Secondo quanto si evince dal WEF Report, il CISO è diventato centrale per il successo dell’azienda, trasformandosi da semplice guardiano tecnico ad architetto strategico della resilienza aziendale nell’era della cyber-interdipendenza globale

WEF white paper – “Elevating Cybersecurity: Ensuring Strategic and Sustainable Impact for CISO”

Il white paper del WEF analizza la trasformazione profonda del ruolo del CISO, che sta vivendo un’espansione significativa in termini di portata strategica e influenza organizzativa, necessaria per rispondere alla crescente complessità e interconnessione del panorama della cybersicurezza globale.

Dal tecnico allo strategico: un cambiamento paradigmatico

La figura del CISO, storicamente, si concentrava prevalentemente sugli aspetti tecnico-operativi della sicurezza informatica. Il focus principale riguardava la protezione dell’infrastruttura IT, attraverso la gestione di componenti tecnologiche come firewall, sistemi di rilevamento e prevenzione delle intrusioni, protocolli di risposta agli incidenti e politiche di controllo degli accessi. Inoltre, il CISO operava frequentemente in modalità isolata, confinata all’interno del dipartimento IT o addirittura separata da esso, con una visibilità limitata ai livelli esecutivi dell’organizzazione e un coinvolgimento marginale nelle decisioni strategiche aziendali.

Il CISO moderno: architetto della resilienza organizzativa

Il contesto attuale richiede, invece, una figura radicalmente diversa. Il CISO contemporaneo deve possedere la capacità di navigare e gestire un ecosistema di minacce estremamente articolato, che include:

• tensioni geopolitiche con implicazioni dirette sulla sicurezza informatica;
• criminalità organizzata digitale, sempre più sofisticata e industrializzata;
• frammentazione normativa globale con requisiti di compliance spesso contrastanti tra diverse giurisdizioni;
• tecnologie dirompenti – come l’intelligenza artificiale generativa e il quantum computing – che ridefiniscono sia le opportunità che le vulnerabilità;
• gestione dei rischi di una supply chain sempre più articolata e interdipendente che amplia la superfice d’attacco;
• divario di competenze tra i colleghi e le nuove generazioni che rappresenta una sfida crescente;
• ambienti complessi, con la responsabilità di proteggerli, pur dovendo affrontare l’impossibilità di controllare direttamente tutti i sistemi IT e OT (Operational Technology).

Il mandato del CISO oggi

Il CISO, nell’attuale scenario complesso, assume il ruolo di guida strategica nell’incertezza, fungendo da consulente di fiducia del board e da promotore della cultura della sicurezza a tutti i livelli organizzativi. La funzione evolve da esecutore tecnico ad architetto della resilienza aziendale, integrando la sicurezza informatica nelle decisioni di business, nella gestione del rischio enterprise e nella strategia digitale complessiva dell’organizzazione.

Un passaggio che segna la transizione da una posizione reattiva e difensiva a un ruolo proattivo e abilitante, dove la cybersecurity diventa un vantaggio competitivo, piuttosto che un semplice centro di costo. Ma vediamo di seguito i compiti principali che il CISO svolge oggi.

Governance e Responsabilità a Livello di Board – La cybersicurezza è riconosciuta come elemento centrale della corporate governance e della responsabilità del Board, spinta da sviluppi normativi in molteplici giurisdizioni. Di fatto, le leggi e i framework normativi sottolineano che i Board e gli Organi Direttivi hanno la responsabilità finale (accountability) nella gestione del rischio cyber. Ovvero, sebbene le attività operative possano essere delegate al CISO, le conseguenze legali e reputazionali dei fallimenti di cybersicurezza rimangono in capo al board e agi organi direttivi. Ciò significa che il compito principale del CISO è mettere il Board nelle condizioni di adempiere in modo efficace ai propri obblighi fiduciari, legali e di gestione del rischio.

La rete di relazioni del CISO – Il successo del CISO dipende da relazioni solide che abilitano la collaborazione tattica e strategica all’interno e al di fuori dell’organizzazione. La figura seguente mostra una mappa delle relazioni del CISO e si rimanda al report per esaminare le principali responsabilità chiave del CISO vs. i principali stakeholder interni ed esterni wef – elevating cybersecurity.pdf).

È importante evidenziare che queste relazioni trasversali sono essenziali per integrare la sicurezza nei processi di business e creare una rete di supporto organizzativa che permetta al CISO di operare efficacemente.

Il Board come alleato strategico, non esaminatore – L’engagement regolare e proattivo con il Board è essenziale. I CISO dovrebbero sentirsi liberi di chiedere aiuto o consigli al board, configurando una relazione collaborativa piuttosto che ispettiva.

Per quanto riguarda la governance sulla cybersicurezza, alcune organizzazioni hanno istituito comitati di sicurezza dedicati per ottenere tempo aggiuntivo di focus sui temi cyber al di fuori delle riunioni del board, mentre altre aziende gestiscono sottocomitati del board, specificamente focalizzati sul rischio cyber, il tutto propedeutico a mantenere continuità e attenzione sulla cybersicurezza.

Un elemento chiave di chiave per il successo è la capacità di identificare tempestivamente rischi e sfide, anticipando le minacce prima che si trasformino in problemi concreti e riducendo così il rischio di sorprese in caso di incidente. In questo contesto, le metriche qualitative risultano particolarmente utili, poiché permettono di dimostrare l’impatto in modo più efficace rispetto a quelle quantitative.

I CISO dovrebbero creare un meccanismo strutturato – i.e. una sorta di scala Richter per i rischi cyber – per comprendere e riflettere il grado di criticità di uno scenario o rischio, propedeutico ad aiutare il Board a prioritizzare su cosa concentrarsi e cosa ignorare, distinguendo il segnale dal rumore.

Mindset e cultura della cybersicurezza – Un forte mindset e una cultura di cybersicurezza sono fondamentali per la capacità di un’organizzazione di difendersi dalle minacce informatiche. La cultura cyber riflette la consapevolezza collettiva, i comportamenti e gli atteggiamenti dei dipendenti verso la protezione della propria organizzazione.

Di fatto, quando la sicurezza diventa parte integrante del processo decisionale quotidiano – dalla strategia esecutiva alle azioni individuali – le organizzazioni sono meglio attrezzate per prevenire violazioni, rispondere agli incidenti e costruire resilienza a lungo termine.

Pertanto, i CISO dovrebbero promuovere una cultura che incoraggia il testing proattivo dei sistemi, dove la scoperta di nuove vulnerabilità è vista come un’opportunità per rafforzare la sicurezza, piuttosto che come un fallimento.

Inoltre, un approccio a lungo termine è parimenti fondamentale, poiché i CISO devono adottare una visione strategica di lungo periodo, impegnandosi costantemente per migliorare la maturità cyber e implementare pratiche sostenibili che consentano all’organizzazione di raggiungere i propri obiettivi di sicurezza nel tempo.

Raccomandazioni per i CISO e il Top Management

Il report WEF fornisce una serie di raccomandazioni sia per il CISO sia per il Top Management per una cybersecurity propedeutica a garantire la crescita e la resilienza aziendale.

Il ruolo del CISO in evoluzione – Il CISO si deve trasformare in BISO (Business information Security Officer), dimostrando di essere in grado di guidare efficacemente l’azienda in ambiti complessi, dinamici e incerti di rischio. Ovvero, il Ciso deve garantire una cyber leadership così declinata:

• Il CISO come partner commerciale – Il CISO, agendo come partner strategico d’affari, deve essere in grado di bilanciare rischio e opportunità, consentendo l’adozione sicura di nuove tecnologie e modelli di business. In questo ruolo, il CISO opera con una chiara comprensione degli asset critici dell’organizzazione – i “gioielli della corona” – e garantisce che gli sforzi di sicurezza siano direttamente collegati alle priorità aziendali.

• Il CISO come guardiano della resilienza – Il CISO deve essere in grado di affrontare i momenti di crisi, agendo come “leader stabile” quando la posta in gioco è più alta. I CISO devono prendere decisioni chiare sotto pressione, guidare gli sforzi di risposta e mantenere la fiducia organizzativa.

Nei momenti di incertezza, il CISO diventa sia uno scudo sia uno stratega e deve essere integrato nella più ampia capacità di resilienza aziendale, contribuendo attivamente a rafforzare la solidità e la sicurezza dell’organizzazione.

• Il CISO come community leader – I CISO devono conoscere i propri stakeholder interni, oltre a diffondere fiducia, costruire ponti e influenzare la cultura organizzativa a livello industriale, sociale e all’interno del loro ecosistema, talvolta fungendo persino da collegamento con stakeholder esterni. Essi devono plasmare la narrazione organizzativa tenendo conto del contesto complessivo del loro ecosistema.

