Perché molti Chief Information Security Officer (CISO) si stanno trasformando in Chief information Risk Officers (CIRO)? Da qualche tempo gli esperti analizzano un cambiamento sul fronte della governance che vede le aziende sdoppiare la figura di riferimento, assumendo oltre ai CISO i CIRO.
Che cosa è e cosa fa un Chief information Risk Officer
Il CIRO spesso lavora nel settore finanziario e riporta direttamente al CIO o al CRO (Chief Risk Officer). È un dirigente di livello C che imposta la strategia per la gestione del rischio e ha il compito di sviluppare tutti quei processi che sono necessari per garantire l’incolumità dei dati trattati dai vari dipartimenti di un’azienda, il che include diversi task:
- la gestione della sicurezza delle informazioni
- la gestione delle politiche di disaster recovery e di business continuity nel caso di attacchi
- la gestione dei fornitori,
- l’approvvigionamento di hardware e software necessario per la sicurezza IT dell’azienda
- la nomina e il coordinamento di un project management officer per l’area IT dell’azienda
- il presidio della conformità IT e la gestione dei rischi esterni (tra questi minacce informatiche, eventi importanti che capitano nel mondo, disordini civili e disastri naturali).
Secondo alcuni esperti, assumere un Chief Information Risk Officer non è una scelta giusta per molte aziende in quanto si tratta di stipendiare un ulteriore dirigente di livello C di cui, in realtà, non c’è bisogno. Infatti, molte organizzazioni hanno già faticato ad assumere un CISO. Metterlo in competizione con un dirigente di pari livello può rivelarsi poco strategico. La questione, infatti, è che le due figure di riferimento sono in sovrapposizione su molte attività, il che può impattare sui tempi previsti per mettere in pratica un obiettivo importate che è stato individuato per la sicurezza informatica dell’azienda.
Serve di più un CISO di larghe vedute che un CIRO
In realtà, sottolineano gli esperti, più che un CIRO, la quadra perfetta sarebbe avere un CISO con una mente rivolta al business, oltre alle comprovate doti tecniche in materia di sicurezza. I CISO, infatti, devono essere dei tecnici per potersi confrontare con ingegneri e CIO per sviluppare tutte le procedure adeguate a mettere in sicurezza la rete aziendale, ma devono anche essere esperti di business, per ottenere tutto il supporto dal Consiglio di Amministrazione per ottenere i fondi che servono al team addetto alla sicurezza di attuare un solido programma di sicurezza. L’aspetto del rischio, è solo una parte di tutte le componenti che un CISO valuta per una strategia di protezione inattaccabile. Se un’azienda dovesse decidere di assumere un CIRO, avrebbe lo stesso problema nel modo inverso, inserendo in organico un dirigente di livello C che attua un programma di sicurezza ma non ha le competenze necessarie per valutare la tecnologia adatta per attuare questo programma.
La “I” che sta a significare “Information” nell’acronimo CIRO suggerisce che quest’ultimo abbia solo una conoscenza basica delle tecnologia di sicurezza, con il rischio che la sua posizione possa emarginare un CISO che ha lavorato sodo per far capire al consiglio di amministrazione quali tecnologie, e di conseguenza, investimenti, servono per un programma di sicurezza affidabile.
Molte aziende hanno bisogno di un CISO incisivo, sicuro e chiaro nel fornire il giusto compromesso tra tecnologia, rischio e sicurezza informatica. Per avere efficacemente il controllo sia sulla sicurezza sia sul rischio, esse devono, per forza di cose, essere correlate tra loro. I CISO più tecnici hanno la tendenza a privilegiare i controlli sulla sicurezza, mentre un dirigente non tecnico potrebbe consentire meno livelli di rischio, ma a scapito della sicurezza. Questo equilibrio ha bisogno di chiari e strategici obiettivi di business che devono senza dubbio avere un senso a livello economico.
Apparentemente ogni giorno si hanno notizie riguardanti violazione dei dati. Imembri del consiglio di amministrazione vogliono la garanzia che questo problema non si verificherà mai nella loro azienda. Attualmente è la figura del CISO quella nella posizione migliore per fornire tale garanzia. Aggiungere un dirigente di livello C come un CIRO, in una struttura esecutiva già consolidata e con i giusti livelli di responsabilità è come cercare di infilare un piolo quadrato in buco rotondo. Forse, col tempo, ci sarà spazio per una figura di Chief Information Risk Officer, ma per le aziende di piccole e medie dimensioni non è ancora il momento giusto.
Il Chief Privacy Officer, una figura importante
Molti governi parlano della valutazione dell’impatto sulla privacy, definendo così quell’insieme di regole che qualsiasi sistema informatico deve rispettare per proteggere le informazioni personali contenute nei registri e nei data base governativi in rispetto della privacy dei cittadini. A questa legge vanno aggiunti una serie di regolamenti ad hoc stilati per salvaguardare la sicurezza e la riservatezza delle informazioni elettroniche riguardante i dati personali, quelli finanziari e quelli di salute dei cittadini.
Questo compito spetta al Chief Privacy Officer (CPO) che deve:
- Identificare e capire i requisiti di legge in materia di privacy da leggi, regolamenti e accordi contrattuali.
- Controllare se i dati personali siano correttamente gestiti in relazione a requisiti sopra descritti
- Rivedere le politiche sulla privacy aziendale per assicurarsi che queste siano conformi a quanto stabilito dalle le leggi sulla privacy e dei regolamenti applicabili.
- Verificare che le misure di sicurezza adottate siano corrette sono ed eseguite in tutta l’azienda.
Oggi è compito del CISO lavorare a stretto contatto con Chief Privacy Officer per garantire i controlli adeguati per proteggere i dati aziendali. Una stretta alleanza tra privacy e sicurezza rafforza la regola e l’equilibrio della protezione dei beni aziendali. Avere un Chief Information Risk Officer ottimamente preparato rispetto a un CISO che lavora con un Chief Privacy Officer per garantire una visione equilibrata della sicurezza delle informazioni è senz’altro più difficile ma oggi è estremamente auspicabile.