Il ruolo del Chief Information Officer (CIO) non è più quello di un semplice IT manager. Il CIO è ora responsabile di una gestione sostenibile di tutte le informazioni relative all’azienda e deve, pertanto, fornire i mezzi per elaborare le informazioni, garantire la continuità dei servizi correlati, assicurare la protezione delle informazioni, rispettare le leggi e i regolamenti applicabili e supervisionare tutte queste attività per garantire che siano in linea con gli obiettivi aziendali. In effetti, il ruolo del CIO si è evoluto. Il CIO è ora il principale responsabile del corretto trattamento di tutte le informazioni relative al business, piuttosto che semplicemente la persona responsabile del contenimento dei costi della tecnologia.
Se il ruolo del CIO è limitato al rispetto degli obiettivi tecnologici ed al contenimento dei costi, non tutte le attuali aspettative aziendali saranno soddisfatte in modo adeguato o sufficiente. Le pratiche di governance, rischio e conformità (GRC) richiedono che il CIO abbia le competenze per collegare la tecnologia di elaborazione delle informazioni al valore di tali informazioni per l’azienda. Un ruolo di governance attivo e integrato nei processi interni consente la creazione di valore per l’impresa collegando in modo efficace ed efficiente le esigenze organizzative agli aspetti operativi del business. Un CIO focalizzato solo sul risparmio economico o sugli obiettivi tecnologici non ha le competenze necessarie per interpretare correttamente l’evoluzione delle esigenze aziendali.
Nella corporate governance, la struttura organizzativa classica considera il CIO una figura di livello C orientata alla governance delle tecnologie dell’informazione, con la capacità di analizzare costi e benefici e l’autorità di disporre delle risorse operative. Tuttavia, il CIO ha anche il privilegio di interagire direttamente con altri senior manager e di prendere parte attiva al più ampio processo di governo del rischio organizzativo. Questo è un indubbio vantaggio perché consente al CIO di governare l’informazione e la tecnologia (I&T) con una perfetta comprensione del valore e del ruolo dell’informazione agendo nel pieno rispetto degli obiettivi dell’impresa.
Per aggiungere nuovo e riconosciuto valore al proprio ruolo, i CIO devono passare dall’essere semplici osservatori della strategia aziendale ad essere consapevoli delle conseguenze delle loro decisioni sulle performance organizzative nel loro complesso. Devono bilanciare la conoscenza tecnologica dei processi operativi con le capacità organizzative che consentano loro di comprendere e preservare il valore degli asset dell’azienda. Devono essere in grado di garantire la capacità di preservare il valore delle informazioni assicurando un trattamento adeguato, garantire la disponibilità delle informazioni in conformità alle esigenze aziendali e garantire la protezione continua delle informazioni.
Garantire il trattamento delle informazioni
Il CIO deve essere in grado di soddisfare le aspettative del business in termini di fornitura di infrastrutture tecnologiche, applicazioni e servizi adeguati, nonché di proporre e fornire soluzioni adeguate a supportare gli obiettivi aziendali. La funzione IT deve basarsi su una visione olistica dei processi aziendali, che include la progettazione, il rilascio e il governo dei processi operativi; allocare le risorse necessarie a costi accettabili; e operazioni di monitoraggio. Utilizzando gli obiettivi di business come guida, è innanzitutto necessario comprendere le esigenze di elaborazione delle informazioni dell’azienda (quali sono i requisiti critici) per sviluppare la corretta implementazione, erogazione e controllo dei servizi richiesti.
Affinché i CIO possano proporre e garantire la fornitura di soluzioni tecnologiche in linea con gli obiettivi di business, devono avere un’adeguata conoscenza delle metodologie di pianificazione e controllo, delle tecnologie disponibili, della gestione dei processi operativi e dei servizi offerti dal mercato. Questa conoscenza non deve necessariamente essere a livello di esperti, ma deve essere sufficiente per consentire ai CIO di prendere in considerazione e decidere consapevolmente soluzioni appropriate. Devono essere in grado di cogliere gli elementi che creano valore per l’impresa e riconoscere quelli che portano a scenari di rischio inaccettabili. I CIO dovrebbero essere supportati dai responsabili della tecnologia nelle questioni operative e di pianificazione.
Garantire la disponibilità delle informazioni
Le informazioni devono essere disponibili sulla base dei requisiti di servizio definiti dal business, ossia quando e per quanto tempo le informazioni sono necessarie, nel rispetto di un livello di qualità prestabilito accertato da un continuo monitoraggio. Le esigenze aziendali non devono essere una mera imposizione sui servizi IT; dovrebbero essere il risultato di una collaborazione tra processi aziendali, controlli interni e servizi tecnologici erogati.
Un’analisi del rischio valuta le decisioni e richiede la partecipazione del CIO come facilitatore di azioni che creano valore, come la valutazione olistica delle criticità del cambiamento tecnologico ed il coinvolgimento delle giuste risorse.
