Non è sempre facile la relazione tra Ciso e Ceo. I primi focalizzati su strategie e investimenti necessari per la sicurezza aziendale, gli altri sull’andamento del business complessivo, di cui la sicurezza è solo una parte. Ma la divergenza di interessi tra i due interlocutori è spesso stimolo per nuove progettualità, anche se richiede un allineamento sugli obiettivi congiunti.
E’ quanto emerge dal rapporto The Ciso Report 2025 di Splunk, una ricerca che mette attorno al tavolo da una parte il Ciso dall’altra il board. Nel mezzo, il punto di osservazione di Kirsty Paine, field Cto e strategic advisor di Splunk per l’area Emea che, partendo proprio dalla “interessante divergenza di interessi, in alcune aree” sottolinea l’importanza del dialogo soprattutto tenendo conto del peso crescente dei Ciso nelle aziende e della diversa percezione dei ruoli.
Numeri alla mano
Secondo il report il numero di Ciso che riportano al Ceo è aumentato significativamente, raggiungendo l’82% nel 2024 (47% nel 2023). Ciò indica un cambiamento positivo nella cultura della sicurezza e della responsabilità. “Ma è chiaro che i Ciso sopravvalutano anche la loro relazione con i consiglio di amministrazione – esordisce Paine intervistata per la rubrica Cxo Cafè -. Mentre il 61% dei Ciso ritiene di essere allineato con il consiglio di amministrazione sugli obiettivi strategici di sicurezza, solo il 43% dei membri del consiglio di amministrazione è d’accordo”.
E continua: “Un altro punto saliente è che i Ciso e i consigli di amministrazione sembrano avere opinioni diverse sui budget per la sicurezza“. Mentre il 41% dei consigli di amministrazione afferma che la propria organizzazione dispone di un budget adeguato per le iniziative di sicurezza informatica, solo il 29% dei Ciso è d’accordo. E mentre il 64% dei consigli di amministrazione afferma che “presentare la sicurezza come un fattore abilitante per il business” è il modo migliore per aumentare il budget, solo il 43% dei Ciso è d’accordo.
Quanto sono allineati Ciso e Ceo, pur rimanendo le loro priorità diverse?
“Ciò che è emerge dal nostro rapporto è che i Ciso e il consiglio di amministrazione hanno relazioni significativamente migliori dove uno o più membri del consiglio di amministrazione hanno competenze in materia di sicurezza, o dove i Ciso siedono nel consiglio di amministrazione stesso. Il rapporto con il Ciso è classificato come “buono o eccellente” per questioni di “allineamento sugli obiettivi strategici di sicurezza” l’80% delle volte in cui il consiglio di amministrazione include un Ciso, rispetto al 27% delle volte in cui non prevede un Ciso nel consiglio di amministrazione. Allo stesso modo, in presenza di un Ciso nel consiglio di amministrazione, il 60% valuta il rapporto Ciso-consiglio di amministrazione come “buono o eccellente” quando “comunica i progressi dei traguardi di sicurezza”. Questo dato scende ad appena il 16% quando non vi è alcun Ciso nel consiglio di amministrazione”.
Budget e consapevolezza
Il budget per la sicurezza necessita di adeguamenti importanti visto il crescente impatto delle minacce, guidate anche da AI e cloud. Sono budget che i Ciso reputano sufficienti? In quali componenti dovrebbero essere migliorati?
“Nel complesso, solo il 29% dei Ciso afferma di ricevere il budget adeguato per le iniziative di sicurezza informatica e per il raggiungimento dei propri obiettivi di sicurezza, rispetto al 41% dei membri del consiglio di amministrazione che ritiene che i budget per la sicurezza informatica siano adeguati. I budget per la sicurezza dovrebbero essere spesi per affrontare i maggiori rischi dell’azienda e proteggere i suoi servizi e dati più critici, e ciò sarà diverso per ogni organizzazione. Ma, allo stesso tempo, i dati in nostro possesso mostrano che non tutte le misure di riduzione dei costi hanno lo stesso impatto o comportano la stessa probabilità di violazione”.
