Gli attacchi informatici sono ormai parte della quotidianità per aziende, autorità e infrastrutture critiche. Secondo il Bundesamt für Cybersicherheit (BACS), nel 2023 sono pervenute in totale 49’380 segnalazioni di incidenti cyber, circa il 30 per cento in più rispetto all’anno precedente. Colpiti ospedali, comuni e numerose PMI.
Perché non tutte le aziende hanno un CISO
Nonostante i rischi crescenti, molte imprese non dispongono ancora di una funzione CISO. La Security Priorities Study 2024 di CSO mostra che solo il 45 per cento delle aziende nordamericane ha nominato un CISO. In particolare, le PMI faticano a destinare le risorse necessarie a una direzione della sicurezza dedicata. Secondo uno studio dell’ENISA, ciò vale anche per l’Europa.
Le aziende con una funzione CISO coinvolgono comprovatamente in misura maggiore il consiglio di amministrazione nelle questioni di sicurezza – lo attesta lo State of the CISO 2024 di IANS.
Una questione politica: dove si colloca il CISO
Il radicamento organizzativo dice molto su quanto seriamente un’azienda prenda i rischi cyber. Se il CISO riporta al CIO, la sicurezza è spesso vista come un costo IT. Se è assegnato al CSO, la cybersecurity è considerata parte della sicurezza fisica. Il segnale più chiaro si ha quando il CISO riporta direttamente al CEO o al consiglio di amministrazione – come prevede la direttiva UE NIS-2.
Aree di responsabilità con pressione reale
Il ruolo del CISO spazia dalla prevenzione alla governance fino alla gestione delle crisi. Esempi dalla Svizzera ne evidenziano l’urgenza: il Comune di Rolle (VD) è stato per settimane compromesso nel 2021 dopo un attacco ransomware (Le Temps). Con la revisione della legge sulla protezione dei dati (revDSG) vigono da settembre 2023 obblighi più severi di trasparenza. E l’attacco MOVEit nell’estate 2023 ha mostrato la vulnerabilità delle catene di fornitura globali.
Profilo di competenze: più della sola tecnica
Un CISO deve saper coniugare tecnologia e strategia. La FINMA richiede agli istituti finanziari una gestione sistematica dei rischi ICT a livello di direzione. Certificazioni internazionalmente riconosciute come CISSP, CISA o CCSP sono diffuse anche in Svizzera e segnalano competenza e aggiornamento continuo.
Requisiti diversi a seconda del settore
Il ruolo del CISO varia in base al settore. Nella sanità gli ospedali sono un obiettivo primario del ransomware (ENISA). Nel settore finanziario le banche devono rendicontare i rischi cyber nel sistema di controllo interno (Rapporto annuale FINMA 2023). Le PMI, invece, si concentrano spesso sull’implementazione con risorse limitate di misure di base come l’autenticazione multifattore.
Modelli flessibili: CISO as a Service e CISO on Demand
Non tutte le aziende possono permettersi un CISO a tempo pieno. Per questo molte imprese puntano su CISO as a Service (CISOaaS) o CISO on Demand. Secondo la studio Cynomi 2024, oltre il 70 per cento dei Managed Security Provider segnala una domanda in crescita per questi modelli. Considerato che il 99 per cento delle imprese svizzere sono PMI, questi modelli offrono una soluzione pragmatica.
Conclusione
Il CISO è molto più di uno specialista tecnico. È interprete tra tecnologia, rischio e strategia – e dunque indispensabile per ogni impresa. Che sia stabilmente in direzione oppure in un modello as-a-Service: la domanda non è se un’azienda possa permettersi un CISO, ma se possa permettersi di non averlo.
CISO as a Service – Il vostro prossimo passo
Non tutte le aziende dispongono delle risorse per coprire stabilmente una posizione CISO. Proprio qui interviene la nostra offerta CISO as a Service. Avrete accesso a esperti di sicurezza con esperienza, che supportano la vostra impresa in modo flessibile e secondo le necessità – dalla cyberstrategia e governance fino alla gestione operativa delle crisi.
Così beneficiate delle stesse competenze di un CISO assunto – in un modello che si adatta perfettamente alle vostre dimensioni e al vostro budget. Contattateci per un colloquio senza impegno.
Key Take-away – Agire ora, non aspettare
Rafforzate la vostra resilienza con un modello di responsabilità chiaro: ancorare la funzione CISO, coinvolgere regolarmente il consiglio di amministrazione, attuare con rigore le misure di base (MFA/Passkeys, segmentazione, resilienza dei backup) – e, in mancanza di risorse, utilizzare CISO as a Service come soluzione scalabile.
