Gli attacchi informatici, da diversi anni, sono diventati il principale rischio per le aziende. Se il timore delle violazioni ha portato da un lato all’affermazione del ruolo del CISO, soprattutto nelle organizzazioni più grandi e strutturate, dall’altro sta richiedendo al CIO di assumere un ruolo sempre più esteso, non solo tecnico ma anche manageriale.
Sull’onda della trasformazione digitale, il CIO si sta delineando come una figura in continua evoluzione all'interno della maggior parte delle organizzazioni. Ad esempio, molti CIO siedono allo stesso tavolo del comitato di gestione del rischio, così da supervisionare il modo in cui i sistemi operano insieme. Ne consegue che, soprattutto quando si parla di sicurezza informatica, a nuovi perimetri da sorvegliare e proteggere corrispondono necessariamente ulteriori responsabilità.
Inoltre se pensiamo che, per garantire una maggiore funzionalità, gran parte della tecnologia odierna si basa su integrazioni digitali, vale a dire su strumenti progettati per funzionare e comunicare insieme ad altri, anche in questo scenario il CIO assume un ruolo fondamentale nel garantire un’interconnessione sicura tra i sistemi dall'inizio alla fine del processo. Per di più, ogni CIO deve essere consapevole delle normative specifiche del proprio settore, regole che possono influenzare notevolmente la strategia di sicurezza informatica dell’azienda, offrendo le migliori pratiche per la gestione del rischio. Pertanto, se la tecnologia evolve a ritmi sempre più sostenuti, i CIO devono fare affidamento su strumenti adeguati in grado di fornire gli opportuni controlli al momento giusto. Questo significa che è fondamentale rimanere informati sulle best practice del settore e sui migliori strumenti disponibili per proteggere l’azienda.
La ricerca di Gartner
Secondo la recente ricerca di Gartner “Executive Essentials: CIOs’ Role in Security and Risk”, sono tre le linee di difesa nelle quali i CIO devono essere coinvolti attivamente. La prima riguarda la line management e l’identificazione dei rischi, ovvero l’implementazione dei controlli e l’analisi delle conseguenze in caso di assenza di mitigazione del rischio. La seconda attiene, invece, al mettere in sicurezza i software e al definire le policy che i dipendenti devono seguire. L’ultima riguarda gli audit interni e il controllo delle misure di difesa effettive da azionare quando necessario. Come scrive Gartner: “Oltre a un modello di governance del rischio, i CIO devono allineare il proprio programma di security a un quadro di sicurezza informatica condiviso. Inoltre la creazione di un solido programma di sicurezza contribuisce a stabilire un legame di fiducia tra il CIO e gli altri C-Level, compreso il consiglio di amministrazione, e a definire uno stato di resilienza, entrambi che portano risultati sia in termini di sicurezza che di business con effetti prolungati nel tempo”.
Gartner pone l’attenzione anche su un altro aspetto: troppo spesso i CIO hanno in carico la gestione di ogni singola iniziativa IT e portando avanti la gestione di tanti progetti contemporaneamente, molti dei quali travolti dalla loro stessa complessità, è estremamente facile incappare in alcune leggerezze che possono compromettere la sicurezza. Poiché le organizzazioni vengono violate con una frequenza sempre più elevata e con un impatto sempre maggiore, queste hanno bisogno di informazioni sempre più approfondite che possano aiutarle a pianificare e a prevenire i danni conseguenti agli attacchi informatici. In questo contesto il CIO è la figura chiave sia per collettare risorse e informazioni sia per pianificare una strategia chiara che possa prevenire e rispondere alle violazioni dei dati.
La realtà post-pandemica, le turbolenze macroeconomiche, le innovazioni tecnologiche hanno determinato, insieme ad altre forze, cambiamenti rapidi e spesso confusi nelle organizzazioni grandi e piccole. Ogni cambiamento repentino rappresenta una vulnerabilità e pertanto un’opportunità per i criminali informatici. Per stare al passo con le nuove sfide, la sicurezza informatica non può conoscere battute d’arresto e con lei il CIO che, per forza di cose, è al centro di un ecosistema da difendere, nel miglior modo possibile.
Per approfondire il tema, scarica il report Gartner “
Executive Essentials: CIOs’ Role in Security and Risk”, Paul Furtado, 16 May 2023 in cui gli analisti esaminano gli ambiti di intervento, le responsabilità dei CIO rispetto al CISO e alle altre figure aziendali, fornendo linee guida concrete per il raggiungimento degli obiettivi prefissati e le rispettive metriche per la valutazione dei risultati raggiunti.
GARTNER è un marchio commerciale registrato e un marchio di servizio di Gartner, Inc. e/o i suoi affiliati negli USA e nel mondo ed è utilizzato nella presente con autorizzazione. Tutti i diritti riservati.