Le competenze tecniche sono importanti per un CISO? Assolutamente sì, ma non sono sufficienti. La complessità del ruolo, e l’importanza cruciale che riveste all’interno dell’azienda, richiede infatti un bagaglio di capacità molto più ampio (che includa per esempio, prima di tutto, un solido skillset manageriale). E questo è il motivo principale per cui figure di altissimo profilo dal punto di vista tecnico, anche verticalmente specializzate nel campo della sicurezza informatica, possono non essere indicate per svolgere l’incarico con efficacia.  

Ecco perché l’equivalenza “grande  tecnico = ottimo CISO” non è necessariamente valida. Al contrario, un grande  tecnico può purtroppo rivelarsi un pessimo CISO. Ma andiamo un po’ più a fondo e vediamo quali sono alcune delle ragioni specifiche per cui questa affermazione trova riscontro nella realtà della vita aziendale di molte imprese, e nell’esperienza di molti qualificati professionisti. 

  1. L’attenzione al dettaglio prevale sulla visione d’insieme 
  2. Scarsa comprensione della gestione del rischio 
  3. Limitata predisposizione alla proattività 
  4. Comunicazione carente 
  5. Mancanza di esperienza (o attitudine) manageriale 

1. L’attenzione al dettaglio prevale sulla visione d’insieme 

Iniziamo da una criticità che riguarda ogni campo del sapere scientifico, di cui la scienza informatica, e le discipline correlate, sono un ottimo esempio. Il grado di specializzazione della materia (per come si configura sin dalle origini e per come si è sviluppata negli ultimi decenni, assumendo l’ampiezza di articolazione attuale) richiede una forma mentis orientata alla comprensione e all’analisi di ogni singolo dettaglio.  

Questa professione – sia essa applicata alla realizzazione di infrastrutture di calcolo, infrastrutture network, algoritmi di ML e AI, o grosse banche dati – richiede la capacità di gestire tecnologie complesse, quindi di verificarne il funzionamento con precisione e accuratezza assolute in ogni fase del processo. Perché anche una svista minima può essere la causa di un problema, a volte grave: anche il minimo errore può causare danni tangibili. 

L’attenzione al dettaglio, qualità di assoluto rilievo non solo in ambito informatico, non deve tuttavia offuscare la visione d’insieme. Come vedremo nel resto dell’articolo, la creazione di un ambiente digitale sicuro deriva da una pluralità di fattori, di carattere tecnico ma anche strategico, ed è legata a competenze iper-specialistiche ma anche di leadership. Implica cioè l’integrazione tra microanalisi e gestione su larga scala, quindi la capacità di muoversi con equilibrio su entrambe i livelli. 

2. Scarsa comprensione della gestione del rischio 

Quali sono le minacce informatiche di maggiore importanza? Quali gli attacchi che possono provocare le conseguenze più gravi per l’azienda? La capacità di assegnare alle potenziali minacce una corretta valutazione, e di stabilire di conseguenza l’ordine delle priorità di intervento, è direttamente collegata alla capacità di gestione del rischio (o risk management, se preferiamo la locuzione inglese). Si tratta di  saper identificare, valutare e appunto gestire i rischi cui un’impresa è potenzialmente sottoposta nel regolare svolgimento delle proprie attività.  

In ambito di cyber security, il risk management consiste, com’è ovvio, nell’identificazione dei rischi legati alla sicurezza informatica, nella valutazione della probabilità che questi rischi si verifichino e dell’entità del conseguente impatto. Una volta identificati e valutati i rischi, il CISO ha il compito di sviluppare piani di gestione efficaci, il che può includere la definizione di policy e protocolli di sicurezza, l’implementazione delle misure esistenti, la formazione del personale in materia, l’organizzazione delle attività di monitoraggio per verificare che ciascuna delle misure predisposte venga rispettata.  

Il tutto tenendo presente che il risk management – come ogni altro aspetto teorico e gestionale della sicurezza informatica – non è un processo statico, bensì dinamico. Siccome le minacce evolvono, i rischi correlati cambiano, e di conseguenza i piani di gestione del rischio devono essere suscettibili di modifiche e variazioni, opportunamente modulate da un CISO in grado di monitorare con rigore la situazione in essere, all’interno dell’azienda, e lo scenario esterno, ovvero il mondo complesso, multi-sfaccettato e in continua evoluzione delle minacce informatiche. 

È chiaro che la formazione e l’esperienza professionale, per quanto specializzate in ambito di cybersecurity, possano non essere sufficienti per tradurre in pratica operativa la serie di azioni che la gestione del rischio richiede. 

3. Limitata predisposizione alla proattività 

Comportarsi in modo reattivo è la norma nelle situazioni di emergenza e, in generale, in tutti i contesti in cui sia necessario risolvere un problema manifesto, una criticità in atto, una crisi in corso. Per farlo, occorre la preziosa attitudine al problem-solving (non a caso richiesta in ogni ambito professionale).  