Poche sono le aziende che rendono note le proprie falle, anche se una maggiore consapevolezza e trasparenza sarebbe d’aiuto all’ecosistema. Quanto i Ciso sono sotto pressione nel ‘mascherare’ la non conformità della propria azienda agli standard di sicurezza?
“Non sono d’accordo: molte aziende condividono i loro problemi e le lezioni apprese per aiutare l’ecosistema a riprendersi più rapidamente da un incidente. In effetti, c’è una crescente enfasi normativa sulle aziende che segnalano violazioni o problemi di conformità e i fornitori conoscono più che mai il ruolo critico che devono svolgere nel supportare i propri clienti in caso di crisi. Ma i nostri risultati mostrano che i Ciso devono affrontare pressioni sulla conformità. Il 21% dei Ciso ha subìto pressioni per non segnalare un problema di conformità: si tratta di un numero enorme, più di 1 su 5. Il 59% dei Ciso dichiara anche che diventerebbe un whistleblower se la propria azienda ignorasse i requisiti di conformità”.
Competenze e nuovi impegni
Quali competenze dovrebbe avere un Ciso e quali competenze dovrebbe avere il board per facilitare il dialogo tra le due figure? Come accrescerle?
“È ormai riconosciuto che, mentre un tempo si pensava che il Ciso facesse parte della funzione “IT/Security”, oggi i Ciso sono leader; devono parlare la lingua del consiglio di amministrazione ed essere strettamente allineati con le priorità del consiglio di amministrazione.
Il ruolo è passato dalla crescita della sicurezza alla crescita sicura dell’azienda, per guidare le attività interdipartimentali che miglioreranno la posizione di sicurezza e la resilienza complessiva di un’azienda, consentendo al contempo l’attività. Quanto sia stata efficace o “completa” questa transizione è un’altra questione. Il nostro sondaggio afferma che un numero maggiore di Ciso ora riporta direttamente al Ceo; questi legami più stretti dovrebbero portare a una comunicazione migliore e più frequente tra la sicurezza e il Ceo, il che non può che essere una buona cosa.
Tuttavia, i membri del consiglio di amministrazione sono meno propensi dei Ciso a dichiarare di essersi allineati su questioni strategiche (43% contro il 61% dei Ciso). I Ciso hanno la necessità di migliorare la loro capacità di ‘parlare la stessa lingua’ del consiglio di amministrazione (“talking board”) e assicurarsi di non alienare gli altri C-level con un linguaggio IT eccessivamente tecnico o complesso. Tuttavia, non si tratta solo di una questione di “lingua”. In genere, i Ciso devono rafforzarsi ulteriormente all’interno del consiglio di amministrazione, nonché comprendere e affrontare le attività e le priorità del consiglio di amministrazione. In altre parole, diventare non solo un partner, ma parte del “percorso interno”
Cinque punti della strategia dei Ciso
Nel report è indicato un “piano in cinque punti” per il Ciso:
- Educare il consiglio di amministrazione perché la maggior parte dei consigli di amministrazione non sa o non capisce cosa stanno facendo i Ciso o perché lo stanno facendo. “Evitare un linguaggio eccessivamente tecnico e parlare in termini comprensibili ai consigli di amministrazione: “rischio” e “denaro””.
- Investire nelle relazioni e costruire la fiducia con gli altri membri del consiglio prima, durante e dopo gli incidenti porterà dividendi a lungo termine. “Assicurarsi di non parlare con il proprio consiglio di amministrazione solo quando serve budget”.
- La conformità è di competenza del Ciso per molte organizzazioni. Mentre alcuni lo vedono come un onere che non hanno mai accettato, i Ciso di successo la vedono come un’opportunità per raggiungere gli stakeholder aziendali e spiegare in termini chiari il valore della loro funzione aziendale.
- Essere un esperto di sicurezza non è più l’unico requisito lavorativo per un Ciso. Il Ciso dovrebbe essere istruito su ciò che l’azienda sta cercando di ottenere e allinearsi con essa. “Parafrasando, un Ciso dovrebbe cercare di far crescere l’azienda, non la sicurezza”.
- Costruire relazioni e visibilità può sembrare superfluo, ma è un fattore critico di successo per garantire che i team del Ciso e il loro lavoro siano conosciuti e apprezzati.
