La struttura di reporting di un CISO (Chief Information Security Officer) è stata a lungo dibattuta negli ultimi anni, e ancor di più recentemente dopo le violazioni di dati che hanno colpito aziende del calibro di Home Depot, Target e Anthem.
Quattro le domande fondamentali: dovrebbe esserci un CISO in azienda? In caso affermativo a chi si dovrebbe rapportare? Quali sono i pro e i contro di avere un CISO in azienda? E chi decide se serve o no? Nei paragrafi susseguenti cerchiamo di rispondere a queste domande, per capire chi è il CISO, cosa dovrebbe fare e se è una figura indispensabile in azienda per la sicurezza dei dati.
Stabilito che ruolo ha, serve un CISO in azienda?
Il CISO è una posizione di livello dirigenziale che è stata creata per fornire una gestione esecutiva con il consiglio e la consulenza di esperti in materia di sicurezza delle informazioni e protezioni dei beni aziendali. A differenza del direttore della sicurezza informatica, o di altri professionisti della sicurezza, che potrebbero benissimo svolgere il compito di gestione del team di sicurezza dei dati, il CISO dovrebbe avere una comunicazione diretta con alti dirigenti in azienda e avere la visibilità necessaria per la gestione esecutiva di tutte le problematiche che riguardano la sicurezza delle informazioni.
Le chiavi per rendere un CISO un ruolo fondamentale in azienda sono fondamentalmente tre: l’indipendenza, la responsabilizzazione e la posizione. Il CISO deve essere indipendente, ovvero non essere influenzato o messo sotto pressione da coloro che sono coinvolti nella tutela del patrimonio aziendale. Inoltre dovrebbe avere il potere di decidere quali livelli di sicurezza adottare e di eventualmente assumere personale per posizioni rilevanti che ritiene scoperte nell’attuale team di sicurezza. Infine si dovrebbe prodigare nel rendere responsabili i dipendenti per quanto riguarda la sicurezza delle informazioni, rendendo questa pratica un aspetto imprescindibile della cultura aziendale.
Non tutte le aziende hanno la necessità di avere un CISO, ma sicuramente tutte hanno bisogno di una persona che si dedichi alla sicurezza delle informazioni che si basi sulle peculiarità sopra riportate. Trovare un CISO qualificato non è semplice, ma un CISO potrebbe essere anche un direttore della sicurezza informatica o un professionista di alto livello. Tuttavia il CISO avrebbe accessibilità a informazioni che di norma un dipendente senza questo titolo non potrebbe avere.
Con chi si dovrebbe rapportare il CISO?
Un sondaggio condotto nel luglio 2014 da ThreatTrackSecurity ha rilevato che il 47% dei CISO si rapporta direttamente con l’amministratore delegato o il presidente, mentre il 45% si relaziona con il CIO, il 4% con il Chief Compliance Officer, e meno del 2% con il COO e il CFO. Il CISO, idealmente, dovrebbe riferire direttamente al CEO o a un altro dirigente di livello C, come ad esempio il CIO o il CTO, ovvero quei dirigenti che dovrebbero comprendere le esigenze del CISO e apprezzare il suo ruolo all’interno dell’azienda. In questo modo il CISO avrebbe il potere di distribuire le risorse necessarie per la sicurezza della informazioni autonomamente e senza l’influenza da parte di altri dirigenti. Avere un documento per la sicurezza informatica in esecuzione, approvato e autorizzato dal CEO, può rafforzare la posizione del CISO in azienda. Nonostante il CISO potrebbe riferire ad altri dirigenti, come il Chief Auditor, il Chief Legal Officer o il CFO, questi dovrebbero decidere di non entrare nella struttura di reporting se non hanno una visione specifica delle problematiche o obiettivi comuni sufficienti.
