Il ruolo del Chief Information Security Officer (CISO) non è mai stato così sfidante e cruciale come oggi. Con l'aumento esponenziale delle minacce informatiche, che possono causare danni irreparabili alla reputazione, alla fiducia e al patrimonio delle organizzazioni, i CISO devono essere preparati ad affrontare uno scenario sempre più complesso e dinamico.
Nel 2024, il Brasile ha registrato un aumento significativo degli attacchi informatici. Nel primo trimestre, c'è stato un aumento del 38% rispetto allo stesso periodo del 2023, con le organizzazioni brasiliane che subiscono in media 1.770 attacchi settimanali. Nel secondo trimestre, l'aumento è stato ancora più marcato, raggiungendo il 67% rispetto all'anno precedente, con una media di 2.754 attacchi settimanali per organizzazione. Nel terzo trimestre, il numero medio settimanale di attacchi per organizzazione in Brasile ha raggiunto 2.766, con una crescita del 95% rispetto allo stesso periodo del 2023. I settori più colpiti sono stati finanza, sanità, governo ed energia, con i principali tipi di attacchi ransomware, phishing, DDoS e APT (Minacce Persistenti Avanzate).
I CISO devono adattarsi a questa nuova era di attacchi informatici senza precedenti, spesso svolgendo più ruoli contemporaneamente e, nel caso del Brasile, gestendo uno scenario di contenimento dei costi e degli investimenti nella sicurezza informatica.
Il ruolo del CISO moderno
La posizione di CISO è relativamente nuova. A differenza dei direttori finanziari o direttori esecutivi, la funzione del direttore della sicurezza delle informazioni non esisteva ufficialmente fino alla metà degli anni '90.
Inoltre, il ruolo del CISO è cambiato costantemente nelle organizzazioni. Secondo il rapporto CISO del 2023 di Splunk, il 90% degli intervistati riteneva che il ruolo fosse diventato un "lavoro completamente diverso" rispetto a quando hanno iniziato.
Se all'inizio il CISO era responsabile della redazione delle politiche, della governance della sicurezza e dell'implementazione di controlli di sicurezza più rudimentali, il che portava questa figura a avere una visione molto più tecnica che gestionale, oggi la lista delle attribuzioni è aumentata, e di molto. Una di queste, ad esempio, è la funzione politica della posizione: i CISO devono avere stretti rapporti di lavoro con il CEO, il CFO e l'area Legale dell'organizzazione. Il budget dell'area della Sicurezza è una condizione essenziale per affrontare la miriade di minacce che esistono oggi.
E questo, è ancora un problema per le aziende in tutto il mondo, specialmente in Brasile. La complessità del contesto porta, da un lato, un paese con uno dei più alti tassi di attacchi al mondo. D'altra parte, le incertezze economiche e la fluttuazione del dollaro (dato che la stragrande maggioranza delle soluzioni viene venduta in valuta estera) fanno sì che i CISO debbano equilibrarsi con le risorse disponibili per garantire la protezione dell'azienda.
Buoni comunicatori
Contrariamente a un'immagine che in passato era fortemente basata sullo stereotipo del tecnico, oggi il CISO deve avere un ruolo di leadership ed essere un buon comunicatore per guidare la creazione di una solida cultura della sicurezza informatica all'interno dell'azienda.
Un altro punto importante è che i CISO non possono agire da soli nella gestione della sicurezza delle informazioni. Devono contare sul supporto e sulla collaborazione dell'ecosistema esterno, che include fornitori, clienti, partner, enti regolatori, associazioni di categoria e comunità di sicurezza. Questi attori possono contribuire con informazioni, risorse, soluzioni e buone pratiche che aiutano l'esecutivo a migliorare e rafforzare la sicurezza della sua organizzazione. Per questo motivo, la comunicazione e il rapporto con il mercato sono anch'essi fondamentali.
La sicurezza deve partire da una visione olistica
Non basta avere strumenti e processi di sicurezza isolati e reattivi. I CISO devono avere una visione olistica e integrata della sicurezza, che vada dalla cultura e dalla consapevolezza dei dipendenti fino alla governance e all'allineamento con gli obiettivi di business.
La sicurezza deve essere vista come un elemento trasversale ed essenziale per la continuità e la crescita dell'organizzazione, e non come un costo o una barriera. Per questo, i CISO devono coinvolgere le altre aree e le leadership dell'azienda, dimostrando il valore e il ritorno della sicurezza, e stabilendo politiche e indicatori chiari e misurabili.
Il senso di urgenza è essenziale per anticipare le minacce
Le minacce informatiche sono in continua evoluzione e sofisticazione, e possono colpire qualsiasi organizzazione, indipendentemente dalla dimensione o dal settore. Per questo motivo, è importante essere sempre attenti e aggiornati sulle tendenze e le vulnerabilità del mercato, e investire in soluzioni e metodologie che consentano di anticipare le minacce e i rischi.
Una delle modalità per farlo è adottare un approccio alla sicurezza by design, che incorpora la sicurezza dalla progettazione alla consegna dei prodotti e servizi dell'organizzazione. Un'altra modalità è eseguire test e simulazioni periodiche che valutino l'efficacia e la resilienza dei sistemi e dei processi di sicurezza, e identifichino opportunità di miglioramento e di mitigazione.
Anche se il ruolo del CISO è ancora in evoluzione, questa figura è fondamentale per la protezione e l'innovazione delle organizzazioni nell'era digitale. I CISOs devono essere preparati ad affrontare un livello senza precedenti di minacce, che richiedono una gestione della sicurezza delle informazioni proattiva, strategica e collaborativa.
Infine, i CISO devono tenere presente che la sicurezza delle informazioni non è solo una questione tecnica, ma anche un fattore di competitività e di valore per i clienti. Coloro che riusciranno ad allineare la sicurezza con gli obiettivi di business e le aspettative degli stakeholder, e che sapranno comunicare i benefici e le sfide della sicurezza in modo chiaro e convincente, saranno in grado di costruire una cultura della sicurezza forte e sostenibile nell'organizzazione, e di contribuire al suo successo e alla sua crescita nel contesto digitale.
