CISO Chief Information Security Officer.

Il CISO è il dirigente responsabile della strategia di sicurezza delle informazioni. Gestisce il registro dei rischi, guida la risposta agli incidenti, informa il consiglio di amministrazione e approva il rischio residuo. Con NIS 2 e DORA, la responsabilità è ora esplicita e personale. Il ruolo riguarda la governance, non l'implementazione; la parte più difficile è la traduzione per il board.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

Il punto di vista di Cyber Academy

Il CISO è il dirigente responsabile della strategia di sicurezza delle informazioni. Gestisce il registro dei rischi, guida la risposta agli incidenti, informa il consiglio di amministrazione e approva il rischio residuo. Con NIS 2 e DORA, la responsabilità è ora esplicita e personale. Il ruolo riguarda la governance, non l'implementazione; la parte più difficile è la traduzione per il board.

Di cosa risponde davvero un CISO

Il CISO è il dirigente responsabile della strategia di sicurezza delle informazioni, e l'accento è sulla parola responsabile. Come dice la shortDefinition, il mestiere è governance, non implementazione. Un CISO non configura firewall né scrive regole di rilevamento; decide dove l'organizzazione spende il suo budget di sicurezza limitato, quali rischi tratta e quali accetta, e come risponde quando qualcosa va storto. I prodotti quotidiani del ruolo sono un registro dei rischi, una roadmap di programma, un piano di risposta agli incidenti e una serie di report destinati al consiglio di amministrazione, non un terminale.

Questa distinzione conta perché la leadership della sicurezza viene spesso fraintesa come un ruolo di ingegneria senior. Non lo è. Il CISO si colloca al confine tra i team tecnici che gestiscono i controlli e i dirigenti che li finanziano e ne portano le conseguenze. La parte più difficile del lavoro, come nota la shortDefinition, è la traduzione verso il consiglio: trasformare una realtà tecnica sterminata in un piccolo numero di decisioni che un consiglio possa davvero prendere. Un CISO che non sa spiegare il rischio residuo in termini di business non può svolgere questo lavoro, per quanto solida sia la sua formazione tecnica.

Responsabilità sotto NIS 2 e DORA

Per anni il ruolo di CISO ha comportato responsabilità operativa senza molta responsabilità formale verso l'alto. Questo è cambiato. La shortDefinition è esplicita: sotto NIS 2 e DORA la responsabilità verso l'alto è ora personale. NIS 2, la direttiva europea sulla sicurezza delle reti e dei sistemi informativi, porta la supervisione della cybersicurezza fino all'organo di gestione delle entità rientranti nell'ambito e rende tale organo responsabile dell'approvazione e della supervisione delle misure di gestione del rischio di sicurezza.

DORA, il Digital Operational Resilience Act, fa l'equivalente per il settore finanziario dell'UE, collocando saldamente la responsabilità sulla resilienza operativa in capo all'organo di gestione. L'effetto pratico è che «la funzione sicurezza fa del suo meglio» non è più una postura difendibile; una leadership designata per nome deve assumersi per iscritto le decisioni sul rischio.

Ecco perché un CISO moderno dedica così tanto tempo alla documentazione e alla cadenza di reporting. Approvare il rischio residuo, informare il consiglio sul panorama delle minacce e dimostrare che le misure di gestione del rischio sono state approvate al livello giusto non sono più extra di buona pratica. È così che l'organizzazione dimostra di aver soddisfatto i propri obblighi legali. Il ruolo è passato da «guidare il team di sicurezza» a «rendere la governance difendibile».

In cosa il CISO differisce dai ruoli vicini

Il CISO viene spesso confuso con le persone e le funzioni che lo circondano. Un security manager o un proprietario di programma certificato CISM gestisce il programma di sicurezza e può riportare al CISO; il CISO definisce la strategia e ne porta la responsabilità esecutiva. Un responsabile SOC è proprietario delle operazioni di rilevamento e risposta; il CISO è proprietario della decisione su quanta capacità di rilevamento l'organizzazione finanzierà e su cosa farà quando il SOC escala un incidente maggiore. E dove l'organizzazione gestisce un SGSI ISO 27001, il CISO ne è tipicamente lo sponsor esecutivo piuttosto che l'operatore quotidiano.

Il CISO confrontato con i ruoli adiacenti
RuoloProspettiva principaleRiporta a
CISOStrategia di sicurezza, accettazione del rischio, responsabilità verso il consiglioCEO o consiglio di amministrazione
Security managerGestione del programma e del team di sicurezzaSpesso il CISO
Responsabile SOCRilevamento, monitoraggio, operazioni di risposta agli incidentiCISO o security manager
DPOConformità alla protezione dei dati e diritti delle personeIndipendente, con accesso al consiglio

Un abbinamento che vale la pena separare con chiarezza è quello tra CISO e Responsabile della protezione dei dati. Si sovrappongono sugli incidenti che coinvolgono dati personali, ma sono lavori diversi. Il DPO è un ruolo di conformità e supervisione con un'indipendenza protetta per legge; il CISO è un dirigente che è proprietario della strategia di sicurezza ed è misurato su di essa. In molte organizzazioni collaborano costantemente e riportano attraverso linee diverse, proprio perché il DPO deve poter contestare il business, inclusa la funzione sicurezza.

Per i professionisti in cammino verso questo ruolo, l'inquadramento onesto è che il ruolo di CISO premia il giudizio e la comunicazione più degli strumenti. Le fondamenta tecniche sono date per scontate; ciò che fa assumere le persone e le mantiene efficaci è la capacità di assumersi il rischio, informare un consiglio e rendere la responsabilità difendibile sotto quadri come NIS 2 e DORA.

Frequently asked questions

01Il CISO è un ruolo tecnico?

Non principalmente. Il CISO è proprietario della strategia di sicurezza, dell'accettazione del rischio e del reporting al consiglio. Una formazione tecnica aiuta, ma il cuore del lavoro è la governance e la traduzione del rischio in decisioni che i dirigenti possano prendere, non l'implementazione dei controlli.

02Cosa è cambiato per i CISO sotto NIS 2 e DORA?

La responsabilità è diventata esplicita e personale. Entrambi i quadri portano la supervisione della sicurezza e della resilienza operativa fino all'organo di gestione, per cui le misure di gestione del rischio devono essere formalmente approvate e supervisionate a livello esecutivo. «Il team ha fatto del suo meglio» non è più una posizione difendibile.

03Qual è la differenza tra un CISO e un security manager?

Il security manager gestisce il programma e il team e spesso riporta al CISO. Il CISO definisce la strategia, approva il rischio residuo e porta la responsabilità esecutiva per la funzione sicurezza nel suo insieme.

04Il CISO è proprietario della risposta agli incidenti?

Il CISO guida la risposta agli incidenti a livello esecutivo: è proprietario del piano, prende le decisioni maggiori durante una crisi e informa il consiglio. Il rilevamento e il contenimento quotidiani di solito spettano a un SOC o team di sicurezza che escala al CISO.

05In cosa il CISO differisce dal DPO?

Il CISO è un dirigente responsabile che è proprietario della strategia di sicurezza. Il DPO è un ruolo di supervisione con un'indipendenza protetta per legge, focalizzato sulla conformità alla protezione dei dati. Collaborano sugli incidenti che coinvolgono dati personali ma rispondono a mandati diversi.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.