Più vicino al board ma non sempre riconosciuto come dovrebbe, più manager ma sempre con una forte radice tecnica, più carico di responsabilità ma senza indicazioni dall'alto. È il ritratto del CISO odierno che tratteggia IANS Research dopo aver consultato a campione oltre 660 Chief Information Security Officer statunitensi. I quali, quasi certamente, vivono le stesse opportunità e gli stessi problemi dei colleghi di tutto il mondo.

IANS sottolinea particolarmente questa dualità tra opportunità positive e contingenze negative. La vivono tutti i CISO, stretti idealmente tra la sempre maggiore importanza che la cybersecurity ha assunto nella visione delle imprese e, dall'altro lato, il fatto che comunque le risorse e le strategie legate alla sicurezza IT sono sempre difficli da concretizzare.

In generale, l'evoluzione della cybersecurity fa sì che la visione tradizionale del CISO come ruolo soprattutto tecnico non sia più adeguata, o perlomeno non lo sia nella maggioranza dei casi. In positivo, questa è un'opportunità per i CISO di ottenere un posto nei ranghi manageriali "top". Anche perché l'aumento delle minacce che le organizzazioni si trovano ad affrontare, insieme al ruolo di prima linea del CISO nei confronti degli organismi normativi e di compliance, offre loro maggiori possibilità di influenzare il board.

Eppure, raramente queste premesse vengono soddisfatte. I CISO faticano ancora a essere considerati top manager a tutto tondo e spesso non fanno parte del team di leadership della loro impresa. Solo il 20% di tutti i CISO e il 15% dei CISO delle aziende pubbliche sono considerati dirigenti "C-level".

Come conseguenza, tra l'altro, solo il 50% dei CISO del campione IANS si confronta regolarmente con il Consiglio di amministrazione. Cosa che fa la differenza: il 57% dei CISO che dialogano con il board sono ottimisti riguardo all'allineamento tra budget e rischi di cybersecurity. Questa percentuale scende invece al 28% per i CISO che non hanno contatti regolari con il top management.

Avere un dialogo non significa poi ricevere le informazioni di cui si ha bisogno. I CISO cercano dal board indicazioni chiare sui rischi che devono gestire e sulle loro priorità, ma spesso non le hanno. L'85% dei CISO intervistati ha dichiarato che il Consiglio di amministrazione dovrebbe fornire loro indicazioni chiare sul profilo di rischio che la propria azienda viole avere, per agire di conseguenza. Ma questo accade solo per il 36% dei CISO.

Peraltro, "avvicinarsi" al board è anche un rischio, perché richiede competenze di business che i CISO di norma non hanno. La formazione dei CISO è ancora fatta prevalentemente da competenze tecnologiche e poi, una volta entrati in azienda, i CISO seguono di solito percorsi di carriera legati alla parte strettamente tecnica oppure ai temi di gestione dei rischi e compliance. Così la maggior parte dei CISO costruisce le proprie competenze di business e capacità di leadership attraverso l'executive coaching e la formazione formale sulla leadership. Solo il 20% dei CISO riceve mentoring interno da parte di colleghi non tecnici.

Non stupisce quindi che, stretti tra le complessità della "politica" aziendale e una cybersecurity sempre più difficile da dominare, i CISO pensino in maggioranza di cambiare lavoro. Il 75% del campione di CISO esaminato da IANS è pronto a cambiare lavoro: una percentuale che in un anno è aumentata di 8 punti, mentre nello stesso periodo è scesa di 10 la quota dei CISO soddisfatti del proprio lavoro e della propria azienda (64% nel 2023).