Tra CIO e CISO occorre sempre più collaborazione

Chief Information Officer e Chief Information Security Officer hanno funzioni diverse ma che devono collaborare: l’esperienza di Javier Dominguez di Commvault.

Qualsiasi strategia di cybersecurity e protezione dati non può prescindere da solidi processi di collaborazione e comunicazione interna. In particolare, la dinamica tra CIO (Chief Information Officer) e CISO (Chief Information Security Officer) può avere un grosso impatto sul processo decisionale a breve come a lungo termine, dalle decisioni d’investimento strategico alla risposta agli incidenti di sicurezza.

Una collaborazione imprescindibile

Mentre i CIO hanno responsabilità nel patrimonio informatico di un’azienda, il CISO ha spesso un mandato ancor più ampio, con la gestione del rischio enterprise, governance e conformità. In genere, il CISO è considerato il riferimento per ogni questione di sicurezza, ma è ormai sempre più evidente che non può far tutto da solo.

Negli ultimi anni, in molte aziende il lavoro di queste due figure si è evoluto in modo significativo, mentre aumentava l’importanza della sicurezza e protezione dati. L’ideale è una strategia olistica di sicurezza e resilienza che veda CIO e CISO lavorare a stretto contatto: dalla creazione di un perimetro completo di rete al gestire il ruolo crescente della regolamentazione, le responsabilità e aree di competenza vanno strettamente integrate perché non confliggano ma anzi rafforzino le misure di protezione allineate all’esigenza di efficienza operativa.

Conoscere e organizzare per agire subito

Una ricerca ha di recente segnalato che il 99% dei responsabili aziendali ritiene che gli ITOp (IT Operational Portal) e i team di sicurezza sempre più connessi, ma che soltanto il 48% ha stabilito processi e procedure comuni per il ripristino dagli attacchi informatici.

Per avvicinare questi due mondi è necessario superare una serie di ostacoli potenzialmente critici, con conseguenze di un errore che possono essere estremamente gravi. Tra questi, i problemi che sorgono quando risorse e livelli di investimento non sono sufficienti a coprire le priorità stabilite da CIO e CISO. Mentre la pressione per aumentare i budget alla cybersecurity è notevole, i responsabili potrebbero trovarsi a dover scendere a compromessi per raggiungere gli obiettivi.

Allo stesso modo, CIO e CISO possono avere prospettive diverse sul modo in cui la cybersecurity impatta su diverse aree, come quella produttiva. In molti casi, l’implementazione di tecnologie efficaci per la sicurezza e la protezione dati senza imporre ulteriori requisiti onerosi alla forza lavoro resta un equilibrio delicato. Una collaborazione efficace tra le due figure può quindi contribuire a creare un vantaggio per amministratori delegati e consigli di amministrazione per ottenere buoni risultati.

Raggiungere insieme la resilienza

Come operare questa dinamica in concreto? In molte aree questi ruoli chiave s’intersecano, a cominciare dalle sfide della resilienza organizzativa, ormai cruciale per qualsiasi azienda. Uno dei modi più efficaci per valutarne i livelli è verificare la capacità di team, tecnologie e processi IT e di sicurezza nel rispondere agli incidenti informatici ripristinando le condizioni iniziali.

L’obiettivo è identificare dove si possono migliorare le strategie di protezione e mitigazione oltre la cybersecurity, concentrandosi su qualunque parte del patrimonio informatico dove sussistono vulnerabilità. Il che può avvenire soltanto se il processo viene applicato in modo olistico per coprire ogni aspetto, dalle sfide tecnologiche alle persone, dalle procedure alla formazione: quindi con il pieno coinvolgimento di CIO e CISO.

Normative e conformità

Esistono poi le sfide sempre più complesse poste da normative e conformità. In questo caso, il tema di riferimento deve collaborare per garantire che si operi nel pieno rispetto di leggi come il GDPR (General Data Protection Regulation) come da competenza del CIO, riducendo al minimo il rischio di violazione dei dati che rientra invece nei compiti del CISO. Senza una strategia integrata, è ben difficile si riescano a ottenere risultati efficaci.

Ottimizzare il modo di collaborare di CIO e CISO con i rispettivi team li porta in una posizione molto più solida per allineare le priorità IT (Information Technology) e di sicurezza agli obiettivi aziendali strategici. Questo livello di maturità aiuta anche gli stakeholder a gestire in modo più efficace la crescente complessità tecnologica e la natura dinamica dell’innovazione digitale, divenuta sempre più cruciale.

Organizzarsi al meglio

Anche la maturità organizzativa può svolgere un ruolo utile, nel rendere i team manageriali a prova di futuro rispetto agli inevitabili cambiamenti di personale. Dato che il mandato tipico di CIO e CISO si aggira intorno ai 3-5 anni, l’integrazione di processi efficaci nelle loro aree di responsabilità è fondamentale così che le aziende possano ridurre al minimo eventuali interruzioni strategiche quando i dirigenti cambiano.

Ci sono quindi molti aspetti da considerare sull’integrazione dei ruoli di CIO e CISO, con priorità ed efficacia che possono anche variare molto. In ogni caso, le aziende che comprendono la necessità di una stretta collaborazione tra queste due figure chiave si trovano in una posizione molto più forte per garantire agilità, sicurezza e prestazioni, aspetti a cui guardano i consigli di amministrazione di tutto il mondo.

 

— a cura di Javier Dominguez, CISO di Commvault

calendar_month

a cura di Redazione