I responsabili di alto livello della sicurezza informatica devono essere in grado di raccogliere le sfide che il business impone oggi reinventandosi, privilegiando le competenze di comunicazione e quelle manageriali di alto livello anziché ancorarsi alla conoscenza tecnologica.
A sostenerlo è Forrester Research, nelle parole del suo analista Andrew Rose: “I CISO non possono permettersi di rimanere dove sono, hanno bisogno di decidere se vogliono spostarsi in alto o in basso. Scendere vorrebbe dire assumere un ruolo di supporto, da tecnico esperto, analista della sicurezza, consulente legale, consulente di conformità o ruoli simili”.
Spostarsi verso l’alto fino a diventare un gestore dei rischi informativi aziendali, tuttavia, richiede il confronto con i molti errori compiuti in passato e, purtroppo, ancora attuali. Questi includono la mancanza di allineamento tra la sicurezza IT e il business, così come la carenza di innovazione strategica.
“I CISO che vogliono migliorare e guardare in alto dovranno, inoltre, staccarsi sempre più dagli aspetti tattici delle operazioni di sicurezza”, ha detto Rose. Questi elementi, infatti, saranno progressivamente esternalizzati ai ruoli di supporto e poco avranno a che vedere con la figura del CISO.
I Chief Information Security Officer che vogliono evolvere dovranno investire nel proprio sviluppo, puntando soprattutto sulla formazione volta ad acquisire le competenze di leadership, pensiero strategico, conoscenza del business, gestione del rischio e comunicazione. Un sondaggio di Forrester condotto su un campione di 60 CISO indica, infatti, che queste sono le abilità che dovranno acquisire in futuro i responsabili di alto livello della sicurezza IT, avendo come base una conoscenza tecnica della materia che sia ampia e sempre aggiornata.
Gli intervistati hanno dichiarato che la predisposizione della tecnologia e dei processi in ottica di protezione dei dati è la massima priorità ora, ma entro il 2018 si aspettano che questi aspetti perderanno progressivamente importanza, in favore del coinvolgimento più ampio di tutto il business sulle tematiche relative alla sicurezza IT che, attualmente, risulta in fondo alla loro lista di priorità.
Questo cambiamento si riflette già sugli annunci di lavoro, all’interno dei quali la leadership in materia di sicurezza e le capacità imprenditoriali sono viste già oggi come requisiti irrinunciabili, al contrario delle competenze di sicurezza, che costituiscono skill di preferenza anche se non essenziali. “L’orchestrazione sarà fondamentale in futuro, con i CISO che hanno bisogno di essere in grado di gestire contemporaneamente i fornitori di servizi, coordinare il team di supporto e prendere decisioni critiche in pochi secondi”, ha detto Rose.
L’esperto ritiene che il CISO non sarà più l’unico punto di competenza in materia di sicurezza IT, ma avrà bisogno di un sostegno esterno con competenze mirate relative ad esempio alla compliance, alla privacy, alla gestione dei dati e anche alla sicurezza fisica. “Ogni CISO che sceglie di aspirare a una posizione di vertice dovrebbe iniziare a costruire le proprie capacità imprenditoriali adesso, ampliando le proprie attività di formazione al di là della sicurezza IT e della costruzione di un team di supporto – ha concluso Rose -. Ecco perché dovrebbero pensare al loro futuro e, cosa più importante, cominciare a trovare nuovi modi per contribuire concretamente alla crescita del business della propria azienda”.
