Opportunità ma anche ansia caratterizzano nel 2024 lo stato d’animo dei CISO. IANS e Artico Search hanno svolto la quarta survey “CISO Compensation and Budget survey” tra aprile e ottobre 2023, intervistando 663 responsabili della cybersecurity negli USA e Canada. Secondo il report “State of the CISO, 2023–2024 – Benchmark Summary Report”, che riporta i principali risultati dell’indagine, la situazione è diventata quanto mai problematica per i CISO, considerando da un lato una situazione economica incerta negli ultimi anni, che ha costretto molte aziende a ridurre le spese, incluso quelle per il programma della sicurezza informatica. Dall’altro lato, abbiamo assistito a una crescita delle violazioni informatiche, di attacchi ransomware, a un’allerta continua sulle minacce.
Successivamente, l’inaspettato arrivo degli strumenti di AI generativa ha offerto ai CISO nuove opportunità per la rilevazione avanzata delle minacce, l’automazione e le difese adattive, ma presenta anche nuove sfide e una superficie di attacco ampliata. Infine, la SEC e i regolatori regionali negli USA, ma anche i nuovi regolamenti in Europa, hanno introdotto regole più rigorose e maggiori requisiti di notifica degli eventi cyber. La SEC, poi, ha assunto una posizione di maggiore forza nei confronti di società pubbliche e private, fino ad avanzare accuse di frode contro singoli CISO.
Il quarto sondaggio annuale sulle compensazioni e i budget dei CISO di IANS e Artico Search cattura segnali di disagio ed espone la necessità di un cambiamento. Tra aprile e ottobre 2023, sono state raccolte informazioni da 663 CISO sulla loro esperienza lavorativa, compensazione, dinamiche di budget, coinvolgimento nel CDA e soddisfazione lavorativa.
Stato del CISO: a che punto siamo
I CISO devono fare di più con meno e rischiano esposizione legale e professionale. In questo scenario in rapida evoluzione, le caratteristiche tradizionali del ruolo di CISO potrebbero non essere più sufficienti. La situazione attuale offre ai CISO opportunità senza precedenti per rivendicare un ruolo più alto nel rango executive. Inoltre, la maggiore pressione sulla sicurezza delle organizzazioni dà ai CISO più “armi” per influenzare i vertici.
Regolatori e autorità pubbliche stanno spingendo perché i CISO siano responsabili della trasparenza con cui l’organizzazione gestisce il rischio cyber. È emersa una situazione in cui il CISO è responsabile degli aspetti di comunicazione, che negli USA sono ora simili a quelli di un direttore finanziario, ma spesso senza l’autorità di firma e l’influenza generale di un CFO. Fondamentalmente, le aspettative per il ruolo del CISO sono state elevate al livello C-suite. Tuttavia, molti CISO continuano a faticare ad essere visti come tali e/o non sono stati promossi a quel livello. La Figura successiva mette in evidenza i contrasti tra le nuove aspettative e la realtà sul campo, come riportato dai CISO che hanno partecipato al sondaggio.
Nel sondaggio, è stato chiesto ai CISO di selezionare il proprio livello lavorativo. Ciascun rispondente ha indicato di essere il professionista di livello più elevato nell’organizzazione della sicurezza. Tuttavia, solo il 20% ha dichiarato di trovarsi al C-level nell’organigramma organizzativo complessivo.
Le competenze tecnologiche dominano la formazione dei CISO
Negli anni che precedono l’acquisizione del ruolo di CISO, i domini più coperti sono: IT/infrastruttura IT, sicurezza di rete, sicurezza A&E (applicativa, endpoint) e GRC. I due percorsi professionali dominanti sono quindi da un lato un percorso tecnico (76% dei casi), dall’altro lato, un percorso di rischio e conformità (22%); alcuni CISO hanno anche cambiato percorso durante i loro anni formativi.
Prevalgono le linee di reporting tradizionali
Un terzo dei CISO riporta a una funzione aziendale, come un CEO, COO, CFO o consulente legale. Gli altri hanno un responsabile diretto in una funzione tecnica, tipicamente il CIO o il Chief technical officer (CTO). Il CISO di Amazon ha dichiarato di avere una linea di reporting diretta al CEO, dicendo: “Una delle ragioni per cui Amazon è così forte nella sicurezza è perché la sicurezza riporta al CEO e regolarmente al consiglio di amministrazione.”
Il 54% dei CISO lavora da remoto
Similmente all’anno scorso, il 54% dei partecipanti lavora principalmente dal suo ufficio domestico, il 22% si trova in una situazione ibrida e il 24% lavora principalmente presso gli uffici della propria azienda. Tuttavia, si osservano differenze in base alla dimensione dell’azienda e alle diverse geografie.
La metà dei CISO si confronta con il CDA almeno trimestralmente
Le nuove regole sulla sicurezza informatica della SEC e l’aumentata esposizione a cui sono esposti i CISO richiedono una forte collaborazione tra il CISO e il vertice aziendale, compreso il consiglio di amministrazione. Il sondaggio ha rilevato che c’è uno scollamento nella maggior parte delle aziende.
Le nuove aspettative per i CISO invocano una collaborazione regolare e ricorrente tra CISO e consiglio di amministrazione: aggiornamenti trimestrali, esercitazioni pratiche e, in generale, sviluppare un rapporto più stretto. Solo per la metà dei partecipanti al sondaggio, questo è il caso della propria organizzazione. Questi interagiscono infatti con il CDA trimestralmente, e ancora più spesso quando necessario.
Un posto al tavolo del Board richiede nuove competenze
I CISO devono essere in grado di comunicare efficacemente con il suo Board al fine di soddisfare i requisiti di reporting, migliorare l’allineamento del budget e spingere perché ci sia una corretta gestione del rischio. Per fare ciò, ha bisogno di:
- Acume aziendale: servono competenze che consentano ai CISO di parlare il linguaggio del consiglio di amministrazione, compresa una solida comprensione della strategia aziendale e del mercato di riferimento; competenze finanziarie per leggere e comprendere i bilanci finanziari; e la capacità di delineare i rischi in termini di impatto economico e costi / opportunità, invece di limitarsi alla gestione delle vulnerabilità tecniche.
- Presenza manageriale: la capacità di essere persuasivi, diretti e decisivi nelle interazioni con il CDA e la C-suite si basa su competenze professionali come la narrazione, la consapevolezza della situazione e la comprensione dei ruoli e delle responsabilità dei membri del CDA.
La soddisfazione lavorativa dei CISO è in discesa
I risultati sulla soddisfazione lavorativa suggeriscono un’ansia crescente tra i CISO. Inoltre, sono sempre di più i CISO interessati a un cambio di lavoro rispetto agli anni precedenti. Tra il 2022 e il 2023, la quota di CISO soddisfatti del proprio lavoro e della propria azienda è scesa di una percentuale intorno al 10% e si attesta ora al 64%. Il numero dei CISO che sta considerando un cambio di lavoro invece è salito al 75% (era il 67% l’anno precedente). Tutto sta a indicare un disagio crescente.
Accedi al report “State of the CISO, 2023–2024 – Benchmark Summary Report”.
