La posizione di Chief Information Security Officer si sta trasformando in una delle mansioni più complesse e indesiderabili nel panorama aziendale contemporaneo. Mentre la cybersecurity assume un ruolo sempre più strategico per le organizzazioni, paradossalmente i professionisti che ricoprono questo ruolo stanno abbandonando le loro posizioni a ritmi senza precedenti. La combinazione di stress perpetuo, responsabilità sproporziante e mancanza di autorità decisionale sta creando una crisi professionale che potrebbe avere conseguenze devastanti per la sicurezza delle aziende.
La testimonianza di George Gerchow, che dopo nove anni come Chief Security Officer presso Sumo Logic ha dovuto affrontare il burnout, illustra perfettamente questa dinamica. "Non ho mai visto così tanti colleghi lasciare il ruolo negli ultimi due anni", spiega Gerchow, che ora ricopre la posizione di CSO presso Bedrock Security. La sua esperienza di passaggio temporaneo al ruolo di head of trust presso MongoDB, seguita dal ritorno alle responsabilità di CISO, ha riacceso la sua passione per il lavoro, ma ha anche evidenziato quanto sia difficile mantenere l'equilibrio in questa professione.
Il problema centrale risiede nelle strutture organizzative che relegano i CISO a posizioni subordinate rispetto ad altri dirigenti C-level. "Non riferirò mai più a un CTO o CFO", afferma categoricamente Gerchow, sottolineando come questa configurazione generi frustrazione e perdita di controllo. La mancanza di un posto diretto al tavolo decisionale trasforma questi professionisti in figure che devono costantemente mediare le proprie decisioni attraverso altri leader aziendali, pur avendo potenzialmente il lavoro più rischioso dell'intera organizzazione.
Le pressioni normative e la responsabilità personale
L'evoluzione del panorama normativo sta aggiungendo ulteriori complicazioni al ruolo. Le nuove regolamentazioni richiedono ai CISO di certificare personalmente l'integrità della cybersecurity aziendale, esponendoli a crescenti responsabilità legali e rischi personali. Questo scenario crea quello che Maggie Myers, consulente senior presso Korn Ferry, definisce un "disallineamento tra responsabilità e autorità" che sta rendendo molte posizioni semplicemente insostenibili.
La Digital Operational Resilience Act (DORA) dell'Unione Europea rappresenta un esempio concreto di come le nuove normative stiano "schiacciando le aziende", secondo Gerchow. Questi requisiti aggiuntivi si sommano a un carico di lavoro già estremamente impegnativo, dove i CISO devono gestire minacce sempre più sofisticate, incluse quelle potenziate dall'intelligenza artificiale, senza disporre necessariamente delle risorse o del supporto adeguati.
Amit Basu, vice president, CIO e CISO di International Seaways, identifica il problema nell'assenza di "indennizzi formali, autorità di governance chiara o protezione personalizzata". Questa situazione crea un paradosso per cui i CISO sono incaricati di gestire i rischi aziendali pur rimanendo strutturalmente sottodimensionati per influenzarli completamente.
La ricerca di Nominet rivela che il 91% dei CISO soffre di stress da moderato ad alto, confermando quello che Corey Nachreiner, CISO/CSO di WatchGuard, descrive come "un ciclo perpetuo di stress, sapendo che un incidente di cybersecurity potrebbe colpire in qualsiasi momento". Gli attori delle minacce diventano sempre più astuti, e persino gli stati nazionali prendono di mira le aziende civili, mentre spesso le organizzazioni vedono la cybersecurity come un male necessario piuttosto che una priorità assoluta.
Prospettive alternative e soluzioni innovative
Non tutti i professionisti del settore concordano sulla natura intrinsecamente indesiderabile del ruolo. Patricia Titus, che ha recentemente assunto una posizione come field CISO presso la startup Abnormal AI dopo 25 anni come CISO operativo, attribuisce l'aumento del burnout a problemi umani piuttosto che posizionali. "Non stiamo facendo un buon lavoro nel bilanciare", osserva Titus, che ha sperimentato personalmente gli effetti dello stress lavorativo, inclusi problemi di salute fisica come l'eczema da stress.
La transizione verso ruoli advisory rappresenta una possibile soluzione per alcuni professionisti esperti. Titus descrive la sua nuova posizione come "il meglio di tutti i mondi possibili", dove può applicare la sua expertise per aiutare i clienti con problemi specifici senza avere responsabilità operative dirette. Questa configurazione permette di mantenere un coinvolgimento significativo nella protezione dei dati dei clienti supportando al contempo i CISO operativi.
Basu sta lavorando per stabilire una risposta strutturale a questi problemi attraverso la creazione della Professional Association of CISOs (PAC), modellata su entità come l'Ordine degli Avvocati o la Società dei Commercialisti. L'obiettivo è formalizzare la professione attraverso accreditamenti standardizzati, sostenere protezioni legali e favorire una rete di supporto professionale solida.
"Un CISO con standard, accreditamento, supporto legale e una comunità professionale è un asset aziendale, ma un CISO senza protezione è una vulnerabilità", spiega Basu, evidenziando come la soluzione non sia quella di sottovalutare la posizione, ma di riconoscere formalmente la leadership in cybersecurity come una professione completa.
Nonostante le sfide, alcuni aspetti del ruolo rimangono attraenti per i professionisti che prosperano in ambienti dinamici e intellectualmente stimolanti. "Se prosperi in un ambiente dove la tua curiosità non è mai soddisfatta, pensi sempre un passo avanti e ogni giorno è diverso, il ruolo di CISO rimane ideale", afferma Titus. L'innovazione costante nel campo e l'opportunità di apprendere continuamente nuove competenze rappresentano elementi positivi significativi.
La chiave per il successo futuro del ruolo, secondo Nachreiner, risiede nel riconoscere che "il ruolo di CISO è più incentrato sugli aspetti umani e politici che su quelli tecnici". Non si tratta solo di maestria nelle difese di rete, ma di convincere il consiglio di amministrazione ad approvare progetti che non aumentano immediatamente i profitti, rallentare i capi dipartimento per abbracciare misure di sicurezza e spingere i dipendenti a modificare le loro abitudini quotidiane. Con l'approccio giusto, la posizione rimane critica e gratificante, con il potenziale per guidare cambiamenti significativi nell'organizzazione.