Quella del Chief Information Officer (CIO) è una delle più importanti figure professionali e uno dei ruoli più delicati di un’azienda moderna, soprattutto in un’epoca in cui la tecnologia assume un’importanza fondamentale in tutti i processi produttivi e amministrativi aziendali. Il CIO, in qualità di responsabile dell’Information & Communication Technology (ICT), ha il compito principale di governare le tecnologie affinché siano di adeguato supporto al core business aziendale.

Un recente articolo dal titolo “Che CIO sei? | lati oscuri e luminosi di una figura chiave in azienda” pubblicato dalla società di consulenza e progettazione Xenesys delinea, non senza ironia, ben dieci profili diversi di CIO con caratteristiche, peculiarità, pregi e difetti vari. Poiché la figura del CIO si trova spesso, purtroppo, in contrapposizione a quella del Chief Information Security Officer (CISO), ovvero al responsabile dell’Information Security, ho voluto sviluppare ulteriormente i profili tracciati da Xenesys aggiungendo dettagli sulla minaccia o sul valore aggiunto che ciascuna tipologia di CIO potrebbe potenzialmente rappresentare per la sicurezza della propria azienda.

Ecco, quindi, i dieci profili di CIO rivisitati in ottica di sicurezza delle informazioni:

• Il Risparmiatore: alla continua ricerca di efficienza a basso costo. Il CIO in questione vuole raggiungere alti livelli di performance attraverso virtualizzazione, SaaS e cloud, per non far gravare il budget IT sull’azienda. Profilo certamente encomiabile poiché, dopo disponibilità e performance dei servizi, ciò che viene chiesto al CIO è di contenere i costi e aumentare l’efficienza, a patto che l’indole di risparmiatore non lo induca a cadere nel classico grave errore di considerare la sicurezza solo come un costo. Risparmiare va bene, ma la politica adottata deve considerare l’adozione dei necessari criteri di sicurezza per salvaguardare le informazioni aziendali anche in ambiti tecnologicamente avanzati ma di difficile protezione e dal perimetro non ben definito come, ad esempio, il cloud computing.
• Lo Chef: riesce a mescolare insieme sapientemente l’outsourcing dell’infrastruttura IT e la ragionata applicazione delle tecnologie più adatte, in un equilibrio sinergico che diviene asset importante per la distintività dell’azienda. Attenzione perché ciò che sembra equilibrato dal punto di vista tecnologico può non esserlo da quello della sicurezza delle informazioni aziendali. Il vero chef non si deve limitare a mescolare gli ingredienti del proprio piatto dal punto di vista tecnico ma deve tutelare la propria azienda adottando specifici accorgimenti per assicurare la totale riuscita della pietanza e per proteggerla da potenziali minacce come bruciature, cottura troppo breve o troppo lunga. È proprio su questi aspetti che il CISO interviene per assicurare che il lavoro del CIO Chef giunga alla tavola del cliente senza sgradite sorprese.
• Il Manutentore: il tuttofare IT dell’azienda e il punto di riferimento in caso di malfunzionamento di computer e software; spetta a lui aiutare l’Amministratore Delegato nella configurazione della mail su iPad o il figlio del Presidente a sbloccare il PC. Questa è forse la tipologia più pericolosa di CIO, poiché riguarda normalmente un soggetto che proviene ad un’estrazione prettamente sistemistica, ovvero focalizzata sul mero funzionamento dei sistemi, cioè un CIO che pensa ed agisce ancora come un semplice sistemista, senza aver maturato una visione manageriale dell’ICT. Una vera e propria minaccia per la sicurezza aziendale, poiché molto probabilmente egli non sa nemmeno dove la sicurezza stia di casa. Il business gli chiede di lanciare un nuovo servizio e lui esegue a testa bassa, senza chiedersi minimamente se ciò possa causare problemi di sicurezza per l’azienda. Un osso duro per il CISO che deve lottare non poco per assicurare che questo autentico smanettone non causi troppi danni all’azienda.
• Il Colonnello: sempre pronto a controllare l’operato di subalterni e fornitori, con la dedizione e la meticolosità di un alto ufficiale del KGB. E se non è soddisfatto del risultato non si fa problemi a licenziare i dipendenti in tronco e a cambiare partner su due piedi. La sua spiccata propensione per il controllo lo accomuna in qualche modo al ruolo del CISO, il quale deve essere particolarmente abile nell’indirizzare tale meticolosità in modo che questa risulti funzionale anche all’assicurare il giusto livello di sicurezza delle informazioni. Nella speranza che ciò non porti il CIO a vedere il CISO come un temibile avversario e una potenziale minaccia del suo perimetro d’azione, cosa che lo porterebbe inevitabilmente ad indossare l’elmetto e a trincerarsi con il filo spinato per evitare intollerabili intrusioni nel proprio operato. A quel punto, la convivenza diventerebbe per il CISO una guerra quasi persa in partenza.
• Il Maggiordomo: l’aspirazione verso le massime cariche spingono questo tipo di CIO a relazionarsi direttamente con il CEO, cercando modi per impressionarlo ed entrare nelle sue grazie. Evita al massimo le esposizioni con il CFO, consapevole della cruenta battaglia sul budget che potrebbe innescare al prossimo incontro. Altro osso duro per il CISO, il CIO Maggiordomo sfrutta il proprio rapporto privilegiato e ossequioso con il CEO per lamentarsi delle continue interferenze del CISO nell’allestimento dei suoi giochi di magia tecnologica. Normalmente egli vede la sicurezza delle informazioni come uno spiacevole e fastidioso contrattempo e non perde occasione di denunciare al CEO fantomatici rallentamenti nei progetti di sviluppo o millantare gli inutili costi in misure di sicurezza. In più considera il CISO come un pericoloso antagonista nella corsa all’ambito posto alla destra del CEO mentre la sicurezza aziendale resta pericolosamente minacciata.