Tuttavia, nella gestione della sicurezza informatica, una solida capacità di problem-solving reattivo potrebbe non essere sufficiente. Lo si può dedurre da quanto si è detto sulla gestione del rischio: il primo e più importante effetto di un risk management efficace deve essere la limitazione della percentuale di rischio, e cioè la prevenzione del rischio stesso. E agire in ottica preventiva significa agire in modo proattivo, immaginare lo scenario futuro peggiore e anticipare le mosse affinché non si verifichi. 

Un tecnico abituato a risolvere brillantemente criticità inaspettate sarà altrettanto abile, nei panni di CISO, nell’individuare le misure preventive necessarie a evitare che accadano? Ad attuarle e a verificare che vengano rispettate? Un approccio proattivo alla gestione della sicurezza informatica implica la capacità di pensare a lungo termine, e richiede una stretta e costante collaborazione tra il CISO e il proprio team di esperti informatici in primis, quindi tra il CISO e il resto dei comparti aziendali. Ed è qui che entrano in gioco altre due criticità maggiori – due ragioni per cui un tecnico con un profilo professionale di altissima competenza nel proprio campo può rivelarsi un CISO inefficace. 

4. Comunicazione carente 

Questo è un male da cui pochi contesti, e poche professioni, possono dirsi immuni: la scarsa competenza comunicativa. La capacità di esprimersi in modo semplice e chiaro ma preciso, autorevole ma empatico, nelle comunicazioni scritte così come di persona, è una qualità tanto richiesta quanto difficile da trovare. Soprattutto in settori, come quello di cui ci occupiamo, di estrema complessità, in cui interagiscono figure con molteplici competenze, ciascuna con il proprio linguaggio tecnico e vocabolario specifico.  

Un esperto informatico parlerà con agio, sicuro che il messaggio arrivi, a un collega (lo stesso vale per qualsiasi altra professione che operi tra i meandri delle infinite ramificazioni e specializzazioni del sapere scientifico). Nel ruolo di CISO, però, dovrà saper comprendere a fondo i meccanismi della sicurezza informatica e comunicare le relative strategie di gestione e implementazione al resto dell’azienda, dal board degli executive ai vari comparti dei dipendenti, inclusi eventualmente stakeholder e terze parti coinvolte.  

In questo frangente, dovrà essere in grado di esprimersi non solo in modo comprensibile, ma anche persuasivo, perché come ben sappiamo la cultura della cybersecurity, e di conseguenza la sensibilità e l’attenzione che il tema richiede, non è ancora così ampiamente radicata e diffusa. Un compito estremamente difficile per chi sia abituato a “fare” e “risolvere” piuttosto che a “dire” o “persuadere”.    

5. Mancanza di esperienza (o attitudine) manageriale 

Visione d’insieme, capacità di previsione e gestione del rischio, pianificazione ed esecuzione strategica, atteggiamento proattivo, abilità comunicativa. Stiamo parlando di sicurezza informatica o management aziendale? Le competenze fin qui descritte come fondamentali per un CISO, e non necessariamente per un tecnico esperto, sono le stesse che ci si aspetta da un manager. Che è anche dotato di conoscenza capillare della propria impresa, in termini di visione e di business, e possiede, tra i requisiti primari, tutto quel bagaglio di softskill che consentono di tenere le redini dell’organizzazione aziendale: capacità di lavorare sotto pressione, reggere elevatissimi tassi di stress, flessibilità, forti competenze nelle relazioni interpersonali, e naturalmente leadership.  

Nel comparto di cui è a capo, e in relazione al resto dell’azienda, il CISO è, per definizione, un Chief Officer, ovvero una figura di alta dirigenza, con responsabilità decisionali e strategiche di grande rilievo. Un tecnico esperto che non abbia esperienza in ruoli manageriali, o non abbia predisposizione o interesse a perseguirli, difficilmente sarà un buon CISO.  

Conclusioni

Tutto questo significa che un grande tecnico è destinato a rivelarsi un pessimo CISO? Assolutamente no. Significa soltanto che deve conoscere le competenze, le responsabilità e le sfide che tale ruolo comporta, acquisire le skill che eventualmente manchino alla sua esperienza professionale e mettersi in gioco. La motivazione, si sa, è tutto, e non esiste obiettivo che non sia perseguibile con il mindset adeguato. Le ragioni per cui un grande tecnico può rivelarsi un pessimo CISO sono ostacoli che molti esperti hanno superato per diventare CISO eccellenti, a beneficio della sicurezza informatica dell’azienda, quindi del benessere generale dell’impresa e dei suoi dipendenti. 

Per approfondire l’argomento con consigli pratici derivati da un’esperienza pluridecennale sul campo, suggeriamo di ascoltare “Life of a CISO”, di Eric Cole, esperto di cyber security che ha iniziato la propria carriera alla CIA. Il podcast è disponibile su varie piattaforme, tra cui Apple e Spotify. Se invece preferite YouTube, qui il Dr. Cole parla proprio di alcuni dei punti trattati nell’articolo, insieme a una miniera di altre informazioni utili.