Chief Information Security Officer (CISO)

Cos’è un Chief Information Security Officer (CISO)?

Al giorno d’oggi la sicurezza informatica è sempre più importante, per questo fra le professioni maggiormente richieste nel mercato del lavoro c’è quella del CISO, ossia del Chief Information Security Officer. Si tratta di un security manager responsabile della sicurezza delle informazioni di un’azienda, il quale si occupa di definire una strategia di protezione di tutti gli asset aziendali e di limitare qualsiasi possibile rischio informatico.

 

Cosa fa un Chief Information Security Officer (CISO)?

Le minacce informatiche oggi sono una realtà che nessuna azienda può ignorare. Per questo il CISO rappresenta una figura fondamentale per garantire la sicurezza di una società, in linea con le nuove normative europee riguardanti la protezione dei sistemi informativi, delle reti e dei dati. Un ICT security manager ha dunque il delicato compito di evitare un pericoloso data breach nell’azienda in cui lavora.

Nel corso degli anni questa funzione di Cyber Security Officer ha sempre più preso piede nell’organigramma delle società, tanto che attualmente in molte realtà si interfaccia con il CdA e fa capo al CIO, ossia il Chief Information Officer.

 

Quali sono le mansioni di un Chief Information Security Officer?

Come è facile comprendere, il CISO riveste un ruolo chiave all’interno di un’azienda. Per questo motivo deve possedere competenze specifiche e svolge alcune funzioni fondamentali.

Prima di tutto deve creare e gestire un programma preciso di governance della sicurezza delle informazioni aziendali, definendo una struttura di gestione e di monitoraggio, tenendo conto anche del ROI (Return on Investment) e dell’analisi costi/benefici.

Il Cyber Security Management comprende la conoscenza di questioni legali, regolamenti, politiche, procedure e standard relativi alla sicurezza delle informazioni. Il CISO infatti si occupa di Security Risk Management, Control e Audit Management, identificando i processi e gli obiettivi aziendali allo scopo di valutare le possibilità di rischio. Puntualmente il Chief Information Security Officer realizza dei controlli dei sistemi informativi e conduce dei test per migliorare l’efficacia della protezione.

Il CISO si occupa altresì di Security Program Management & Operations. Ciò significa che sviluppa e monitora il budget per i sistemi informativi, controllando e stimando i costi dei vari progetti. Acquisisce e gestisce le risorse necessarie per progettare e implementare il programma, creando un team ad hoc.

Il suo campo d’azione è anche l’Information Security Core Concepts. Il CISO infatti definisce i criteri di controllo e di accesso ai dati, identificando i sistemi necessari per consultarli, come la biometria. Elabora piani di intervento nei casi di furto d’identità e di attacchi di phishing, identificando i processi di trattamento e attuazione del rischio.

Riconosce la vulnerabilità delle reti wireless, valutando la minaccia di malware, trojan e virus, ma soprattutto le possibili fonti di infezione.

Come si diventa un Chief Information Security Officer (CISO)?

Per diventare un Chief Information Security Officer è fondamentale possedere un’alta formazione, che comprenda non solo le pratiche informatiche e di sicurezza, ma anche quelle legate al business. Una specializzazione di questo tipo si può ottenere tramite un Master specifico, che formi il Cyber security manager per affrontare non solo le minacce informatiche, ma anche per applicare principi e pratiche dell’enterprise governance.

In generale infatti il CISO ricopre all’interno dell’azienda un ruolo sia esecutivo che manageriale. Deve per questo ricevere una formazione che gli consenta di creare iniziative di sicurezza coerenti con gli obiettivi di business e i programmi dell’azienda, garantendo che le tecnologie utilizzate e gli asset informativi vengano protetti in modo adeguato.

 

Quali conoscenze deve possedere un Chief Information Security Officer (CISO)?

Oggi le imprese stanno focalizzando sempre di più il business sul web, aumentando la loro presenza (e la loro azione concreta) su Internet. Il CISO dunque deve avere un profilo operativo completo, unendo competenze tecniche, organizzative e tecnologiche a capacità relazionali e di coordinamento di un team.

Un Cyber Security Manager deve avere consapevolezza delle problematiche legate alla sicurezza informatica presenti nell’azienda in cui opera. Le sue competenze informatiche devono essere eterogenee ed essere costantemente aggiornate per fornire soluzioni e contromisure adatte di fronte a ogni nuova tipologia di attacco. Ciò significa che il CISO non si occupa solo operativamente della cyber security, ma svolge anche una funzione di consulenza per impostare linee guida della policy di sicurezza e assicurarsi che siano rispettate.

 

Qual è lo stipendio medio di un CISO?

Il tema della sicurezza informatica è sempre più importante, per questo il CISO è una figura molto richiesta e ben pagata. Chi protegge i dati e le informazioni di un’azienda riveste un compito delicato e importante che ha bisogno della giusta ricompensa. Negli Stati Uniti, ad esempio, dove la professione è nata, un esperto di Cyber Security management può arrivare a guadagnare anche 70 mila dollari l’anno. In Italia la retribuzione si attesa intorno ai 40 mila euro l’anno, ma tutto dipende dalla formazione ricevuta e dalla professionalità che il CISO è in grado di offrire.

Come il master Master in Digital Technology Management BBS forma un ChiefInformation Security Officer (CISO)

Una laurea in ingegneria informatica oppure un diploma in ICT non bastano per diventare un Chief Information Security Officer. Per questo è fondamentale un Master che fornisca la formazione necessaria riguardo i temi della governance e della sicurezza informatica.

Per chi fosse interessato, Bologna Business School offre un master in Digital Technology Management con indirizzo Cyber Security.

Il Master viene tenuto in inglese ed è composto da due cicli di studio con uno stage finale che consentirà di operare concretamente all’interno di un’azienda. La durata del corso di studi è di 12 mesi, durante i quali si affrontano le tematiche riguardanti la sicurezza informatica, il management applicato, le normative e le implicazioni economiche e tecniche legate a questa delicata professione.

Il programma insegna ai manager a pianificare interventi di protezione dagli attacchi informatici, a valutare la disponibilità e vulnerabilità dei dati, ma anche a gestire il rischio, conoscendo alla perfezione tutti gli aspetti giuridici, normativi e metodologici del tema.