Nel riferire a dirigenti come CIO o CTO il CISO ha i suoi bei grattacapi. Infatti è da chiedersi se il CISO ha il peso sufficiente per implementare un livello di sicurezza specifico anche se il CIO o il CTO lo hanno incaricato di non farlo. Può il CISO controbattere o decidere autonomamente nel caso il suo superiore decide di non risolvere una vulnerabilità o un difetto di progettazione che sottoporrebbe l’azienda a gravi danni? Anche se questi scenari purtroppo a volte accadono, per fortuna non si verificano molto spesso.
Pro e contro di una struttura di reporting CISO
Pro: Se il CISO si relazione al di fuori del reparto IT, egli dovrebbe riferire a un dirigente di livello C che capisce, sostiene e approvi le funzioni di sicurezza implementate dal CISO con il team di gestione esecutiva. Ciò fornisce l’indipendenza necessaria al CISO, la capacità di essere anche in disaccordo su determinate strategie o scelte, e la capacità di avere una visione equilibrata e professionale a riguardo della protezione dei dati aziendali , con la conseguente possibilità di implementare il programma di sicurezza più adeguato e tramite le tecnologie più adatte.
Contro: Realisticamente, con chi si relaziona il CISO è fondamentale. Qualcuno al di fuori del team IT o al CIO potrebbe essere la cosa peggiore che potrebbe accadere. Il CISO potrebbe perdere la credibilità, la cooperazione e la responsabilizzazione per controllare la sicurezza di beni aziendali. Questo potrebbe accadere perché il dirigente di livello C con il CISO conferisce non lo apprezza, o perché non ha abbastanza influenza per sostenere il lavoro svolto dal CISO. Al contrario, rapportandosi in con un CIO potrebbe essere frustrante se non c’è una visione condivisa o peggio se non scorre buon sangue tra i due anche solo a livello lavorativo.
Ma alla fine chi decide?
Nonostante gli infiniti dibattiti e opinioni espresse sulla possibilità che il CISO dovrebbe riferire al CIO o a un altro dirigente di livello C, l’ultima domanda che viene spontanea è: “Chi decide?” È evidente che non sarà il CISO neoassunto. Ma non sarà neanche il direttore attuale della sicurezza informatica. I definitiva dovrebbero essere i membri del CEO a decidere, ma purtroppo la questione non è in genere presa in considerazione fino a quando l’azienda non subisce una violazione dei dati o un grave incidente a livello di sicurezza.
Come decidere a chi deve rendere conto il CISO
Ci sono diversi fattori che possono essere utilizzati per determinare a chi il CISO deve riferire. Questi includono: serve avere un CISO? Può il direttore della sicurezza informatica o professionista della sicurezza raggiungere gli stessi obiettivi senza il titolo CISO? Il CEO e il comitato esecutivo ritengono che la sicurezza delle informazioni critiche sia indispensabile per il business dell’azienda? Ha il CISO un background e una formazione sufficiente per gestire la sicurezza delle informazioni da una prospettiva di business? È un alto dirigente la persona con cui il CISO ha un rapporto diretto per quanto riguarda la sicurezza delle informazioni? Questo dirigente di livello C ha un’influenza tale per cambiare le procedure o i livelli di sicurezza? Può il CIO fornire al CISO le competenze necessarie perché le procedure di sicurezza abbiano successo?
Al giorno d’oggi ci sono migliaia di aziende che hanno un CISO, molti dei quali riferiscono direttamente sia al CIO sia al CEO. La scelta su chi il CISO si deve rapportare spetta al CEO e al Consiglio di Amministrazione. Un’altra questione è considerare attentamente se un CISO è necessario in azienda e nel caso che sia allo stesso livello di qualsiasi altro dirigente di livello C. Strutturare al meglio la fase di reporting da parte di un CISO è fondamentale, decidendo da subito se questi deve rapportarsi solo con il team IT o con altri dirigenti al di fuori da questo gruppo di lavoro valutando attentamente i pro e contro di questa decisione, pena la salvaguardia dei dati aziendali.