Splunk, specialista nella cybersecurity e nell’observability, in collaborazione con Oxford Economics, ha pubblicato The CISO Report 2025, una ricerca globale che analizza le priorità e le strategie aziendali dei Chief Information Security Officer (CISO) e dei loro consigli di amministrazione.
L’ascesa del CISO verso la C-suite implica un maggior impegno nel consiglio di amministrazione, un incontro con il CEO e il potere di prendere decisioni strategiche per l’azienda. In particolare, l’82% dei CISO intervistati ora riporta direttamente al CEO, un aumento significativo rispetto al 47% del 2023. Inoltre, l’83% dei CISO partecipa alle riunioni del consiglio di amministrazione con una certa frequenza o per la maggior parte del tempo. Sebbene il 60% riconosca che i membri del consiglio di amministrazione con un background di sicurezza informatica influenzino maggiormente le decisioni in materia di sicurezza, solo il 29% dei CISO afferma che il proprio consiglio di amministrazione include almeno un membro con competenze in cybersecurity.
“Poiché la sicurezza informatica diventa sempre più centrale per il successo aziendale, i CISO e i loro consigli di amministrazione hanno sempre più opportunità di colmare le lacune, ottenere un maggiore allineamento e comprendersi meglio al fine di promuovere la resilienza digitale”, ha dichiarato Michael Fanning, Chief Information Security Officer di Splunk. “Per i CISO, ciò significa comprendere il business al di là dei loro ambienti IT e trovare nuovi modi per trasmettere il ROI delle iniziative di sicurezza ai loro consigli di amministrazione. Questo per i CdA significa impegnarsi in una cultura della sicurezza e interpellare il CISO come stakeholder primario nelle decisioni che influiscono sul rischio aziendale e sulla governance. Per riunire questi gruppi è necessario educare i consigli di amministrazione sui dettagli della cybersecurity e far sì che i CISO comprendano il linguaggio e le esigenze dell’azienda, rendendo al contempo la sicurezza un fattore abilitante per il business”.
“Guidare e gestire i programmi di cybersecurity e privacy in un istituto di istruzione superiore richiede una forte collaborazione e comunicazione con tutti, dai membri del consiglio di amministrazione ai responsabili della privacy, al personale, ai docenti e agli studenti, per garantire che la sicurezza sia integrata in tutti gli aspetti dell’organizzazione”, ha dichiarato Shefali Mookencherry, Chief Information Security and Privacy Officer dell’Università dell’Illinois Chicago. “Il ruolo del CISO diventa sempre più complesso e critico per le organizzazioni e deve essere in grado di bilanciare le esigenze di sicurezza con gli obiettivi aziendali, la cultura e il valore degli investimenti in sicurezza. Stabilendo relazioni solide tra i vari dipartimenti e gli stakeholder, i CISO possono fornire indicazioni e leadership per promuovere i programmi di cybersecurity e privacy”.
L’impatto dell’allineamento tra CISO e consiglio di amministrazione
I membri del consiglio di amministrazione che dispongono di un background da CISO riferiscono di avere rapporti più solidi con i team di sicurezza e si sentono più sicuri riguardo al livello di sicurezza dell’organizzazione. Sono meno propensi degli altri membri del consiglio di amministrazione a esprimere preoccupazione per il fatto che non stanno facendo abbastanza per proteggere l’organizzazione (37% contro il 62% della media del sondaggio). Gli intervistati del consiglio di amministrazione hanno segnalato relazioni di lavoro eccellenti o molto buone tra i CISO e il consiglio di amministrazione nelle seguenti aree:
● Definizione e allineamento su obiettivi strategici di sicurezza informatica (80% per i consigli di amministrazione con un membro del CISO rispetto al 27% per i consigli senza un membro del CISO)
● Comunicazione dei progressi rispetto alle tappe fondamentali, al raggiungimento degli obiettivi di sicurezza e al plan of record (60% per i consigli di amministrazione con un membro del CISO rispetto al 16% per i consigli senza un membro del CISO)
● Budgeting adeguato per raggiungere gli obiettivi (50% per i consigli di amministrazione con un membro del CISO rispetto al 24% per i consigli senza un membro del CISO)
I CISO con un buon rapporto con il consiglio di amministrazione tendono anche ad avere una migliore collaborazione in tutta l’organizzazione, riferendo di avere relazioni particolarmente solide con le attività IT (82% contro il 69% degli altri CISO) e l’ingegneria (74% contro il 63% degli altri CISO). I CISO con buoni rapporti con il consiglio di amministrazione hanno anche maggiori probabilità di ottenere la possibilità di perseguire casi d’uso per l’AI generativa, come la creazione di regole di rilevamento delle minacce (43% contro il 31% degli altri CISO), l’analisi delle fonti di dati (45% contro il 28% degli altri CISO), la risposta agli incidenti e le indagini forensi (42% contro il 29% degli altri CISO) e la ricerca proattiva delle minacce (46% contro il 28% degli altri CISO).