Attenzione al ritorno degli investimenti
I consigli di amministrazione ritengono che dimostrare il Roi in sicurezza sia la misura più importante del successo di un Ciso (al 54%, dove solo il 42% dei Ciso era d’accordo). Tuttavia, nel rapporto, sembra che i Ciso e il consiglio di amministrazione abbiano alcune lievi, ma significative, differenze in termini di forme di Roi che apprezzano di più.
“Abbiamo chiesto sia ai Ciso che ai consigli di amministrazione cosa potrebbe convincere il Consiglio ad “aprire i loro portafogli” e proteggere i futuri finanziamenti per la sicurezza.
Il 64% dei consigli di amministrazione dichiara che si convincerebbe se il Ciso “posizionasse la sicurezza come un fattore abilitante per il business“. Tuttavia, solo il 43% dei Ciso afferma di aver utilizzato questa tattica. Il 46% dei consigli di amministrazione desidera che i Ciso “presentino calcoli sul costo dei tempi di inattività”, ma solo il 39% dei Ciso afferma di farlo. E mentre il 37% dei consigli di amministrazione vuole che il Ciso “educhi sull’impatto aziendale degli attacchi alla sicurezza”, il numero di Ciso che lo fa effettivamente è del 34%.
Al contrario, il 49% dei consigli di amministrazione desidera che il proprio Ciso “fornisca metriche e raccomandazioni sul rischio informatico”. Il numero di Ciso che già lo fanno è significativamente più alto, al 57%. E mentre solo il 34% dei Ciso apprezza “enfatizzare i requisiti di conformità normativa”, il 48% dei Ciso lo fa già.
Questi dati suggeriscono che, per ottenere ciò che vogliono e assicurarsi finanziamenti più facilmente, i Ciso dovranno imparare ad allinearsi più strettamente con i “desideri” del consiglio di amministrazione e a evangelizzare ciò di cui hanno bisogno in un modo che sia convincente per loro.
Quali sono i rischi di una incomprensione tra Ciso e Ceo?
“La mancanza di allineamento strategico può portare a risultati peggiori in termini di sicurezza: influenzando il modo in cui le aziende finanziano i loro sforzi di sicurezza, modificando la definizione delle priorità dei problemi di conformità e persino riducendo la loro capacità di adottare l’intelligenza artificiale e guidare la crescita del business.
Questo divario tra i Ciso e il loro consiglio di amministrazione è del tutto colmabile. In effetti, molti leader lo stanno già facendo. Riunire questi gruppi richiede la formazione dei consigli di amministrazione sui dettagli della sicurezza informatica e per i Ciso di comprendere il linguaggio e le esigenze del business, non solo la sicurezza.
Quali sono i settori di mercato che necessitano di un maggiore allineamento tra i Ciso e i board?
“Il quadro dell’allineamento tra Ciso e consiglio di amministrazione nei diversi settori è piuttosto variegato. Ad esempio, rispetto alle loro controparti del settore, i Ciso del settore manifatturiero si sentono meno supportati dalla loro C-suite, esprimendo generalmente meno ottimismo riguardo ai loro budget per la collaborazione e la sicurezza informatica. Questa mancanza di supporto potrebbe essere un fattore determinante per cui il settore manifatturiero subisce più attacchi informatici rispetto ad altri settori.
I Ciso nei servizi finanziari tendono ad avere relazioni più efficaci con i loro consigli di amministrazione rispetto ad altri settori. Comprendono che il Roi in sicurezza indica il loro successo (60% d’accordo), una metrica essenziale utilizzata dai consigli di amministrazione per valutare le prestazioni dei Ciso (64%).
E in molte aree, i Ciso del settore pubblico e i loro consigli di amministrazione non sono al passo quando si tratta di sicurezza informatica. Mentre l’80% dei consigli di amministrazione ritiene che i propri Ciso dedichino molto tempo all’abilitazione del business, solo il 26% lo fa effettivamente. E sebbene il 51% dei Ciso pensi di essere in grado di creare con successo un piano di registrazione con i propri consigli di amministrazione, solo il 20% dei loro consigli di amministrazione è d’accordo”.
© RIPRODUZIONE RISERVATA
