Per definire chiaramente il ruolo del BISO, o Business Information Security Officer, è importante sapere come si è evoluto.
Nel 2012, Security Innovation ha parlato di quello che – all’epoca – era un ruolo C-level relativamente nuovo, il Chief Information Security Officer. Nell’articolo, l’autore tentava di spiegare questo incarico sfaccettato, suggerendo che quella posizione avrebbe potuto approcciare il lavoro in due modi diversi appartenendo alla categoria focalizzata sulla tecnica o sulle policy.
Questi approcci, definiti nell’articolo rispettivamente TISO (Technical Information Security Officer) e BISO (Business Information Security Officer), sono stati presentati non tanto come discipline a sé stanti, ma come modi per definire gli approcci al ruolo di CISO.
Era come se la gestione del lavoro dipendesse dall’individuo.
Per chiunque sia cresciuto professionalmente alla fine degli anni ’90 e 2000, quello che è successo dopo l’articolo di Security Innovation non dovrebbe essere una sorpresa. I progressi tecnologici spesso iniziano in modo segmentato e distinto prima di radicarsi gradualmente in ogni livello di business di un’organizzazione – diventando l’elemento chiave per la crescita generale dell’azienda.
Così, il suggerimento che un CISO potrebbe essere un TISO o un BISO si è trasformato nel quesito: è il momento di un BISO dedicato?
Tornando indietro di 20 o 30 anni, il primo vero titolo di C-level a emergere dallo spazio IT è stato il CIO, un dirigente che doveva bilanciare le competenze tecniche con la capacità di elevare e comunicare le necessità tecnologiche dell’azienda al CFO.
Da questo ruolo è emerso il CISO, concentrato sull’innovazione tecnologica e la comunicazione in termini di sicurezza – ma spesso con un compito simile nel convincere gli stakeholder di alto livello che l’investimento in sicurezza fosse necessario per la salute del business.
Uno studio del 2021 realizzato da PwC ha rilevato che il 50% dei CISO intervistati ritiene più probabile che la cybersecurity venga considerata in ogni decisione aziendale, un aumento del 25% rispetto all’anno precedente. Oltre a questo, uno schiacciante 96% ha affermato che adeguerà la propria strategia di sicurezza a causa di COVID-19.
Il collegamento tra queste statistiche e l’ascesa e la visibilità del BISO è immediato. Il ruolo è nato per la necessità di creare un collegamento che possa parlare a entrambe le parti.
Se a più CISO premeva che la cybersecurity fosse inclusa in tutte decisioni aziendali, le preoccupazioni di sicurezza sollevate dall’aumento del lavoro da remoto e del “device hopping” a casa a seguito della pandemia ha solo cristallizzato ulteriormente l’idea che questo ruolo di “ponte” fosse un’evoluzione necessaria e una disciplina a sé stante.
Il BISO dovrebbe idealmente avere esperienza sul fronte tecnologico e di business per essere in grado di tradurre senza problemi preoccupazioni, soluzioni e risposte in un linguaggio che parli a entrambi i gruppi e far sì che gli obiettivi di sicurezza siano considerati requisiti di business.
L’attacco di SolarWinds a fine 2020 ha fatto scalpore, con effetti a catena su quasi tutti i settori, portando le aziende a rivalutare i propri piani per incrementare la sicurezza, a quali partner affidarsi e le risorse interne necessarie per difendersi dagli attacchi. Inoltre, ha anche spianato la strada (su un asfalto insidioso) per un incremento dei BISO.
Recenti annunci di lavoro per la ricerca di BISO includono termini non spesso associati a posizioni tecniche, tanto meno a ruoli tecnici di alto livello – come “problem solving creativo” e “influenzare la cultura aziendale”.
Questo perché i BISO non si limitano ad affrontare i problemi di sicurezza, ma devono essere il punto di riferimento quando si tratta di coltivare una cultura consapevole della sicurezza. Un insieme di tecnologia, affari e pubbliche relazioni in parti uguali. Sì, PR – sembra che il BISO possa essere considerato un coltellino svizzero.
Le minacce alla sicurezza IT approfittano in modo ancora più efficace dell’errore umano. Un BISO deve essere creativo, e pensare quasi come un PR strategico (o anche un responsabile delle risorse umane) – trovando metodi coinvolgenti per influenzare la leadership e costruire consapevolezza che la sicurezza è composta dal lavoro dei dipendenti e da quello del dipartimento IT.
Un BISO può anche essere chiamato a interagire con il marketing e le comunicazioni aziendali, per modellare la conversazione non solo al fine di rafforzare l’infrastruttura interna, ma per garantire la trasmissione di informazioni chiare ed efficaci sugli sforzi di cybersecurity di un’azienda anche al cliente.
Mentre il CISO è concentrato a ottenere il supporto esecutivo alle iniziative di sicurezza critiche, il BISO sta lavorando in tandem per educare creativamente la leadership e i dipendenti non tecnici sull’importanza di queste iniziative.
Infondere creatività nei ruoli di cybersicurezza
Forse il più grande cambiamento derivante dalla maggiore visibilità del BISO è un ripensamento dei ruoli di cybersecurity attraverso il prisma della creatività. Le persone che ricoprono posizioni IT raramente hanno il tempo di pensare in modo creativo. Concedere a un BISO il tempo di ricercare, fare rete e sperimentare – anche se il risultato finale non sarà molto visibile su tutta l’organizzazione – avrà un impatto molto più positivo sulla sicurezza aziendale generale.
Questo perché un BISO deve anticipare le nuove minacce, sa come pensano gli attaccanti, quindi deve avere un po’ di vantaggio, e questo è possibile solo se gli viene concesso questo spazio.
Gran parte del lavoro consiste nel gestire le relazioni interne ed esterne, parlare con i fornitori e scoprire le novità là fuori. È un insieme di esecuzione interna e pura esplorazione.
Per usare un’analogia con l’assicurazione, la cybersecurity opera quando non si sa che c’è. Quando i BISO sono all’opera, non li vedi singolarmente concentrati, ma sono risorse strategiche che possono apprezzare la velocità necessaria per innovare, senza sacrificare la sicurezza, né aumentare il rischio organizzativo generale. Sono in ogni stanza, in ogni conversazione, aiutando ogni stakeholder a comprendere che la sicurezza è una responsabilità top-down.
L’evoluzione è stata relativamente lenta, se si considera la rapidità con cui sono cresciuti altri aspetti della tecnologia, ma costante. I recenti eventi hanno spostato queste idee in primo piano, e mentre le percezioni cambiano, i ruoli sono meglio definiti, quindi maggiore è la creatività apportata, più forte e agile sarà la cybersecurity.
Quindi sì, è il momento di un BISO dedicato.