Come diventare un Chief Information Security Officer con Giorgio Sbaraglia

Come diventare un CISO ( Chief Information Security Officer)?

Oggi le aziende - a tutti i livelli - hanno bisogno di figure specializzate nella Cybersecurity. Tuttavia, c’è un’enorme carenza in questo settore e si stima che mancheranno in Europa circa 500.000 figure nei prossimi anni. Non dobbiamo inoltre confondere Cybersecurity con IT: sono settori che richiedono competenze differenti.

Nell’ambito specifico, mancano soprattutto ruoli in grado di avere una visione strategica (non solo settoriale) della Cybersecurity in azienda: sono Chief Information Security Officer (CISO), perché la Cybersecurity prima di essere un problema tecnico è un problema culturale che riguarda tutti i dipartimenti dell’azienda, non solo l’IT.

Il ruolo del CISO non è quindi un ruolo specialistico, ma - al contrario - deve avere le capacità di costruire e coordinare le strategie aziendali ed inoltre deve essere in grado di trasmettere questa visione strategica al vertice aziendale, a cui competono le decisioni degli investimenti.

Come è cambiata oggi la sua funzione in azienda (quali sono le sue mansioni) e perché potrebbe essere utile un percorso formativo per intraprendere questo ruolo?

Come abbiamo spiegato, il CISO non deve essere uno specialista con competenze verticali e settoriali. Esiste infatti una difficoltà di comunicazione tra i tecnici informatici (abituati ad usare un linguaggio per addetti ai lavori) e le figure dirigenziali dell’azienda. Il CISO deve avere la capacità - anche comunicativa - di colmare questo divario, che spesso porta le aziende a non investire nella Cybersecurity, perché chi deve decidere i budget non comprende le reali necessità ed i rischi a cui l’azienda è esposta. E proprio alla formazione di questo tipo di figure è dedicato l'Executive Master Cybersecurity e Data Protection della 24ORE Business School.

Il CISO non sarà mai la figura che si occupa di impostare le regole di un firewall, ma deve conoscerne il funzionamento. Deve, invece, conoscere l’evoluzione delle minacce che un cybercrime sempre più aggressivo sta portando alle aziende. Ed ovviamente dovrà essere aggiornato sulle soluzioni che il mercato della Cybersecurity propone per contrastare queste minacce.

Dall’insieme di queste conoscenze potrà progettare l’architettura di sicurezza più idonea per la propria azienda ed essere capace di condividere le soluzioni proposte ed i conseguenti investimenti con la direzione aziendale. Tutto questo con un’attenzione ad un corretto rapporto costi/benefici.

Come è possibile gestire il binomio "Cyber Security-business”?

Non è solo possibile, è necessario e vitale. La Cybersecurity garantisce la continuità del business aziendale. Si parla infatti di Business Continuity (BC): oggi le aziende sono completamente digitalizzate quindi un attacco informatico bloccherebbe le attività aziendali, pregiudicando il business.

Gli attacchi hanno come primo obiettivo i dati dell’azienda (diffusissima oggi la minaccia ransomware che cripta i dati e li rende inutilizzabili) e i dati sono l’asset immateriale più importante di ogni azienda.

Quali sono le nuove sfide della Cybersecurity?

Le sfide sono enormi, perché il nemico è sempre più organizzato ed aggressivo. Ormai il “nemico” non è il singolo hacker, quello con la felpa e il cappuccio che vediamo nei film. Oggi sono vere aziende, con un una struttura organizzativa ed un business model equiparabile a quelle di un’azienda normale. Anzi, forse anche meglio: investono in ricerca e sviluppo quanto, e anche di più, delle aziende tradizionali. Ed i risultati, in termini di fatturato, si vedono: se il Cybercrime fosse un Paese ed il suo giro d’affari fosse il suo PIL, la sua economia sarebbe al terzo posto nel mondo dietro a USA e Cina. Si stima un giro d’affari di 6.000 miliardi di dollari all’anno (dato anno 2021), con una crescita media del 15% all'anno nei prossimi cinque anni.

Il problema è che gli attaccanti corrono più veloci di chi si deve difendere…

Quindi spetta a figure come quelle del CISO riconoscere queste sfide, mantenersi aggiornato (in questo ambito la formazione continua è indispensabile) ed individuare gli interventi più adeguati.

Giorgio Sbaraglia è docente di 24ORE Business School, Coordinatore Scientifico dell'Executive Master Cybersecurity e Data Protection.

Clicca qui, per iscriverti all'Open Lesson gratuita "Cybersecurity e innovazione dei modelli di business: come cambia il ruolo del CISO"