Menu

Un nuovo ruolo per i Chief Information Security Officer (CISO)

Un'indagine IBM rileva un cambiamento critico del ruolo del Responsabile della Sicurezza in azienda, seguendo l’evoluzione delle figure del CIO e del CFO con responsabilità organizzative più strategiche...

Nella recente indagine pubblicata da IBM viene tratteggiata una chiara evoluzione di ruolo per i responsabili della sicurezza delle informazioni, visti sempre meno come figure di supporto tecnico e sempre più coinvolti nelle scelte di business, sebbene solo uno su quattro dei direttori della sicurezza intervistati rivesta attualmente un ruolo strategico nella propria azienda. 

Nel primo studio condotto sui CISO, il Center for Applied Insights di IBM ha intervistato più di 130 responsabili della sicurezza a livello globale, scoprendo tre tipologie di leader, definite sulla base del livello di preparazione e di maturità nell’affrontare le violazioni di sicurezza.

I Chief Information Security Officer (CISO) chiamati “Influencer”, che rappresentano circa un quarto degli intervistati, in genere influenzano le decisioni di business strategiche delle loro aziende e sono più sicuri e preparati rispetto ai colleghi definiti “Protector” e “Responder”.

Nel complesso, tutti i leader della sicurezza di oggi subiscono un'intensa pressione, data la responsabilità di proteggere alcuni dei beni più preziosi dell’azienda: denaro, dati dei clienti, proprietà intellettuale e marchio. Quasi due terzi dei CISO intervistati affermano che gli alti dirigenti oggi prestano più attenzione alla sicurezza rispetto a due anni fa, perché una serie di episodi di hacking e violazioni dei dati di alto profilo li ha convinti del ruolo chiave che la sicurezza deve ricoprire nell'impresa moderna.

Più di metà degli intervistati cita la sicurezza mobile come principale preoccupazione tecnologica nell'arco dei prossimi due anni. Inoltre, quasi due terzi degli intervistati prevede, sempre per i prossimi due anni, un aumento della spesa per la sicurezza e, di questi, l’87 percento prevede un aumento a due cifre.

Anziché limitarsi a rispondere in modo reattivo agli incidenti, il ruolo dei CISO sta orientandosi verso una gestione del rischio intelligente e olistica - passando dall'intervento correttivo a posteriori all'azione preventiva. Diverse caratteristiche sono emerse come tratti degni di nota tra le prassi di sicurezza mature degli “Influencer”. In particolare:

  • Sicurezza vista come un imperativo di business (vs. di tecnologia) - Una delle qualità principali di un’organizzazione con ruolo strategico è avere l’attenzione dei business leader e dei relativi organi. La sicurezza non è piu’ un argomento da addetti ai lavori, bensì parte regolare delle discussioni e, sempre più, della cultura dell’azienda. In effetti, il 60 percento delle organizzazioni più evolute cita la sicurezza come argomento regolarmente trattato a livello di consiglio, rispetto a solo il 22 percento delle organizzazioni meno evolute. Questi leader comprendono la necessità di una consapevolezza del rischio più pervasiva, e sono molto più focalizzati sull'educazione, la collaborazione e la comunicazione a livello di intera impresa. Le organizzazioni della sicurezza orientate al futuro sono più inclini a istituire un comitato direttivo per la sicurezza, per favorire approcci sistemici verso tali problemi, che riguardano diverse divisioni come quella legale, delle attività operative, della finanza e delle risorse umane. Il sessantotto percento delle organizzazioni piu’ avanzate ha un comitato di rischio, rispetto a solo il 26 percento del gruppo meno evoluto.
  • Utilizzo di processi decisionali e misurazioni basati sui dati - Stando allo studio, le organizzazioni leader hanno una probabilità doppia di usare metriche per monitorare i progressi, 59 percento vs. 26 percento. Tenere traccia della consapevolezza degli utenti, dell’educazione dei collaboratori, della capacità di gestire le minacce future e dell’integrazione delle nuove tecnologie può contribuire a creare una cultura consapevole del rischio. E il monitoraggio automatizzato di metriche standardizzate consente ai CISO di dedicare più tempo ai rischi più sistemici e più generali.
  • Responsabilità di budget condivisa con i vertici aziendali - La valutazione ha evidenziato che, all’interno della maggior parte delle organizzazioni, sono in genere i CIO ad avere il controllo del budget per la sicurezza delle informazioni. Tuttavia, tra le organizzazioni di alto livello, il potere di investimento è più spesso nelle mani dei business leader. Nelle organizzazioni più avanzate, i CEO hanno la stessa probabilità dei CIO di governare i budget per la sicurezza delle informazioni. Le organizzazioni più basse in classifica spesso non avevano una voce di budget dedicata, indicando un approccio più tattico e frammentario alla sicurezza. Il settantuno percento delle organizzazioni più evolute ha una voce di budget dedicata alla sicurezza, rispetto al 27 percento del gruppo meno maturo.

