La professione dello Chief Information Security Officer
Chi è lo Chief Information Security Officer?
In un'azienda, lo Chief Information Security Officer (CISO) viene spesso definito alla stregua del CEO, del SG o del BCP. Dati i crescenti rischi a cui è esposto il sistema informatico di un'azienda, lo Chief Information Security Office svolge un ruolo importante nella politica di sicurezza delle informazioni.
Un CISO è l'esperto di sicurezza informatica di un'azienda. Si tratta principalmente di reti e applicazioni di telecomunicazione. È responsabile dell'identificazione e dell'implementazione di tutte le risorse e le soluzioni necessarie per prevenire ogni forma di minaccia. Le minacce che deve identificare sono quelle che possono avere un impatto negativo sull'attività dell'azienda e sulla sicurezza dei dati.
Per fare un esempio più concreto, lo Chief Information Security Office deve identificare le minacce come i tentativi di hackeraggio dei dati aziendali, gli atti dolosi, lo spionaggio digitale o il ransomware. Un altro esempio è il rischio di virus indesiderati. Il flusso di dati su Internet fa sì che queste minacce siano sempre più frequenti e sempre più pericolose. Il CISO ha quindi la responsabilità di garantire la sicurezza, l'affidabilità e l'integrità del sistema informativo aziendale.
A tal fine, lo Chief Information Security Office deve definire una politica di sicurezza specifica per l'azienda. All'interno dell'azienda, un numero indefinito di soggetti ha accesso o interviene su dati informatici riservati. Il CISO deve assicurarsi che tutti questi soggetti applichino in modo appropriato la politica di sicurezza da lui definita.
Il CISO ha il compito di informare e avvertire il personale dei rischi che si corrono in caso di mancanza di sicurezza dei dati o delle applicazioni. Egli sensibilizza tutti i soggetti coinvolti (dirigenti, dipendenti ed esterni) sulle regole da rispettare e sui comportamenti da adottare per garantire la sicurezza dei sistemi informatici.
Qual è il suo ruolo?
Lo Chief Information Security Officer è una posizione strategica nel settore informatico dell'azienda. Non solo garantisce la sicurezza dei dati dell'azienda, ma anche quella dei suoi dipendenti e dei dati raccolti dai clienti.
Ruolo di consulenza
Il ruolo del CISO è quello di consigliare tutti i dipendenti sulla strategia di sicurezza da adottare e di consigliarli su come adottarla.
Ruolo di assistenza
Il CISO assiste in ogni fase della politica di sicurezza informatica dell'azienda.
Ruolo di informazione, sensibilizzazione e formazione
Il CISO informa, sensibilizza, responsabilizza e forma tutti i team e i reparti sui rischi legati alla sicurezza informatica.
Ruolo di allerta
Il CISO ha il compito di segnalare alla direzione e al personale i rischi insiti nella mancanza di sicurezza dei dati e delle applicazioni.
Ruolo di interfaccia
Il CISO funge da interfaccia tra gli operatori e i project manager, nonché tra gli esperti e le parti esterne sulle questioni di sicurezza del sistema informativo.
Quali sono gli obiettivi che deve conseguire?
Le varie fasi del lavoro svolto dal Chief Information Security Officer rientrano nell'ambito delle sue competenze professionali:
Definizione della politica di sicurezza dei sistemi
Il CISO determina gli obiettivi e i requisiti dell'azienda. Quindi implementa le procedure appropriate definendo l'organizzazione e la politica di sicurezza per il sistema informatico dell'azienda.
Valutazione del rischio
La valutazione dei rischi è uno dei compiti del CISO. Il CISO valuta i rischi, le minacce e le conseguenze. Studia i mezzi di protezione disponibili e il loro corretto utilizzo. Sulla base di tutti gli elementi necessari per prendere decisioni, elabora un piano di prevenzione.
Sensibilizzazione e formazione sulla sicurezza
La sensibilizzazione e la formazione da parte del CISO iniziano a livello di Direzione Generale, seguite dai dipartimenti operativi e dalle varie linee di business. Il CISO contribuisce poi alla stesura della carta della sicurezza, che è un insieme di regole di sicurezza. Fornisce consulenza e assistenza ai team e promuove l'uso del sistema da parte di tutti gli utenti.
Convalida tecnica degli strumenti di sicurezza
In questa fase, il CISO controlla gli strumenti di sicurezza che sono stati messi a punto. Definisce le norme e gli standard di sicurezza e contribuisce alla stesura delle regole di sicurezza generali dell'azienda. Controlla che la politica di sicurezza sia coerente con i piani iniziali. Il CISO è anche responsabile del controllo del rispetto delle regole di sicurezza da parte del personale.
Monitoraggio delle modifiche necessarie
Il CISO deve assicurarsi che i piani di sicurezza siano stati redatti in conformità ai piani prestabiliti e che tutti i team abbiano preso provvedimenti per gestire la sicurezza fisica e logica di tutti i sistemi informatici dell'azienda. Se necessario, può riadattare le istruzioni di sicurezza.
Sorveglianza tecnologica e pianificazione futura
Il CISO deve mantenere un costante monitoraggio tecnologico su tutti gli argomenti relativi alla criminalità informatica e alla sicurezza informatica.
Quali sono i requisiti per diventare Chief Information Security Officer?
Il lavoro del CISO richiede un certo numero di competenze tecniche e di qualità umane che gli consentano di svolgere con successo la propria missione.
Le competenze tecniche richieste allo Chief Information Security Office sono:
- una buona conoscenza del sistema di informazione, dell'urbanizzazione e dell'architettura del sistema di informazione
- padronanza della carta d'uso dei sistemi informativi dell'azienda,
- familiarità con gli strumenti di sicurezza informatica,
- conoscenza fluente della lingua inglese, con un approccio tecnico, dato che la maggior parte dei documenti di sicurezza è in inglese,
- padronanza dei vari sistemi di sicurezza adottati dall'azienda,
- competenze legali relative alla sicurezza informatica.
Le qualità umane che un CISO deve possedere:
- curiosità per le novità in materia di cybersecurity e per le nuove tecnologie, che sono numerose e in rapida evoluzione. Il CISO deve essere aggiornato su tutto: hardware, applicazioni, virtualizzazione, linguaggi di programmazione, sistemi operativi, ecc. Deve inoltre seguire costantemente lo sviluppo di standard come l'ISO/IEC 27001,
- rigore per garantire il rispetto delle procedure da parte del personale dell'azienda, nonché per identificare e gestire i tentativi di intrusione,
- capacità organizzative per individuare le misure di sicurezza da implementare,
- capacità di insegnamento per sensibilizzare le persone coinvolte o per fornire formazione ai vari team,
- capacità di ascolto per adattarsi alle diverse persone all'interno dell'azienda,
- uno spiccato senso della comunicazione, per essere in grado di trasmettere informazioni in modo professionale e obiettivo a tutti i livelli dell'azienda,
- ottime capacità di gestione dello stress, per poter monitorare costantemente la sicurezza informatica dell'azienda e affrontare tutte le minacce e i problemi che si incontrano.
Quale formazione occorre?
Il titolo di studio richiesto per diventare Chief Information Security Officer è una laurea magistrale in informatica in una scuola di ingegneria con diverse specializzazioni: sicurezza informatica, telecomunicazioni, sicurezza dei sistemi informatici e delle reti, sicurezza, crittologia, codifica delle informazioni, cybersecurity, ecc...
Scopri i corsi Cegos per diventare Chief Information Security Officer!
Preparazione alla Certificazione CISSP (Information Systems Security Professional)
Sicurezza dei sistemi e delle reti - I fondamenti
