CIO vs CISO: funzioni e differenza. Le aziende sono sempre più chiamate a proseguire lungo la strada della trasformazione digitale, in modo da restare allineate alla domanda e ai cambiamenti del mercato. La Digital Transformation, naturalmente, passa per l’adozione di nuove tecnologie, ma anche per le persone e i processi organizzativi. È infatti inutile acquistare prodotti hardware e software se poi non c’è qualcuno che sappia utilizzarli in maniera utile per il business aziendale. Due figure professionali, in particolare, giocano un ruolo fondamentale per l’innovazione in azienda e, purtroppo, sono caratterizzate da una sigla molto simile, che può far confondere i non addetti ai lavori. Parliamo, naturalmente, dei CIO e dei CISO. Proviamo quindi a spiegare le differenze in questo speciale confronto CIO vs CISO.

Cos’è un CIO 

La sigla Chief Information Officer (CIO) sta a indicare il dirigente aziendale responsabile della strategia e dell’implementazione delle tecnologie informatiche. In concreto questo significa che, oltre a supervisionare al massimo livello l’architettura tecnologica e le scelte tecnologiche che alimentano la propria organizzazione, il CIO è il garante della disponibilità e dell’affidabilità dei sistemi informatici. È poi possibile dire che, nell’attuale fase di trasformazione digitale, i CIO costituiscono una figura sempre più centrale nel mondo enterprise, tanto da rispondere direttamente all’amministratore delegato. Perché, spesso e volentieri, la capacità di sopravvivenza di un’azienda passa dalla sua capacità di cavalcare al meglio l’innovazione digitale. 

Cosa fa un CIO 

Proprio per questo motivo il CIO moderno, oltre a selezionare i migliori prodotti hardware e software disponibili sul mercato, deve oggi essere capace di avere una visione più ampia, individuando nuove tecnologie capaci di fornire valore al business. Non a caso il CIO ha il controllo sul budget aziendale destinato alla spesa per l’IT e l’innovazione, mantenendo sempre potere decisionale relativamente a contratti e partnership che hanno a che fare con la tecnologia e l’informatica. Per svolgere tutti questi compiti un Chief Information Officer, oltre a essere dotato di elevate competenze tecniche e informatiche, deve possedere buone doti di comunicazione e leadership, in maniera tale da coinvolgere figure estremamente differenti nei progetti di trasformazione digitale.

Cos’è un CISO 

Il CISO (Chief Information Security Officer) è invece la figura responsabile dell’information security in azienda. Come spiegano gli Osservatori del Politecnico di Milano il CISO deve prima di tutto definire la visione strategica,  implementare programmi per la protezione degli asset informativi e definire i processi necessari per limitare i rischi legati all’adozione delle tecnologie digitali. Un po’ come abbiamo detto per il CIO, si tratta di una figura che deve comprendere gli aspetti tecnici relativi alla sicurezza ma possedere anche competenze manageriali e comunicative, così da assicurare la massima protezione dei dati aziendali. 

Cosa fa un CISO 

Tra le attività chiave a cui il CISO deve sovrintendere ci sono sicuramente l’assessment della sicurezza, l’analisi del rischio cyber, la definizione delle architetture, l’identificazione delle principali minacce, il monitoraggio regolare della rete e l’avvio di audit sulla sicurezza. Il CISO deve poi occuparsi di sviluppare e gestire un programma di sicurezza per l’azienda, che permetta la corretta gestione del rischio informatico. Non meno importante è la cura della formazione del personale sui protocolli e le best practice in materia di sicurezza. Più in generale è possibile dire che un Ciso ha il dovere di mantenersi aggiornato sugli ultimi sviluppi normativi e di cybersecurity, così da contribuire al mantenimento in sicurezza della propria azienda.

