Nonostante si parli costantemente di carenza di competenze in materia di sicurezza e della natura "a prova di recessione" della cybersecurity, l'ultimo anno si è rivelato un mercato del lavoro difficile per molti professionisti del settore. Un'opinione diffusa suggerisce un inasprimento degli standard di assunzione, forse persino irrealistico, soprattutto per le posizioni entry-level e di medio livello. E per le posizioni dirigenziali, la realtà è che il numero di ruoli di Chief Information Security Officer (CISO) disponibili è limitato.
È interessante notare come una parte significativa del mondo aziendale, che comprende sia le medie imprese che alcune aziende più grandi, non disponga ancora di un CISO dedicato. Un recente studio di Board Cybersecurity su 10.000 documenti depositati presso la SEC ha rivelato che solo il 52% delle società pubbliche menziona esplicitamente la presenza di una posizione di CISO nei propri rapporti agli enti regolatori e agli investitori. Una lacuna che sottolinea una necessità critica di leadership nella sicurezza che rimane insoddisfatta in una parte sostanziale dell'ecosistema aziendale.
L'ascesa dei CISO "virtuali"
Tuttavia, questo panorama in evoluzione presenta anche opportunità in crescita per i CISO che cercano di ampliare i propri orizzonti professionali. Una traiettoria di carriera che sta guadagnando notevole slancio è quella del CISO virtuale (vCISO), a volte definito CISO frazionario. Cosa vuol dire? Le aziende che non hanno le risorse finanziarie o la necessità immediata di un leader della sicurezza a tempo pieno possono poggiare su un professionista "part-time", utile per fornire un supporto cruciale verso un percorso di maggiore sicurezza.
La domanda di competenze vCISO non è estemporanea. Secondo il rapporto "State of the Virtual CISO 2024" di Cynomi, un notevole 75% dei Managed Service Provider (MSP) e dei Managed Security Service Provider (MSSP) sta riscontrando una domanda molto elevata di CISO virtuali. Un aumento che consolida il ruolo di vCISO come un percorso di carriera per nulla di secondo piano, anzi spesso centrale per le già citate aziende che non hanno (o non vogliono) un CISO interno. Insomma, è la riscoperta del libero professionista, che colma le mancanze dell'attuale segmento della sicurezza informatica. Almeno in termini di competenze.
Per comprendere appieno la natura diversificata e preziosa di queste opportunità, basta riprendere le intuizioni di individui che lavorano attivamente come vCISO. Il sito Cso Online ha intervistato quattro di questi professionisti, che hanno rivelato i diversi percorsi intrapresi per arrivare ai loro ruoli attuali e i diversi flussi di lavoro che caratterizzano le loro attività quotidiane. Alcuni operano all'interno di società di servizi o di consulenza, sfruttando le risorse e la base clienti di organizzazioni consolidate, mentre altri si sono avventurati nell'imprenditoria, gestendo le proprie attività di vCISO indipendenti. In particolare, tre di questi individui avevano precedentemente ricoperto uno o più ruoli di CISO interni prima di passare al mondo dei vCISO e della consulenza. Ciò che li accomuna è un numero significativo di anni trascorsi immersi nel panorama IT, accumulando una vasta conoscenza pratica in materia di cybersecurity, gestione del rischio e conformità normativa. Le loro esperienze sottolineano il valore poliedrico e la crescente importanza del CISO virtuale nel complesso e dinamico ambiente della cybersecurity odierno.
Ad esempio, Damon Petraglia, esperto di sicurezza informatica di lunga data con esperienza maturata nel mondo del governo federale e attraverso il lavoro di indagine forense, lavora come vCISO e CISO on demand per l'azienda di servizi IT Blue Mantis. "La mia posizione attuale come vCISO è il culmine di 20 anni di esperienza nella sicurezza informatica. Ho iniziato come investigatore federale a contratto, sono finito a occuparmi di indagini digitali, ho gestito per un certo periodo la mia società di investigazioni informatiche forensi, ho lavorato con il governo e poi con il settore privato, come consulente per i CISO in vari ruoli, per poi diventare io stesso CISO per diverse organizzazioni".
Cosa fa un vCISO
Ecco alcune delle principali responsabilità e attività di un vCISO:
- Sviluppo e implementazione della strategia di sicurezza: il vCISO aiuta l'azienda a definire la propria strategia di sicurezza informatica in linea con gli obiettivi aziendali, le normative di settore e i rischi specifici affrontati. Questo include la creazione di politiche, procedure e standard di sicurezza.
- Valutazione del rischio e gestione delle vulnerabilità: identifica e valuta i rischi per la sicurezza informatica dell'organizzazione, analizza le vulnerabilità nei sistemi e nelle applicazioni e sviluppa piani per mitigarli.
- Gestione della conformità: assicura che l'azienda sia conforme alle leggi, ai regolamenti e agli standard di settore pertinenti (come GDPR, HIPAA, ISO 27001, ecc.). Questo può includere la preparazione per audit e la gestione delle relazioni con gli enti regolatori.
- Creazione e gestione del programma di sicurezza: progetta e implementa un programma di sicurezza informatica completo, definendo ruoli, responsabilità e processi.
- Supervisione della sicurezza tecnica: fornisce una guida strategica sulle scelte tecnologiche in materia di sicurezza, supervisionando l'implementazione e la gestione di strumenti e sistemi di sicurezza.
- Risposta agli incidenti: sviluppa e gestisce piani di risposta agli incidenti di sicurezza, coordinando le attività in caso di violazioni o attacchi informatici.
- Formazione e sensibilizzazione sulla sicurezza: implementa programmi di formazione per i dipendenti per aumentare la consapevolezza sui rischi per la sicurezza informatica e promuovere comportamenti sicuri.
- Comunicazione con il top management: fornisce aggiornamenti regolari al consiglio di amministrazione e al management sulle questioni relative alla sicurezza informatica, sui rischi e sull'efficacia del programma di sicurezza.
- Gestione dei fornitori terzi: valuta i rischi per la sicurezza associati ai fornitori terzi e implementa misure per mitigarli.
- Budgeting e gestione dei costi della sicurezza: aiuta l'azienda a definire e gestire il budget per le iniziative di sicurezza informatica.