Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Come i CISO e i dirigenti della sicurezza informatica possono prepararsi al consiglio di amministrazione
I responsabili della sicurezza delle informazioni generalmente lavorano per migliorare la sicurezza dei computer, dei siti Web e delle applicazioni della propria organizzazione, lavorando a fianco dei membri del team IT e di sicurezza informatica. Un tempo il ruolo di un CISO era prevalentemente tattico, con gli ufficiali pienamente responsabili della protezione contro le minacce informatiche, ma oggi la posizione riguarda più la conduzione e l'allineamento della pianificazione strategica in modo che un'intera organizzazione possa prevenire adeguatamente le minacce come collettivo.
Anche se le aziende quotate in borsa non si stanno muovendo per aggiungere esperti informatici ai loro consigli di amministrazione, ci sono prove che i CISO eccellerebbero effettivamente nei consigli di amministrazione. Questo mese, IANS Research, Artico Search e The CAP Group hanno pubblicato un rapporto che valuta le qualifiche dei CISO nell'indice Russell 1000 (R1000), elencando le caratteristiche chiave dei candidati credibili.
I risultati indicano che il 14% dei CISO R1000 – ovvero circa 1 su 7 – si distingue per possedere le caratteristiche necessarie per una posizione in un consiglio di amministrazione. È interessante notare che questo rapporto arriva mentre la Securities and Exchange Commission (SEC) sta lavorando per finalizzare nuove regole in materia di competenza informatica e trasparenza.
Naturalmente, uno dei motivi per cui la SEC e altri chiedono più CISO nei consigli di amministrazione è proprio perché possano portare la loro esperienza unica nel settore in discussioni aziendali più ampie nei consigli di amministrazione. Ma dalla ricerca emerge anche chiaramente che i migliori candidati saranno in grado di portare sul tavolo altre competenze.
"La tecnologia e le competenze in materia di sicurezza informatica da sole non sono sufficienti per gli incarichi di amministratore", ha affermato Brian Walker, amministratore delegato e consulente del consiglio informatico di The CAP Group, in un comunicato stampa. "I direttori dei consigli di amministrazione operano a livello strategico e nella maggior parte dei consigli di amministrazione non c'è spazio per i 'one-trick pony' poiché l'aggiunta di un nuovo direttore per ogni complesso ambito di competenza non è scalabile."
Alcuni criteri chiave che un CISO dovrebbe avere per avere successo in un consiglio di amministrazione includono, tra gli altri fattori: mandato in materia di sicurezza informatica, competenze interfunzionali, capacità di scalabilità e formazione avanzata.
Avere un incarico di sicurezza informatica significa che l'individuo potrà vantare, come afferma il rapporto, "profonda competenza nel settore" di circa cinque anni come CISO e 10 o più anni di esperienza nella sicurezza delle informazioni. Possedere questo know-how aiuta sia a porre le domande giuste sia a sfidare ipotesi radicate.
Allo stesso modo, un’esperienza aziendale più ampia è un ulteriore requisito chiave. Il rapporto afferma che i CISO che hanno esperienza in ruoli funzionali non informatici – come essere fondatore di un’azienda o consulente strategico – sono ottimi candidati per posti nei consigli di amministrazione, poiché le loro competenze sono di ampio respiro.
Ciò porta direttamente al prerequisito successivo: avere scala. Supponiamo che un CISO abbia esperienza come capo della sicurezza delle informazioni in una grande organizzazione globale, ciò potrebbe dimostrare di avere una prospettiva globale e inclusiva e di essere in grado di orientarsi verso un'ampia gamma di stakeholder.
Per avere successo in un consiglio di amministrazione, un CISO avrebbe bisogno anche di un'istruzione avanzata, poiché questo fattore "migliora la credibilità del consiglio di fronte agli stakeholder esterni", secondo il rapporto, ed è "indicativo di pensiero critico e capacità analitiche" che gli permetterebbero sicuramente aiuta un individuo su un consiglio di amministrazione.
La diversità è un'altra caratteristica, e forse la più importante, che un CISO deve avere se sta cercando di entrare a far parte di un consiglio di amministrazione.
Come ha affermato nel rapporto Steve Martano, partner e reclutatore esecutivo della cyber practice di Artico Search: "Per ricoprire il ruolo di membro aggiuntivo del consiglio di amministrazione, è necessario apportare una combinazione unica di competenze nel settore e governance strategica, nonché un pedigree che faccia avanzare il prestigio e diversità della composizione del consiglio."
In effetti, come afferma il rapporto, la logica alla base dei criteri di diversità è che ciascun membro del consiglio porterebbe sul tavolo le proprie prospettive diverse o nuove, il che aiuterebbe il gruppo a identificare i punti ciechi ed evitare potenziali insidie. La diversità in un nuovo membro del consiglio potrebbe significare che forse si identifica come donna, persona di colore o appartenente a un altro gruppo sottorappresentato (e questo è in linea con la regola SEC 5605 (f)). "Nel mondo di oggi, i consigli di amministrazione cercano la diversità di esperienze e di pensiero e ampliano le opportunità dei consigli di amministrazione ai gruppi sottorappresentati", ha aggiunto Martano.