• Il CISO come narratore – Il CISO deve costruire la fiducia con gli stakeholder interni ed esterni, comunicando chiaramente la postura di sicurezza dell’organizzazione, oltre a tradurre le salvaguardie tecniche in una narrazione che dimostri trasparenza, responsabilità e un profondo impegno per la protezione.

• Il CISO, come people leader – I CISO dovrebbero fornire ai propri team una formazione strutturata e certificazioni affinché possano adattarsi a un contesto in evoluzione, crescendo nel loro ruolo. Va inoltre sottolineata l’importanza delle soft skills, come empatia e comunicazione. Inoltre, si dovrebbe sviluppare una cultura della leadership in cui tutti hanno il potenziale di contribuire alla cybersecurity e assumersi la responsabilità dei progetti.

• Il CISO come motore culturale – Il CISO deve stabilire una cultura nell’organizzazione in cui tutti – dalla leadership ai dipendenti di linea – comprendano e partecipino alla gestione del rischio informatico.

• Il CISO come negoziatore – I CISO devono operare come negoziatori qualificati, bilanciando le esigenze di sicurezza con le priorità aziendali e l’appetito al rischio. Di fatto, che si tratti di sostenere risorse, allinearsi alle esigenze normative o influenzare decisioni trasversali, una negoziazione efficace è fondamentale per costruire fiducia e ottenere il coinvolgimento.

Cosa possono fare i Board per rafforzare il ruolo dei CISO

I Board hanno un ruolo chiave nell’elevare la cybersecurity a priorità strategica aziendale, riconoscendo il CISO come partner essenziale per la crescita e la resilienza dell’organizzazione.

Di fatto, rafforzare il ruolo del CISO significa valorizzare la sua capacità di guidare la sicurezza come leva competitiva e supportare il Board nell’assunzione di decisioni informate.

Di seguito alcune azioni che possono contribuire a valorizzare il ruolo del CISO:

• Stabilire un mandato chiaro e indipendente del CISO
• Ascoltare regolarmente e attivamente il CISO
• Favorire lo sviluppo di solide relazioni da parte del CISO
• Garantire che eventuali fallimenti nella gestione del rischio informatico siano affrontati in modo trasparente ed equo
• Assegnare un budget dedicato e specifico alla cybersecurity

Conclusione

L’evoluzione del ruolo del CISO offre alla leadership aziendale l’opportunità di impegnarsi attivamente nelle questioni di cybersecurity, ridefinendo la sicurezza informatica come motore strategico di valore.

Di fatto, con l’espansione degli ecosistemi digitali, l’intreccio delle catene di approvvigionamento e l’emergere di nuove tecnologie che introducono nuove dimensioni di rischio, la cybersecurity non può più essere trattata come una funzione isolata. Deve invece essere riconosciuta come una questione strategica che influenza direttamente la resilienza, la reputazione e la crescita a lungo termine di un’organizzazione. Un cambiamento che è destinato ad impattare sul ruolo del CISO, il cui mandato si espande dalla protezione dei sistemi alla costruzione della resilienza aziendale.

Le relazioni all’interno e all’esterno dell’organizzazione sono in continua evoluzione e il CISO deve saper padroneggiare il dialogo strategico, coinvolgendo gli stakeholder con chiarezza e influenza.

Inoltre, gli strumenti tecnologici diventano sempre più integrati, grazie ad automazione, intelligenza artificiale e sistemi analitici, consentendo il passaggio dalla difesa reattiva alla capacità predittiva.

Ancora, la cultura della sicurezza è fondamentale, pertanto il CISO deve essere un architetto di comportamenti organizzativi orientati alla sicurezza, assicurando che ogni dipendente si riconosca come custode della fiducia digitale.

È importante comprendere che il successo del CISO non si misura più solo nella prevenzione delle violazioni, ma nella capacità di integrare la sicurezza come valore condiviso in tutta l’azienda, promuovendo un’azione collettiva. Per questo, il CISO deve sviluppare competenze di leadership trasversali, una profonda comprensione del business e ampliare la propria influenza oltre il dominio digitale.

I Board, da parte loro, hanno la responsabilità di fornire ai CISO mandato, risorse e strutture di supporto adeguate, chiarendo le aspettative di governance, garantendo investimenti sufficienti e creando linee di comunicazione dirette che elevino la cybersecurity a priorità strategica.

In sintesi, il futuro della cybersecurity richiede una stretta collaborazione tra tutti gli stakeholder, considerandola non solo come difesa, ma come motore di fiducia, innovazione e vantaggio competitivo.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.