Questi dati tracciano il profilo di una nuova classe di CISO, che sta sviluppando una voce strategica e sta aprendo la strada a un atteggiamento più proattivo ed integrato rispetto alla sicurezza delle informazioni”, spiega David Jarvis, autore del rapporto e senior consultant presso l’IBM Center for Applied Insights. “Vediamo che il percorso del CISO sta maturando secondo un modello simile a quello osservato nei CFO degli anni ’70, nei CIO degli anni ’80 – da ruolo tecnico a supporto strategico del business. Ciò dimostra quanto la sicurezza dell’IT sia diventata parte integrante delle organizzazioni”.

Raccomandazioni per un’evoluzione del ruolo della sicurezza nell’impresa

Per creare un’organizzazione della sicurezza più affidabile ed efficace, IBM riconosce che i CISO devono costruire un piano d'azione basato sulle loro capacità attuali e sulle esigenze più pressanti.

Il rapporto offre consigli prescrittivi, derivati dai risultati dello studio, sui passi che le organizzazioni possono intraprendere in base al loro livello di maturità attuale. Ad esempio, i “Responder”, nel primissimo stadio di maturità, possono andare oltre il proprio focus tattico, creando un ruolo dedicato di leadership per la sicurezza (come un CISO), organizzando un comitato per il rischio e la sicurezza, misurando i progressi, e automatizzando i processi di sicurezza di routine per dedicare più tempo e risorse all’innovazione.

La sicurezza in un’era iperconnessa pone una nuova serie di sfide che, tuttavia, possono essere enormemente alleggerite realizzando prassi innovative e adottando un approccio olistico più integrato”, spiega Marc van Zadelhoff, uno degli autori del rapporto e Vice President of Strategy per IBM Security Systems. “I CISO che prioritizzano questi fattori possono aiutare significativamente le loro organizzazioni a migliorare i processi di business e a raggiungere un successo misurabile, nel cammino verso la creazione di una cultura consapevole del rischio, agile e ben equipaggiata per gestire le minacce future”.

Informazioni sullo Studio

Lo studio dell’IBM Center for Applied Insights, “Finding a strategic voice: Insights from the 2012 IBM Chief Information Security Officer Assessment”, ha riguardato organizzazioni distribuite in sette paese e appartenenti ad una vasta gamma di settori.Durante il primo trimestre del 2012, il Centro ha condotto interviste con 138 senior exceutive di business e direttori IT responsabili della sicurezza delle informazioni.

Profilo Intervistati indagine IBM sulla figura dei CISO

Quasi il 20 percento degli intervistati è a capo della sicurezza delle informazioni in aziende con più di 10.000 dipendenti; il 55 percento si trova in aziende con 1.000-9.999 dipendenti.

Per accedere allo Studio completo, visitare il sito www.ibm.com/smarter/cai/security.

Ultima modifica ilGiovedì, 07 Giugno 2018 18:41

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto

I cookie rendono più facile per noi fornirti i nostri servizi. Con l'utilizzo dei nostri servizi ci autorizzi a utilizzare i cookie.
Maggiori informazioni Ok