Quella che stiamo vivendo è, senza alcun dubbio, un’epoca contraddistinta da un’evoluzione tecnologica sempre più sfrenata e, di conseguenza, da un costante aumento delle minacce alla sicurezza delle informazioni e alla privacy. Minacce che sono particolarmente persistenti, dilaganti e in costante cambiamento. Per questo il CISO (Chief Information Security Officer), ovvero il responsabile della sicurezza delle informazioni aziendali, è sempre più oberato e stressato.

Per chi non lo sapesse, i compiti di un CISO sono molteplici e tutti ugualmente molto impegnativi, poiché egli deve definire l’Information Security Program, studiare ed attuare le strategie di sicurezza, garantire la continuità del business e sovrintendere la gestione del rischio e degli incidenti di sicurezza, le politiche di sicurezza, il controllo accessi, la sicurezza fisica e ambientale, le architetture di sicurezza, la crittografia, la sicurezza di sistemi, applicazioni, reti e telecomunicazioni, la sicurezza operativa e, infine, assicurare la conformità dell’azienda a leggi, regolamentazioni e standard di settore.

Queste sono solo le principali incombenze di un CISO e ad esse si aggiunge anche l’importante e difficile compito di comunicare con il CEO e il consiglio di amministrazione, figure storicamente molto poco inclini ad ascoltare e decifrare il linguaggio tecnico utilizzato nell’information security. Questo delicato aspetto contribuisce a rendere l’incarico ancora più difficile di quanto già appaia e dimostra che, oltre ad un elevatissimo livello di preparazione tecnica e a spiccate capacità manageriali, il CISO moderno deve possedere anche un acuto senso degli affari ed essere in grado di dominare il linguaggio e la terminologia del business.

Una delle più frequenti cause di fallimento di un Information Security Program, infatti, è costituita dalla mancata comprensione, da parte del consiglio di amministrazione, del CEO e, talvolta, anche del CIO, di quante e quali siano le implicazioni della sicurezza nella definizione e nell’attuazione delle strategie di business, in termini di contromisure e stanziamenti di budget.

Tipicamente, gli organi dirigenziali accusano CIO e CISO di non riuscire ad esprimersi efficacemente in un linguaggio ad essi comprensibile, né di comprendere le strategie di business. E hanno in parte ragione, perché troppo spesso sono costretti a leggere rapporti in cui si parla di attacchi, minacce, vulnerabilità e tecnologie varie, mentre l’unico concetto che CEO e consiglieri comprendono veramente è il rischio di subire perdite economiche. Quindi i CISO devono innanzitutto capire che la chiave per fare breccia nella mente del business è il risk management, ovvero la trasposizione delle scoperture della sicurezza aziendale in rischi, possibilmente espressi in termini monetari.

Ad essere onesti, questa difficoltà di comunicazione non è dovuta esclusivamente ai CISO, perché il più delle volte sono il consiglio di amministrazione e i vari CEO, CFO, CMO e COO a non voler condividere i piani industriali e le pianificazioni strategiche di lungo termine con CIO e CISO, pensando che la tecnologia in generale e l’information security in particolare non abbiano nulla a che vedere con le strategie di business. In aggiunta, molti consiglieri e CEO non vogliono ascoltare in alcun modo gli esperti di tecnologie e di sicurezza, indipendentemente da quanto questi siano bravi a comunicare con il business. Il risultato è che CIO e CISO non hanno quasi mai accesso ai piani strategici aziendali, subendo così un’ulteriore penalizzazione nello svolgimento del proprio ruolo.

Questa ingiusta distanza del CISO dal top management va necessariamente colmata fino a rendere la sicurezza delle informazioni parte integrante delle strategie aziendali, affinché invece di vendere prodotti e servizi con un po’ di sicurezza, l’azienda sia perfettamente in grado di offrire prodotti e servizi sicuri. Il CISO può raggiungere questo traguardo sia traducendo le esposizioni e i rischi di sicurezza in problematiche di business, sia dimostrando su base continuativa quale sia il valore aggiunto dell’information security nella salvaguardia del business e nella protezione del bene più prezioso di un’azienda: le informazioni. Il conseguente progressivo avvicinamento indurrà l’alta direzione a prendere in sempre maggiore considerazione l’information security nella definizione delle strategie e nell’attuazione dei processi aziendali, mentre il CISO imparerà sempre più a comunicare con efficacia quali ripercussioni potrebbe avere un qualsiasi incidente di sicurezza sul business aziendale. Sentendosi un po’ meno solo.

Ettore Guarnaccia