CISO as a Service, un nuovo modo di intendere la sicurezza delle informazioni

La nuova figura professionale del CISO as a Service può essere molto conveniente soprattutto per le PMI in quanto offre la possibilità di svolgere la propria attività in maniera “condivisa” tra più aziende, garantendo comunque professionalità e competenze tecnologiche in ambito informatico. Ecco tutti i vantaggi

di Luca Scarabosio

Nell’ambito IT sta nascendo una nuova figura professionale che è quella del CISO as a Service, cioè quella del Chief Information Security Officer in grado di svolgere la propria attività in modalità “shared” o condivisa (CISO as a Service, per l’appunto) tra più aziende.

L’offerta CISO as a Service consente alle organizzazioni di rimanere concentrate sulla propria attività consentendo a terzi con comprovata esperienza di assumersi la responsabilità di proteggere la società, mantenendo al contempo un approccio flessibile ed economico.

Indice degli argomenti

Il CISO: chi è e cosa fa, anche alla luce del GDPR

È vero, infatti, che il continuo evolversi delle minacce informatiche e la crescita della complessità della sicurezza dovuta sia alla maggiore “competenza” e abilità dei cyber criminali sia all’ampliamento del perimetro di contenimento del rischio, rendono la governance della sicurezza un punto cruciale di ogni strategia aziendale.

Ancora troppe aziende sottovalutano questi rischi, anche se l’entrata in vigore del nuovo Regolamento europeo sulla protezione dei dati (Regolamento UE 2016/679) meglio noto come GDPR (General Data Protection Regulation) ha accesso un faro su questo tema. Le imprese stanno avviando processi per mettersi in regola e qualificare o introdurre figure manageriali in grado di gestire le problematiche di information security.

Uno di questi ruoli è proprio quello del Chief Information Security Officer (CISO).

Il CISO è il manager responsabile di definire una strategia di sicurezza informatica, di implementare programmi di protezione degli asset aziendali, di sviluppare e introdurre processi volti a mitigare i rischi informatici.

I compiti del Chief Information Security Officer possono variare a seconda del settore in cui opera. Si tratta di una figura estremamente poliedrica, dato che è in grado di comprendere gli aspetti tecnici relativi alla sicurezza ma possiede anche competenze manageriali e comunicative.

Gli obiettivi dell’attività del CISO devono comprendere i seguenti aspetti:

  1. costruire una strategia di sicurezza delle informazioni all’interno dell’organizzazione;
  2. identificare le minacce ed essere aggiornati sulle tipologie di minacce e di attacco;
  3. identificare e gestire i rischi negli aspetti di sicurezza delle informazioni per comprendere le vulnerabilità e le minacce per l’azienda in modo da compiere scelte adeguate alla gestione del rischio cyber in termini di politiche e strumenti;
  4. definire le architetture per la gestione della sicurezza e monitoraggio delle scelte strutturali;
  5. classificare le informazioni e i dati trattati dall’organizzazione;
  6. definire politiche e scrivere procedure di sicurezza;
  7. definire ed implementare un piano di lavoro per il sistema di gestione per la sicurezza delle informazioni (SGSI);
  8. gestire i problemi che coinvolgono leggi e regolamenti;
  9. gestire la sicurezza delle informazioni anche in relazione al fattore umano;
  10. supervisionare i processi di miglioramento della sicurezza delle informazioni;
  11. promuovere la sicurezza delle informazioni presso i dipendenti dell’azienda;
  12. comunicare con i professionisti IT impiegati dall’azienda allo scopo di colmare le lacune relative alla sicurezza (security by design);
  13. fornire aggiornamenti sullo stato della sicurezza delle informazioni all’interno dell’organizzazione;
  14. controllare il traffico sui diversi canali sviluppando eventualmente anche un Security Operation Center (SOC) interno all’azienda o collaborando con un provider esterno;
  15. rispondere in tempi brevi in caso di data breach per limitarne gli effetti;
  16. condurre indagini forensi in caso di incidente, collaborando con risorse interne o specialisti esterni.

Continua a leggere su: Cybersecurity360