Il ruolo del CISO, il responsabile di sicurezza informatica in azienda, evolve, includendo complessità sempre crescenti legate a responsabilità interne e verso l’esterno, competenze tecnologiche, ma anche di soft skill e conoscenza specialistica.

A tutto questo si aggiungono fattori di clima ambientale, di stress e pressione, elementi di contesto organizzativo e criticità proprie della funzione di sicurezza. Il World Economic Forum (WEF) che ha rilasciato un white paper specifico su questa professione e le su complessità, evidenzia come “il ruolo del CISO vada ben oltre la difesa tecnica: si tratta di tradurre i cambiamenti globali in strategie attuabili, guidare l’adozione sicura di tecnologie emergenti, come l’intelligenza artificiale e il calcolo quantistico, e costruire ecosistemi di resilienza con partner, autorità di regolamentazione e colleghi”.

Un obiettivo tutt’altro che facile, ma che richiede non solo deleghe appropriate nella propria organizzazione e un giusto posizionamento gerarchico, ma anche credibilità e un sistematico potenziamento su più fronti.

Il CISO secondo lo studio del WEF

Il WEF ridefinisce il CISO come un facilitatore strategico, per il quale la sicurezza informatica deve volvere da centro di costo ad esercizio di conformità, ma soprattutto a motore di crescita, volano di fiducia e innovazione.

A fare eco a tale ridefinizione anche l’indagine AssoCISO che fotografa una condizione dei CISO italiani non sempre appropriata alle sfide a cui sono sottoposti.

I board di decisori, i Cda sono chiamati a intervenire. Quanto prima.

Evidenze dal WEF

Nel white paper del Wef dedicato al ruolo dei CISO “Elevating Cybersecurity: Ensuring Strategic and Sustainable Impact for CISOs ”, lo scenario di lavoro è definito intricato, complicato com’è da elementi non solo sfidanti, ma pressanti:

• situazione geopolitica che incide sulla diversità del panorama della minaccia;
• requisiti regolatori che aumentano e richiedono azioni sostanziali e profonde nell’organizzazione;
• la minaccia da cyber crime persistente e sistemica;
• le tecnologie emergenti che possono allargare il fronte della superficie di attacco;
• i rischi delle catene di fornitura che moltiplicano ulteriormente l’estensione della superficie di attacco;
• lo skill gap dei colleghi e delle nuove leve;
• la persistente e irrisolta questione delle tante, troppe debolezze del software che possono diventare vulnerabilità sfruttabili.

Ma se l’ambiente d’azione si fa complesso, non è altrettanto estesa la manovrabilità di queste situazioni.

Infatti, il Wef nello studio evidenzia ambienti complessi con la responsabilità di proteggerli e l’impossibilità di controllare tutti i sistemi IT e OT (Operational Technology).

Un paradosso. “Il ruolo del CISO si sta quindi evolvendo oltre i suoi limiti tecnici tradizionali, includendo una funzione più strategica e collaborativa all’interno dell’organizzazione”.

L’indagine AssoCISO

La fotografia in Italia è abbastanza allineata. Dall’indagine “Il Ruolo del CISO Survey 2025”, presentata durante il Cyber security summit 2025 di Roma, emerge che questo ruolo è oggi chiamato non solo a proteggere dati e resilienza dell’impresa, ma anche a guidarne il cambiamento, e a tradurre la sicurezza in valore per l’impresa.

Permangono però dei vincoli. Il ruolo del CISO non è presente nel 61% delle aziende, ha una collocazione disomogenea, spesso subalterna e non autonoma (nel 30% dei casi riporta al CIO), non ha un flusso di comunicazione strutturato verso il CdA per la metà degli intervistati, è danneggiato più di altri settori dalla cronica mancanza di personale specializzato (manca la metà del personale necessario).

La carente collocazione organizzativa nelle strutture aziendali comporta la scarsa possibilità di influenza nelle decisioni strategiche e peggio ancora, la manchevole piena integrazione della sicurezza nei processi aziendali, rendendo scarsa la percezione di importanza della cyber security nel day-by-day del restante organico aziendale. Infatti, solo il 65% degli intervistati dichiara di attuare pienamente la strategia di cyber security.

Il limitato riconoscimento del ruolo del CISO incide anche sul reperimento di nuovo personale perché i candidati si rendono conto della scarsa valorialità e delle limitate prospettive di carriera e di soddisfazione.

In effetti, chi vorrebbe un ruolo scomodo, avversato e spesso pagato meno dell’effettivo effort? In questa cronica sottostima del ruolo, il vertice aziendale ha la maggiore responsabilità per un impegno (committment) limitato e per una interlocuzione che, se va bene, avviene su base trimestrale, semestrale o annuale solo in un’azienda su 2 (il 48% delle risposte) o solo quando ci sono incidenti di sicurezza.

Call to action: è l’ora di includere i CISO nelle decisioni strategiche

I vincoli legati al ruolo del CISO che emergono dall’indagine possono essere uno stimolo ad interrogarsi e riflettere per i decisori ed i board di Cda, ma poi è auspicabile una azione urgente per contribuire a risolverli in favore di un migliore equilibrio aziendale di tutte le funzioni, di una migliore e più completa capacità di preparazione ad eventi avversi operativi che si collocano nell’area di rischio operativo aziendale.

Gli eventi di sicurezza informatica sono infatti rischi di livello corporate e non certo problemi che investono la sola sala server.

Il Wef suggerisce che i consigli di amministrazione conferiscano al CISO un mandato chiaro a livello aziendale, tale da riconoscere la sicurezza informatica come un fattore fondamentale abilitante di resilienza, fiducia e valore a lungo termine.

Il suggerimento è includere i CISO nelle decisioni strategiche, fornire incentive ai peer del CISO per collaborare alla sicurezza digitale aziendale, e naturalmente devolvere un budget specifico alla sicurezza.

Ma suggerisce anche ai Board di studiare principi di resilienza e governance (Advancing Cyber Resilience: Principles and Tools for Boards e Principles for Board Governance of Cyber Risk).

Grazie a tali misure, la leadership dei CISO, l’efficacia del loro ruolo, e la percezione del valore della sicurezza in azienda potrà essere migliorata. Con benefici effetti anche sulle nuove leve di professionisti interni ed esterni che volessero candidarsi per questi ruoli.

La componente di tecno-strategia

Fuori dall’azienda invece l’attenzione è verso il rischio geopolitico attuale e i rischi da vincoli normativi (anche quelli legati alla sovranità digitale). Entrambe dovrebbero essere tenuti in opportuno conto per il modo con cui influenzano il mercato, gli scenari di rischio e di conseguenza dovrebbero incidere sulla valutazione di fornitori e tecnologie da adottare.

In sostanza quindi, oltre ad ottimizzare il ruolo del CISO internamente, i board dovrebbero includere una componente di tecno-strategia comprensiva di raccomandazione di sicurezza digitale nell’intera strategia aziendale.

Questo accorgimento vale per qualsiasi ambito di mercato e per qualsiasi
organizzazione che abbia avviato il percorso di trasformazione digitale, nessuno escluso. Comprese le piccole e medie imprese.