• Il Bibliotecario: consapevole del valore dell’informazione per il benessere dell’azienda, trascorre parte del suo tempo lavorativo (e personale) aggiornandosi sulle tendenze emergenti e sugli scenari futuri di mercato. Come sarà il cloud nel 2020? Lui lo sa. Grazie alla propria formazione professionale e al costante aggiornamento, il CIO Bibliotecario conosce certamente l’importanza della sicurezza delle informazioni e il valore aggiunto che essa rappresenta per l’erogazione dei servizi di business. Nei casi migliori, considera l’informazione come un valore per l’azienda, esattamente come fa il CISO, sebbene con una differente ottica. L’indole da topo di biblioteca lo rende calmo e riflessivo, perciò, salvo eccezioni, il CIO Bibliotecario ha ampie possibilità di andare d’accordo con il CISO e coniugare le proprie responsabilità con le esigenze di sicurezza aziendale per il bene della propria azienda.
• L’Arbitro: è lo spartiacque tra la tecnologia e il business. Si interfaccia con uno staff IT composto da esperti e tecnici, cercando di combinare la richiesta di innovazione con la necessità del management di mantenere la competitività sul mercato. Anche il CIO Arbitro ha buone possibilità di andare d’accordo con il CISO nel supportare le esigenze di sicurezza aziendale, soprattutto quando riesce a mettere in primo piano le esigenze di business e a combinarle non solo con le esigenze di innovazione tecnologica, ma anche con le necessarie contromisure di sicurezza. A patto di essere sempre arbitro imparziale e non venduto all’innovazione tecnologica.
• Il Cacciatore: in costante ricerca di tecnologie innovative per sbaragliare la concorrenza e acquisire maggiori quote di mercato. L’eccessivo arrivismo gli fa spesso perdere di vista la sicurezza aziendale. L’eccessivo fervore nello scovare ed adottare nuove tecnologie, spesso non sufficientemente mature, espone inevitabilmente l’azienda ad una serie impressionante di minacce ed esposizioni di sicurezza che anche il miglior CISO fatica a contrastare. Il compulsivo ricorso alla consumerizzazione, inoltre, non fa che aggravare le minacce e ampliare ulteriormente l’esposizione di sicurezza dell’azienda. L’unica via d’uscita per l’azienda sta nel ruolo del CEO che deve essere talmente capace da sfruttare l’abilità innata del CIO Cacciatore ma smorzandone al contempo l’impulsività e l’ardore quanto basta per consentire al CISO di svolgere appieno il proprio ruolo.
• L’Amicone: dà grande importanza alle relazioni sociali e cerca un fornitore fedele e affidabile, con il quale instaurare un rapporto di fiducia nel tempo. Purtroppo l’eccesso di relazioni sociali e la troppa fiducia riposta verso una terza parte contrasta con la confidenzialità e la sana diffidenza richiesta dalla sicurezza delle informazioni, pertanto spesso il CIO Amicone espone sensibilmente l’azienda ad un’ingerenza e una partecipazione eccessive dei fornitori nei processi critici aziendali. Gli interventi che il CISO deve attuare per mitigare gli effetti di questo pericoloso legame hanno talvolta l’effetto di indispettire il CIO Amicone che troppo spesso dimentica di dover essere più amico dei propri colleghi manager piuttosto che di fornitori e terze parti. I rapporti di fiducia troppo prolungati con un singolo fornitore devono essere sempre attentamente monitorati dal CISO e, soprattutto, dal CEO per verificare periodicamente che siano effettivamente salutari e non deleteri per l’azienda.
• Il P.R.: le pubbliche relazioni sono il suo pane quotidiano e il suo obiettivo primario è quello di costruire attorno a sé una fitta rete di connessioni con altri CIO e IT manager, per agevolare la propria scalata al successo. Anche il CIO P.R. rappresenta una seria minaccia per la confidenzialità delle informazioni aziendali, perché la possibilità che si faccia prendere troppo la mano dall’euforia di relazione e partecipazione è sempre dietro l’angolo. La fitta rete di rapporti con CIO di altre aziende, alcune delle quali potrebbero essere concorrenti, può portare all’inavvertita divulgazione di informazioni aziendali riservate che potrebbero essere sfruttate a danno dell’azienda. In occasione di convegni, seminari e altri eventi mondani è bene che egli venga accompagnato a braccetto dal CISO con lo scopo di vegliare e intervenire in anticipo su potenziali fughe di informazioni, così come è bene allestire un adeguato sistema di monitoraggio preventivo sui documenti e sulle presentazioni che il CIO P.R. intende condividere con le proprie connessioni. Una persona da tenere d’occhio, insomma.

Ecco come, secondo il mio modesto e personale parere, le peculiarità di ciascun profilo di CIO possono tradursi in una minaccia o in valore aggiunto per l’azienda e come il CISO deve operare per contrastarne gli effetti negativi e valorizzare quelli positivi con l’obiettivo di salvaguardare al meglio la sicurezza delle informazioni aziendali.

Ettore Guarnaccia