Un aspetto interessante della disponibilità delle informazioni è l’esternalizzazione dei processi. L’esternalizzazione della gestione dei servizi IT è stata giustificata come un semplice mezzo per risparmiare denaro; tuttavia, questo paradigma deve essere invertito. Le conseguenze della violazione della riservatezza, integrità o disponibilità dei dati devono essere valutate mediante un’analisi dei rischi prima di prendere qualsiasi decisione in merito all’esternalizzazione. In questo, il CIO dovrebbe essere supportato da specifici responsabili IT dedicati alle esigenze dei processi aziendali e da altri specialisti operativi.
Garantire la protezione delle informazioni
L’accesso alle informazioni deve essere controllato in modo coerente con la corrispondente classificazione di sicurezza dei dati. La protezione delle informazioni è in gran parte un compito della funzione IT, anche se potrebbe non essere il proprietario dei dati. In questo caso, a seconda della loro posizione organizzativa, i CIO dovrebbero possedere le conoscenze necessarie relative al valore delle informazioni e dovrebbero agire per valutare l’efficacia della strategia di sicurezza, verificare i piani operativi e promuovere il miglioramento.
Questa prospettiva del ruolo del CIO, che comprende alcuni degli attributi tipici del chief information security officer (CISO), è giustificata dalla posizione del CIO all’interno dell’organizzazione. Il CIO è responsabile del raggiungimento degli obiettivi del processo I&T, ha l’autorità per allocare le risorse necessarie ed è un membro del top management. Questa posizione, centralizzando tutti i flussi decisionali e di verifica, offre la migliore visione aziendale complessiva e garantisce a questa persona la possibilità di comprendere e rispondere ai problemi. Al contrario, il CISO è focalizzato verticalmente sui problemi di sicurezza e non ha la stessa visione d’insieme del CIO. Il CIO deve continuamente bilanciare gli obiettivi I&T con le questioni organizzative, operative e di controllo, il che consente al CIO di affrontare gli scenari di rischio con un maggiore senso critico. Il CIO dovrebbe essere supportato dal CISO nelle questioni operative.
Allineamento agli obiettivi aziendali
Le attività che costituiscono il processo I&T dovrebbero essere valutate regolarmente per garantire che siano in linea con gli obiettivi aziendali. Per verificare i risultati della gestione dei processi I&T in una prospettiva di business globale, è richiesta la padronanza delle competenze relative al GRC. I temi che i CIO devono affrontare sono distinti tra loro ma necessari per la governance dell’I&T. L’informazione rappresenta il valore da proteggere, mentre la tecnologia è il mezzo per farlo.
Rischio
Per gestire il rischio relativo alle informazioni, è essenziale avere la partecipazione attiva di coloro che hanno responsabilità globale per le infrastrutture, i sistemi, i servizi e le tecnologie dell’informazione, non solo per la sicurezza. Il ruolo del CIO dovrebbe consentire di comprendere il valore delle informazioni trattate, la criticità delle tecnologie che le gestiscono e le conseguenze delle decisioni prese. In tal modo, la gestione del processo I&T sarà guidata da un sistematico approccio basato sulla consapevolezza del rischio.
Tecnologia
I CIO non svolgono alcun compito operativo relativo ai processi I&T ma operano solo a livello di gestione e controllo. Tuttavia, devono mantenere e aggiornare le proprie competenze tecnologiche in modo da poter valutare e spiegare, in modo comprensibile, i relativi vantaggi e svantaggi al top management e quindi dirigere il processo decisionale. Le conoscenze specialistiche possono essere affidate ai ruoli operativi dell’organizzazione.
Continuità
I processi critici per l’azienda devono rispettare i parametri di operatività imposti dal business. Conseguentemente, i piani di continuità, la BIA e le procedure di incident management devono essere verificati in termini di concretezza degli scenari, coerenza nel disegno dei controlli e di adeguatezza delle risorse allocate. Il CIO dovrebbe assumere un ruolo di abilitatore e di supervisore per agevolare il miglioramento del processo di continuità e renderlo più resiliente, ovvero tutte le azioni sono pianificate ed eseguite rispetto agli obiettivi aziendali e senza distorsioni del budget.
Sicurezza
La protezione dell’uso e dell’accesso alle informazioni classificate non è responsabilità diretta del CIO. Tuttavia, sulla base della conoscenza della natura critica di tali informazioni, il CIO può agire come supervisore e fornire il livello di attenzione appropriato necessario per correggere le misure esistenti e per la ricerca delle risorse. Il CIO può anche fungere da facilitatore per la segregazione dei compiti (SoD) e i processi di rivalidazione degli utenti.
Privacy
Ogni trattamento di dati personali compiuto dall’organizzazione, rientra in gran parte nell’ambito della sicurezza delle informazioni, anche se tali responsabilità sono assegnate ad altri. Sebbene questo argomento non sia direttamente pertinente ai CIO, essi dovrebbero avere un’ampia conoscenza dei processi critici e dei requisiti di conformità legale e, pertanto, avere un grande potenziale per agire come responsabili della protezione dei dati o figure simili se la legge lo consente. In questo senso, poiché i CIO non sono proprietari dei dati ma hanno una visione completa del processo di trattamento dei dati, possono supportare efficacemente il titolare del trattamento nelle azioni di protezione e sensibilizzazione e implementare i controlli necessari affinché il processo sia conforme ai requisiti legali.