Colmare il divario tra CISO e consiglio di amministrazione: priorità, competenze e misurazione del successo
Sebbene i CISO e i consigli di amministrazione indichino un maggiore allineamento sulle priorità di sicurezza, le lacune rimangono. Le principali carenze tra CISO e consigli di amministrazione sono:
● Innovare con le tecnologie emergenti (il 52% dei CISO lo considera una priorità rispetto al 33% dei membri del consiglio di amministrazione)
● Aggiornamento o riqualificazione dei dipendenti addetti alla sicurezza (51% per i CISO contro il 27% per i consigli di amministrazione)
● Contribuire alle strategie di crescita dei ricavi (36% per i CISO rispetto al 24% per i consigli di amministrazione)
I consigli di amministrazione hanno grandi aspettative riguardo ai CISO che sviluppano nuove competenze per diventare leader aziendali migliori. Tuttavia, l’apprendimento di nuove competenze rende il lavoro del CISO più complesso, con il 53% che afferma che le proprie responsabilità e aspettative lavorative sono diventate più difficili da quando hanno accettato il lavoro. Alla domanda su quali competenze i CISO dovrebbero sviluppare, le maggiori lacune in termini di importanza includono:
● Senso degli affari (55% per i consigli di amministrazione contro 40% per i CISO)
● Intelligenza emotiva (45% per i consigli di amministrazione contro 35% per i CISO)
● Comunicazione (52% per i consigli di amministrazione contro il 47% per i CISO)
● Conoscenza della regolamentazione e della conformità (44% per i consigli di amministrazione rispetto al 57% per i CISO)
Mentre i consigli di amministrazione e i CISO concordano sui principali KPI di cybersecurity, il 79% dei CISO afferma che i KPI per i propri team di sicurezza sono cambiati sostanzialmente negli ultimi anni. Il 46% dei CISO ha dichiarato che il raggiungimento dei traguardi di sicurezza è indicativo del loro successo, rispetto a solo il 19% degli intervistati del consiglio di amministrazione.
Rispettare la conformità è fondamentale per l’azienda
Gli ambienti normativi sono diventati più complessi, estesi e punitivi, richiedendo una segnalazione più rapida degli incidenti e assegnando una maggiore responsabilità direttamente sulle spalle dei CISO. Sebbene il rispetto della conformità sia fondamentale per l’azienda, solo il 15% dei CISO ha classificato lo stato di conformità come una delle principali misure di performance, una discrepanza significativa rispetto al 45% dei consigli di amministrazione. Il 21% dei CISO ha dichiarato di aver subito pressioni al fine di non segnalare un problema di conformità, tuttavia, il 59% ha dichiarato che diventerebbe un informatore nel caso la propria organizzazione ignorasse i requisiti di conformità.
I tagli al budget hanno gravi conseguenze
I budget per la cybersecurity rivelano un supporto non coerente e disallineato: il 29% dei CISO afferma di ricevere il budget adeguato per le iniziative di sicurezza informatica e il raggiungimento dei propri obiettivi di sicurezza, e il 41% dei membri del consiglio di amministrazione ritiene che i budget per la sicurezza informatica siano adeguati. Il 64% dei CISO, invece, rivela che l’attuale contesto normativo e le minacce li rendono preoccupati di non fare abbastanza. Il 18% dei CISO ha dichiarato di non essere in grado di gestire un’operazione aziendale a causa dei tagli al budget negli ultimi 12 mesi e il 64% ha affermato che la mancanza di supporto ha portato a un attacco informatico. I CISO hanno anche segnalato la riduzione delle soluzioni e degli strumenti di sicurezza (50%), il blocco delle assunzioni nel settore della sicurezza (40%) e la riduzione o l’eliminazione della formazione sulla sicurezza (36%) come principali misure di risparmio sui costi. Il 94% dei CISO riferisce di essere stato vittima di un attacco informatico disastroso, con il 55% che lo ha subito almeno un paio di volte e un altro 27% che lo ha subito molte volte.