CIO vs CISO: le differenze 

Dall’elenco di competenze e funzioni che abbiamo fatto in precedenza è chiaro che esistono alcuni elementi di sovrapposizione tra i ruoli del CIO e del CISO. Al contempo, però, permangono tutta una serie di differenze tra le due posizioni che è possibile mettere in evidenza: la principale delle quali è che i CIO si occupano del funzionamento dell’intero IT di un’azienda, mentre i CISO sono specializzati nella sicurezza. In altre parole, i CIO possono essere visti come generalisti dell’IT, mentre i CISO lavorano come specialisti nel campo della sicurezza.

C’è poi una differenza fondamentale rispetto all’oggetto principale dell’attuale era dell’IT, ovvero il dato digitale. Dal punto di vista dei CIO, l’utilizzo strategico dei dati è fondamentale per l’azienda. Dunque il principale compito del CIO è fare in modo che tutti gli utenti possano accedere ai dati e svolgere analisi e interrogazioni utili. 

Al contrario il compito del CISO è fare sì che i dati siano utilizzati in maniera sicura e conforme alle normative in vigore, proteggendoli dalle azioni dei cybercriminali. Alcune delle loro principali responsabilità in materia di dati includono la conformità ai dati e alla privacy, la prevenzione delle frodi e la creazione di un quadro di sicurezza che protegga direttamente i dati più sensibili. In parole semplici: l’azione del CIO è volta soprattutto a favorire un utilizzo efficace dei dati, mentre il CISO deve preoccuparsi soprattutto di stabilire chi e quando possa accedervi, nonchè stabilire cosa occorra fare per evitarne la loro compromissione. 

Dal momento che nelle aziende di una certa consistenza sono presenti entrambi questi ruoli, possono verificarsi anche delle situazioni di attrito, in particolare per quanto riguarda la destinazione del budget aziendale. Come è facile da comprendere i fondi destinati alla sicurezza informatica sono ricompresi nel più ampio calderone della spesa IT, dunque il CISO può talvolta essere insoddisfatto degli stanziamenti assegnati alla propria divisione o delle risorse umane di cui è dotato il suo team. Inoltre, le decisioni strategiche del CIO in materia di innovazione digitale possono scontrarsi con le best practice consolidate in materia di sicurezza, creando situazioni di tensione tra le due figure. Indubbiamente però, le azioni di CIO e i CISO hanno più successo quando esiste una collaborazione reciproca relativamente alla sicurezza, l’utilizzo dei dati e la strategia infrastrutturale. 

CIO vs CISO, le evoluzioni nell’organigramma aziendale 

Il CIO è il vero e proprio responsabile della strategia IT aziendale, con una conoscenza ad ampio raggio di tutte le aree ad essa connesse – sicurezza compresa – e deve primariamente rapportarsi con il board aziendale. Il CISO, invece, è sempre un funzionario esecutivo dell’azienda, ma con un ambito di lavoro più ristretto, dal momento che – come abbiamo visto in precedenza – è responsabile di tutte le iniziative di sicurezza.

Nel concreto questo significa che il CIO può contribuire occasionalmente allo sviluppo e al miglioramento dei processi in relazione alle best practice di sicurezza, ma il CISO deve agire e sviluppare soluzioni per proteggere i dati aziendali. D’altra parte, questo comporta anche che il CISO – nonostante sia un dirigente aziendale – sia di norma coinvolto a livello strategico soltanto per quelle particolari decisioni che riguardano la pianificazione della sicurezza. Mentre, invece, come abbiamo visto il CIO lavora a stretto contatto con i principali decisori aziendali in uno spettro più generale di scelte. C’è da rilevare però che, in tutte quelle organizzazioni – come la difesa e le infrastrutture critiche – in cui la protezione dei dati è l’aspetto fondamentale, anche più dell’innovazione tecnologica in senso stretto, questa differenza di grado tende a sfumarsi. In questi casi la parola del CISO può essere più o meno sullo stesso livello di quella del CIO. 

LEGGI ANCHE: Chi è davvero il CIO, cosa fa e perché oggi è ancora più centrale

CIO vs CISO: funzioni e differenze ultima modifica: 2023-04-17T10:33:44+02:00 da Sara Comi

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui