“Questo è un lavoro da CISO!” sarebbe un’ottima presentazione per la figura, ispirata chiaramente a fumetti di supereroi, se solo le organizzazioni avessero una chiara idea di quale sia il lavoro che deve svolgere il CISO (Chief Information Security Officer).

E che, pertanto, ci si deve attendere di conseguenza, che è un elemento particolarmente utile sin dalla selezione di tale figura professionale. Altrimenti, il rischio è che una figura manageriale e strategica vada a fare da “cacciavitaro” (termine tecnico, per indicare lo svolgimento di mansioni operative in campo IT), impiegando il proprio lavoro nel fare altroanziché fornire l’apporto proprio della funzione.

Sebbene sia fondamentale avere coscienza in modo più o meno approfondito di come svolgere un intervento sul piano operativo, questo non è un compito che può rientrare nella giornata-tipo del CISO.

E il tempo è una risorsa terribilmente – e democraticamente – limitata.

Anche perché, altrimenti, ne conseguono tutte le conseguenze del caso, come ad esempio la mancata partecipazione ai tavoli di progetto nell’errata e fatale convinzione che “il ruolo tecnico sia una supervisione di scelte già avvenute”, o altrimenti scoprire che un budget non è stato allocato correttamente, se non addirittura il non essere in grado di analizzare la governance e i processi di gestione della sicurezza delle informazioni per pianificare i miglioramenti che devono essere apportati.

Una questione di ruolo e competenze

Nel momento in cui il ruolo e le responsabilità sono chiare tanto per il professionista quanto per l’organizzazione, le competenze necessarie da richiedere o sviluppare vanno declinate tenendo conto del contesto e dello stato dell’arte.

Certamente, la multidisciplinarietà è oggi la sfida principale per la figura del CISO, visti i tempi che cambiano, tanto dal punto di vista dall’avanzamento delle frontiere tecnologiche e dell’affollarsi della produzione normativa, volontaria o cogente che sia.

Multidisciplinarietà che non significa saper fare tutto, bensì avere la capacità di pianificare cosa va fatto individuando le risorse necessarie, comprese le eventuali competenze ulteriori a cui fare ricorso.

Le risorse devono però essere sufficienti per garantire un’efficace attuazione delle strategie.

Altrimenti, tutto è destinato a rimanere prigioniero del mondo delle migliori intenzioni, che lastricano le autostrade per gli inferni della sicurezza (cyber, e non) delle informazioni.