinsieme del budget IT, spesso assorbito da progetti di trasformazione digitale che allargano il perimetro attaccabile senza i controlli indicati dal CISO.

Una situazione che genera conflitti di interesse tra collaboratori del CIO e livori a lunga scadenza, facilmente evitabili con fiducia nel CISO.

Il caso paradigmatico: il CISO deve validare il Network Security Plan scritto dal proprio capo CIO, configurando palese conflitto di interesse – sarà meno propenso a “fargli le pulci”. Due visioni opposte si scontrano: CIO focalizzato su centralizzazione, efficienza operativa e riduzione costi con bonus economici correlati; CISO concentrato su gestione rischio e valutazione equilibrata rischi-benefici.

Il risultato è spesso un CISO con estrazione troppo tecnica, appena promosso senza una formazione adeguata alla governance, che spende il proprio tempo su compiti operativi senza sviluppare un linguaggio business.

È utile, dunque, fornire ai professionisti gli strumenti per navigare questi conflitti strutturali e sviluppare competenze che vadano oltre il tecnico verso la sensibilità business necessaria per bilanciare sicurezza e operatività[1].

I poteri necessari del CISO: quando l’autorità determina l’efficacia della sicurezza

La trappola del budget: quando la sicurezza diventa sottocategoria IT

Come dicevamo, quando il CISO risponde al CIO, il budget di sicurezza dell’intera organizzazione diventa un sottoinsieme del budget IT – una situazione estremamente rischiosa che viene acuita dalla capacità di colleghi pari livello del CISO di assorbire gran parte del budget in progetti strategici di trasformazione digitale.

Questi progetti allargano ulteriormente il perimetro attaccabile e sono spesso privi dei controlli di sicurezza che il CISO avrebbe indicato: si tratta di una dinamica che crea non solo conflitti di interesse tra collaboratori del CIO, ma genera anche livori a lunga scadenza che sarebbero stati facilmente evitabili riponendo fiducia nel CISO.

Il conflitto di interesse strutturale: il caso del Network Security Plan

Purtroppo, lo schema presentato è quello più ricorrente e i problemi riportati sembrano essere la norma piuttosto che l’eccezione.

Una standardizzazione disfunzionale che perpetua inefficienze e vulnerabilità sistemiche.

Chi valuta il valutatore?

La definizione del Network Security Plan spetta al CIO o al CTO, mentre il CISO ne supporta la pianificazione con una Network Security Checklist focalizzata su perdite (non ROI), evidenziando minacce esterne (hacker, competitor, ex dipendenti) e interne (dipendenti negligenti, infedeli o in difficoltà economica).

Il paradosso: il CISO che riporta al CIO o CTO sta facendo assessment del piano scritto dal proprio capo, configurando un palese conflitto di interesse. Sarà meno propenso a “fargli le pulci”, compromettendo l’indipendenza di giudizio essenziale per la sicurezza efficace.

La checklist compromessa

Quando il CISO è stato assunto o promosso, ha affrontato un percorso di selezione. Ovviamente, qualsiasi organizzazione ha la necessità di verificare le competenze in ambito security prima di affidare a qualcuno questo incarico di grande responsabilità e delicatezza.

Idem, le gerarchie aziendali – e in primis il futuro line manager a cui il CISO dovrà riportare – devono validare il reale beneficio che il candidato esperto porterà in quel particolare contesto.

Ma il giorno dopo aver assunto il ruolo, come per magia, anche il CISO più esperto perde tutta la propria credibilità e passa il tempo a giustificare le proprie richieste, citando white papers scritti da giovani consulenti esterni e riportando statistiche generali che non sono calate sulla realtà specifica in cui opera.

In teoria, la Network Security Checklist del CISO dovrebbe bilanciare sicurezza e usabilità, promuovere strategia unificata che faccia cooperare tecnologia, formazione e sicurezza fisica.

Ma quando il valutatore dipende dal valutato, l’obiettività diventa impossibile.

Due filosofie in conflitto: efficienza vs sicurezza

Ecco, dunque, che due differenti filosofie di gestione aziendale entrano in conflitto tra di loro, contrapponendo efficienza e sicurezza.

La visione del CIO: centralizzazione ed efficienza

Il CIO è focalizzato sulla centralizzazione della gestione delle tecnologie informatiche per migliorare efficienza operativa e ridurre costi.

Garantisce che i sistemi IT funzionino affidabilmente e siano allineati con gli obiettivi, concentrandosi su fornitura di servizi tecnologici e gestione risorse IT.

E, per il raggiungimento di questi obiettivi, il CIO percepisce bonus economici che possono influenzare le priorità di investimento a scapito della sicurezza.

La missione del CISO: equilibrio rischio-beneficio

Il CISO si concentra sulla gestione del rischio e sicurezza IT, spesso estesa alla sicurezza fisica a supporto di IT e business.

Il ruolo è incentrato sulla valutazione equilibrata di rischi e benefici, garantendo protezione da minacce interne ed esterne con misure bilanciate e appropriate.

