Axitea » Approfondimenti » Chi è il CISO, figura fondamentale per le aziende

Vuoi rimanere aggiornato con le ultime notizie? Iscriviti alla nostra newsletter

Autore

Redazione Axitea

Il Chief Information Security Officer (CISO) svolge un ruolo chiave nelle aziende di oggi. È la figura responsabile della protezione delle informazioni e dei sistemi informatici dell’azienda da attacchi informatici. Può essere interno all’azienda oppure esternalizzato (“CISO as a Service”).

Garantisce che le informazioni sensibili dell’azienda siano al riparo da accessi non autorizzati, che i sistemi informatici dell’azienda siano protetti da attacchi informatici quali malware, ransomware e phishing.

Le responsabilità del Chief Information Security Officer

Le responsabilità del CISO sono molteplici e possono variare a seconda delle dimensioni e del settore dell’azienda. In generale, il CISO è la figura apicale nell’organigramma in relazione alle seguenti aree:

  • Definizione e implementazione della strategia di sicurezza informatica dell’azienda;
  • Gestione dei rischi informatici dell’azienda;
  • Formazione e sensibilizzazione dei dipendenti sulla sicurezza informatica (“cyber security awareness”);
  • Collaborazione con le autorità competenti in caso di attacchi informatici.

Il CISO: cosa vuol dire guidare la strategia di cyber security

Il CISO è quindi un vero e proprio leader strategico per la sicurezza informatica di un’azienda.

Il Chief Information Officer deve avere una visione chiara e sempre aggiornata dei rischi informatici e delle minacce che l’azienda deve affrontare in un contesto in veloce evoluzione come quello della cyber security.

Deve essere in grado di comunicare questa visione ai dirigenti e ai dipendenti, guidando il cambiamento e agevolando l’implementazione delle nuove tecnologie in modo efficace e sicuro.

Il lavoro del CISO si articola in tre fasi ben distinte:

  • Assessment: mappatura di rischi e vulnerabilità del sistema informatico aziendale, del livello di danno potenziale e delle contromisure necessarie da adottare per aumentarne la sicurezza.
  • Prevention: minimizzazione del rischio di attacchi informatici, con l’adozione di soluzioni di sicurezza informatica per monitorare proattivamente e bloccare prontamente ogni eventuale evento malevolo.
  • Response: gestione degli incidenti, delle attività finalizzate a minimizzare gli effetti di una violazione, garantire l’integrità dei dati e delle risorse del sistema, definire il perimetro di attacco, ricostruendo i fatti che si sono verificati, per tentare di prevenire violazioni future e, infine, per produrre documenti di prova per certificare l’attacco subito.

Formazione del Chief Security Operation Officer

Esistono diversi percorsi accademici per diventare professionisti della cyber security, tuttavia sono poi il campo e le competenze tecniche che aprono le porta a ricoprire un ruolo delicato come quello del CISO. Esistono inoltre diversi istituzioni che consentono di diventare un CISO certificato.

La RAL del CISO in Italia

Quanto è necessario investire per avere un Chief Information Security Officer in azienda? La RAL del CISO in Italia varia a seconda dell’esperienza, delle dimensioni dell’azienda e del settore.

In generale, la RAL di un CISO in Italia con esperienza di 5 anni si aggira tra i 100.000 e i 150.000 euro l’anno (fonte: Corriere della Sera Economia). Figure professionali con esperienza e in aziende di grandi dimensioni possono guadagnare anche oltre i 200.000 euro all’anno.

Il CISO in outsourcing, opzione economicamente sostenibile

Solo poche aziende possono permettersi di assumere una figura come quella del Chief Information Security Officer, visti gli investimenti. Ne consegue che per un’azienda l’alternativa è non avere un CISO, ma con conseguenze potenzialmente molto gravi e impattanti in caso di attacco informatico, oppure esternalizzare delegando il ruolo del CISO a un professionista esterno altamente specializzato in cyber security.

Esternalizzare con un servizio “Ciso as a Service” garantisce il rispetto del principio di terzietà e neutralità nell’interesse dell’imprenditore o del management aziendale, principi supportati dai più elevati standard di settore (ad esempio ISO 27001 e NIST CSF).

Il Ciso as a Service deve essere visto come alleato del dipartimento IT di un’azienda, poiché affida l’incombenza della strategia di cyber security a una figura specializzata, riducendo il rischio di eventi emergenziali che possono interrompere la business continuity di un’azienda.

Per tutti questi motivi, spesso la soluzione in outsourcing è l’opzione migliore per un’impresa o organizzazione. Scopri il servizio Ciso as a Service di Axitea.

 

Iscriviti alla nostra newsletter per rimanere sempre aggiornato su Axitea e sul mondo della sicurezza!

Scroll to Top
Torna su