CIO e compliance
La verifica del rispetto delle regole interne ed esterne è generalmente responsabilità della funzione di internal audit. Sebbene non siano direttamente coinvolti nel processo di verifica, i CIO mantengono la responsabilità di verificare che tutte le azioni IT siano implementate in conformità con i piani operativi e che i controlli vengano eseguiti regolarmente. I CIO dovrebbero partecipare alla stesura sia del piano di trattamento del rischio che del piano di rimedio dell’audit. Sebbene questi due piani abbiano origini diverse, entrambi sono finalizzati al miglioramento dei processi aziendali, inclusa l’area IT.
Valutazione dell’attività del CIO
Le prestazioni del CIO dovrebbero essere valutate sulla base di quattro obiettivi principali:
- Sicurezza—Questa valutazione prende in considerazione il numero e la gravità degli incidenti che hanno portato a informazioni compromesse ed i risultati degli audit e di tutti i report relativi alla sicurezza.
- Continuità—Questa metrica considera il numero di incidenti, incidenti mancati e anomalie rilevate. La gravità viene utilizzata come peso per una media normalizzata.
- Qualità—É la capacità di soddisfare una domanda predeterminata in conformità con il livello di servizio richiesto, comprese le tempistiche di rilascio e rimedio. Tale valore è la percentuale media del livello di soddisfazione raggiunto, del numero di anomalie riscontrate, dei ritardi accumulati e del budget aggiuntivo utilizzato, rispetto ai rispettivi valori target.
- Efficienza—É la capacità di fornire i servizi richiesti con le sole risorse preventivate, possibilmente limitando la componente economica a valori minimi. Tale valutazione considera il valore delle risorse stanziate a budget e l’effettivo impegno a consuntivo.
La valutazione dei risultati delle attività e dei progetti pianificati richiede una metrica che confronti la maturità raggiunta per ciascuno dei quattro obiettivi. Ad esempio, la figura 1 rappresenta il livello di maturità raggiunto su una scala da 0 a 1 per ciascun obiettivo. Ciò evidenzia chiaramente i casi in cui gli obiettivi non sono stati raggiunti.
Valutare i CIO in questo modo garantisce un equilibrio tra conoscenza della tecnologia e attitudine alla governance e tra fornire una direzione strategica e verificare la conformità normativa. I CIO non producono alcun valore se si concentrano solo su questioni tecniche o sulla riduzione dei costi. Una visione olistica del business è la base per comprendere tutti gli aspetti significativi degli obiettivi organizzativi e prendere decisioni informate sulle potenziali conseguenze.
Conclusioni
Per rendere più efficace la gestione I&T è necessario ampliare il ruolo del CIO, il che significa acquisire maggiori competenze e responsabilità in ambito GRC e prestare la giusta attenzione al controllo in ottica di business piuttosto che puramente sulle performance tecnologiche. Il CIO deve essere una posizione di livello C, ovvero il livello dirigenziale che stabilisce gli obiettivi generali e possiede l’autorità per allocare le risorse necessarie al solo scopo di raggiungere tali obiettivi.
Il ruolo del CIO è quello di fornire le linee guida di implementazione e valutare il raggiungimento dei risultati per garantire che le informazioni siano trattate in base alle reali esigenze aziendali, che le informazioni siano disponibili nei modi e nei tempi richiesti e che le informazioni siano protette da usi non autorizzati o accesso. Perché ciò avvenga, il CIO deve avere le competenze necessarie per comprendere le richieste di business e associarle alle tecnologie disponibili, per organizzare le attività con i giusti ruoli e responsabilità, per supervisionare l’esecuzione dei controlli e per valutare lo stato attuale del processo I&T.
Il ruolo del CIO è diventato meno tecnico e finanziario e più focalizzato sul GRC. Ciò richiede competenze orizzontali nei processi organizzativi, comprese l’analisi dei rischi, la valutazione della conformità e le capacità di comunicazione. Allo stesso tempo, il ruolo del CISO è stato parzialmente ridefinito per evitare sovrapposizioni, come una maggiore verticalizzazione tecnica e metodologica legata alla sicurezza, con il CISO che riporta direttamente al CIO.
LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001:2013 LA, ITIL V4, NIST CSF, UNI 11697:2017 DPO
È lead auditor e consulente senior su tematiche di risk management, cybersecurity e privacy, ed è stato responsabile del monitoraggio dei rischi presso un’azienda multinazionale del settore automotive per oltre sette anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) e, prima ancora, è stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Ha sviluppato una metodologia originale per il monitoraggio dei rischi interni, integrando tra loro un’analisi di rischio operativo con una conseguente valutazione di rischio guidata dal livello di maturità dei controlli. Inoltre, ha progettato uno strumento di cyber monitoring basato su OSINT e un sistema integrato per monitoraggio del rischio, valutazione di maturità ed audit interno. Sbriz è stato anche consulente per sistemi di business intelligence per parecchi anni. Può essere contattato su LinkedIn https://www.linkedin.com/in/luigisbriz oppure tramite http://sbriz.tel.