Evita controlli e restrizioni non necessari che potrebbero rallentare operazioni senza fornire benefici reali in termini di sicurezza.

L’autorità mancante del CISO

Si tratta di equilibri complessi che richiedono valutazione attenta di rischi e minacce specifiche, con implementazione di misure proporzionate.

Responsabilità senza potere

Il CISO spesso soddisfa la richiesta di avere tale figura da parte di organi regolatori e normative che impongono alle organizzazioni di rispondere con autorità necessaria a incident ed emergenze.

Il ruolo include spiegare concetti di sicurezza utilizzando vari registri linguistici per diversi livelli di comunicazione.

Questa attività serve ad allineare funzioni intraorganizzative – finanziaria, legale, operativa – perché tutti possano identificare, capire e indirizzare i rischi.

Ma il CISO ha quest’autorità se riporta al CIO?

Promozione senza formazione

Spesso il CISO ha estrazione ancora troppo tecnica, è stato appena promosso senza essere adeguatamente formato e spende il proprio tempo ad eseguire compiti operativi assegnati dal CIO.

In sostanza, non ha acquisito linguaggio vicino al business, non ha tempo per formarsi e finisce per essere sostituito. Tra i due litiganti, chi gode è solo la criminalità.

Caso paradigmatico: il doppio fattore di autenticazione

Facciamo un esempio. Il CISO determina che l’organizzazione è esposta al rischio di accesso non autorizzato e che l’implementazione di doppio fattore di autenticazione può essere una misura adeguata a evitare gli incident e contemporaneamente abbassare il rating di rischio.

Tuttavia, deve implementare questa misura tecnologica senza rendere troppo complesso o scomodo l’accesso per i dipendenti.

Bilanciare sicurezza con praticità operativa richiede sensibilità che un CISO, affogato in questioni tecniche quotidiane, potrebbe non sviluppare.

Così, si affiderà totalmente a fornitori esterni e i colleghi lo riterranno responsabile di qualsiasi ritardo causato dall’introduzione di un passaggio di autenticazione aggiuntivo.

Questo esempio serve a spiegare che l’approccio richiede sensibilità che va oltre le competenze tecniche pure, necessitando di comprensione profonda dei flussi operativi, delle dinamiche comportamentali degli utenti e dell’impatto business delle decisioni di sicurezza.

Vantaggi dell’Executive CISO indipendente

I vantaggi di avere un Executive CISO che riporti direttamente al CEO (e possibilmente al Board) includono indipendenza nel consigliare al top management la strategia migliore, gestire rischi trasversalmente, influenzare scelte strategiche, evitare conflitti d’interesse con superiori e pari grado.

Solo con indipendenza strutturale il CISO può promuovere strategia realmente unificata che faccia cooperare tecnologia, formazione e sicurezza fisica senza compromessi dettati da dinamiche gerarchiche interne.

Verso una governance matura

La risoluzione dei conflitti CIO-CISO richiede riconoscimento che sicurezza ed efficienza operativa non sono obiettivi opposti ma complementari quando gestiti con autorità e competenze adeguate.

Investire nella separazione delle responsabilità e nella crescita professionale del CISO da tecnico a business leader rappresenta investimento strategico che si ripaga attraverso riduzione dei rischi e maggiore agilità competitiva.

Solo eliminando i conflitti strutturali e fornendo autorità adeguata, il CISO può trasformarsi da esecutore tecnico ad architetto strategico della resilienza organizzativa.

[1] Per approfondire le strategie di risoluzione dei conflitti organizzativi, lo sviluppo di competenze business per CISO tecnici e i framework per implementare governance mature della sicurezza, il Manuale CISO Security Manager fornisce metodologie operative per trasformare dinamiche disfunzionali in partnership strategiche efficaci.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Fabrizio Saviano
CISO ANPS Milano
Seguimi su

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Mic-E-Mouse

  • l'analisi tecnica

    Mic-E-Mouse, il mouse che ascolta: quando un sensore ottico diventa un microfono

    14 Ott 2025

    di Salvatore Lombardo

    Condividi
  • cyber attacchi russi - Dal cyberspazio al territorio: come la Russia arruola volontari locali per sabotaggi in Europa (e ora in Italia)

  • guerra ibrida

    Dal cyberspazio al territorio: come la Russia arruola volontari per sabotaggi, anche in Italia

    28 Ott 2025

    di Luca Mella

    Condividi
  • L'Acn incontra gli operatori energetici: i 3 pilastri della protezione delle infrastrutture critiche

  • resilienza sistemica

    ACN incontra gli operatori energetici: i 3 pilastri della protezione delle infrastrutture critiche

    30 Giu 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • Videosorveglianza nei negozi

  • l'analisi

    Videosorveglianza nei negozi, il Garante privacy richiama Confcommercio: cosa impariamo

    04 Ago 2025

    di Stefano Manzelli

    Condividi