La figura del Chief Information Security Officer (CISO) è stata istituita per la prima volta poco più di un quarto di secolo fa, ma il suo ruolo non è mai stato univoco e ben definito, e nonostante la sua longevità, è ancora in una fase ‘adolescenziale’: è un profilo molto promettente, diretto nella giusta direzione, ma non del tutto formato.
Chi oggi riveste il ruolo di CISO o ha lavorato per un CISO oppure lo ha osservato da lontano, avrà notato che gli obiettivi continuano a mutare nel tempo e mancano risposte ad alcune domande cruciali. Quali sono i punti di riferimento del CISO per ottenere risultati ottimali? Come può conquistarsi un posto di rilievo al tavolo dei dirigenti e la possibilità di essere regolarmente presente ogni trimestre nelle riunioni del consiglio di amministrazione? È possibile che un’ampia competenza tecnica sia più importante di una profonda esperienza tecnica per questo ruolo a livello esecutivo? E ai CISO che pensavano di essere stati assunti per svolgere un ruolo incentrato sull’IT interno all’azienda, vorrei ricordare che alcuni criminali informatici operano per conto di Stati nazionali, quindi, gli orizzonti sono ben più ampi.
Peraltro, sono molti i ruoli secondari che il CISO deve svolgere per aiutare l’azienda a raggiungere i propri obiettivi, sia che si tratti di clienti esterni che interni.
Il CISO come difensore del marchio
È difficile quantificare il valore di un marchio aziendale. È chiaro però che il marchio costituisce una risorsa tanto quanto i dispositivi e le reti che il CISO deve proteggere; anzi, il marchio potrebbe rappresentare la più grande risorsa dell’azienda. Da un recente report di Forbes/MASB emerge che il marchio rappresenta in media circa il 20% del valore aziendale. È quindi un asset che va sicuramente protetto.
Certamente, la creazione e la crescita del marchio sono generalmente responsabilità dell’ufficio marketing e del CMO (Chief Marketing Officer), ma a volte il reparto marketing sembra scavalcare le altre funzioni aziendali, compresa quella del CISO. Il CISO può fungere da utile contrappeso per aiutare il reparto marketing a raggiungere i propri obiettivi in modo sicuro. Ad esempio, non è forse importante coordinare al meglio una risposta alle violazioni tra reparto marketing e sicurezza in modo da preservare al meglio il valore del marchio aziendale? I marchi che hanno avuto un incidente di sicurezza informatica di alto profilo e ne sono usciti rafforzando la propria identità, non ci sono riusciti per caso.
Purtroppo, però, questa è un’opportunità non considerata da molte aziende. Quando è stata l’ultima volta che il CISO e il CMO si sono seduti insieme per discutere delle rispettive iniziative a lungo termine? Non conta, e non basta, il confronto – anche se ricorrente – tra le due parti sul modo in cui il team marketing sfrutta lo shadow IT. Occorre un livello di confronto superiore.
Il CISO come consigliere del cliente
Se il CISO viene visto come una risorsa che si occupa solo di questioni interne all’azienda, parte del suo valore potrebbe rimanere inespresso. Il CISO è considerato e sfruttato come un membro esteso dei vostri team a contatto con i clienti? Per un cliente, esistente o potenziale, spesso non c’è niente di più interessante dell’opportunità di ascoltare da un vero professionista CISO le proprie esperienze nel settore attorno a una sfida comune.
Un altro modo per avvicinare il CISO alla sfera del cliente è quello di utilizzarlo come promotore del rapporto tra l’azienda stessa e un’altra organizzazione ritenuta importante per il business e che non si vuole perdere. Questo è un ottimo modo per cementare il legame con clienti veramente chiave e strategici. Potrebbe verificarsi che un importante cliente sia disposto a condividere con il CISO dettagli che non condividerebbe mai con il team di vendita.
Il CISO come visionario del prodotto
Il CISO potrebbe essere un potenziale acquirente, un partner di ricerca e una cassa di risonanza per i nuovi prodotti, servizi o funzionalità che l’azienda intende introdurre. Pensiamo a tutti gli aspetti che un CISO si trova ad affrontare ogni giorno: rapporti B2B e dati scambiati con terzi; identificazione e protezione dei dati e della connettività B2C; monitoraggio costante di un’infrastruttura finalizzato a riconoscere e correggere i rischi tattici, strategici e normativi; approvazione della certificazione ISO 27001 o dell’attestazione SOC 2 per l’azienda e molto altro ancora.
Sia come CISO in carica sia come aspirante CISO, non accontentatevi di lavorare solo per cercare di proteggere al meglio la vostra azienda, ma chiedetevi come potete rendere più sicuri i vostri clienti. A volte una nuova funzionalità o servizio può nascere da una prospettiva diversa che solo il CISO può vedere.
In qualità di CISO o nelle vesti di un suo collega, pensate fuori dagli schemi. I CISO possono assolutamente dare il proprio contributo in questi e altri ruoli non tradizionali, a tutto vantaggio dell’azienda.
A cura di Ben Smith, Chief Technical Officer (CTO), NetWitness