C’è sempre stata una gerarchia nei ruoli cosiddetti C-level: guidata dal Ceo (Chief executive officer), seguita dal Cfo (Chief financial officer) e dal Coo (Chief organization officer), supportata dal Cio (Chief information officer), e il ruolo del Ciso (Chief information security officer) è un’aggiunta relativamente nuova e pertato è stato inserito in coda.
Poco più di cinque anni fa addirittura il 74% dei dirigenti C-level non riteneva che il Ciso meritasse un posto al loro tavolo e più del 60% era convinto che il Ciso avrebbe fallito in qualsiasi ruolo che non fosse interamente legato alla sicurezza.
Con la crescente professionalità mostrata dal Ciso nel suo ruolo, questa opinione sta cambiando: ora il 68% dei dirigenti riconosce la crescente importanza della sicurezza e il 77% ritiene che il Ciso abbia incrementato la propria influenza sul business.
C’è però che il ruolo del Ciso, e più in generale della sicurezza informatica, viene dato un po’ per scontato e attira l’attenzione solo per i motivi sbagliati: i Ciso saranno sempre chiamati a rispondere dinanzi al consiglio di amministrazione dopo una violazione, ma raramente per l’applicazione di eccellenti best practice di sicurezza.
L’attuale pandemia ne è un esempio perfetto: il Ciso è ora al centro di una strategia di business accelerata in cui le aziende si stanno adattando rapidamente a un nuovo modo di lavorare a distanza, e il ruolo del Ciso è quello di identificare gli impedimenti, colmare le lacune e garantire una transizione sicura verso questo nuovo modello o affrontarne le conseguenze.
Del 62% delle aziende Fortune 500 con un Ciso, solamente il 4% lo elenca nelle pagine dedicate alla leadership. Mancanza di influenza che si riflette anche internamente: oltre il 50% dei CISO ammette infatti di avere rapporti difficili con altri dipartimenti, anche finanziari.
Resta uno scollamento tra il riconoscimento dell’importanza del ruolo e l’autorità e l’influenza del Ciso. Ciò è dovuto, almeno in parte, alla capacità dei professionisti della sicurezza di comunicare in modo efficiente con gli altri dirigenti C-level.
Per colmare questo divario i Ciso devono imparare il linguaggio della C-suite, diventando prima membri del consiglio di amministrazione e poi tecnologi.
I consigli di chi applica questa teoria possono essere utili, e ce li fornisce Andrew Rose, Resident Ciso di Proofpoint.
Consigli per il Ciso in sala riunioni
Secondo Rose ci sono diversi fattori che limitano l’ascesa del Ciso a cominciare dal linguaggio che è nuovo in sala riunioni.
Da anni ormai il Cfo spiega il rischio finanziario ai dirigenti: è una funzione aziendale con modelli, nomenclature e metriche consolidate che ogni membro del consiglio di amministrazione comprende.
Lo stesso non si può dire della cybersecurity. Pochi al di fuori della sfera IT hanno familiarità con il tema, per non parlare di minacce in continua evoluzione e delle conoscenze necessarie per difendere un’organizzazione moderna.
Anche le misure prese sono meno tangibili di altre funzioni aziendali. Proteggere un’organizzazione, spiega Rose, non è una scienza esatta, non siamo sempre in grado di offrire risposte rassicuranti, e le posizioni cambiano da un giorno all’altro poiché una nuova vulnerabilità può significare che ciò che era sicuro ora non lo è più.
Poiché pochi membri del consiglio di amministrazione hanno esperienza in materia di sicurezza informatica, viene spesso richiesto ai Ciso di tradurre queste risposte in termini profani, a volte minimizzandone l’importanza e la complessità delle soluzioni.
La C-suite, spiega Rose, vuole la garanzia che i meccanismi di controllo funzionino in modo efficiente e che l’azienda stia facendo abbastanza per gestire le minacce IT, vuole sapere come le risorse messe a disposizione serviranno ad aiutare la direzione strategica e il buon funzionamento del business.
Pertanto il compito del Ciso è quello di capire come fornire tale garanzia senza entrare nei dettagli tecnici.
Sviluppare una cultura della sicurezza dall’alto al basso
Secondo Rose la cybersecurity ha diritto di espressione in sala riunioni, ma deve conquistarsi più dei soli 15 minuti a lei dedicati ogni trimestre.
Deve affermarsi come componente fondamentale di ogni decisione aziendale, nella misura in cui il Ciso si siede a fianco del Ceo, del Coo e del Cio.
Va cambiata la percezione della sicurezza, riposizionando il ruolo da contromisura necessaria a consulenza business-critical. Non siamo qui solo per affrontare le emergenze, ma siamo parte integrante della gestione sicura e di successo delle nostre organizzazioni.
Come leader della protezione, è compito generare questa consapevolezza e guidarne la cultura. Man mano che la consapevolezza aumenta, cresce anche la fiducia nell’autorità del Ciso. E questo è l’obiettivo finale.
Quando si tratta di consiglio di amministrazione, la fiducia rimuove le barriere e consente di influenzare la strategia e di partecipare al dibattito su temi più estesi e generali.
Per arrivarci è necessario un cambiamento di mentalità, possibile solo attraverso la creazione di una cultura della sicurezza. Il linguaggio della cybersecurity deve diventare una seconda natura a ogni livello, dall’alto verso il basso.
Ognuno dovrebbe comprendere le tipologie di minacce che deve affrontare, il loro aspetto nel mondo reale e il ruolo che ogni individuo svolge nel mitigarle.
Secondo Rose il Ciso deve evitare di impegnarsi in conversazioni eccessivamente tecniche e concentrarsi invece sul valore che il suo lavoro aggiunge all’organizzazione, insieme gli asset che protegge.
