La vecchia concezione secondo cui il CISO è solo un ruolo tecnico con un'importanza secondaria è obsoleta. A evidenziarlo è la ricerca CISOs’ New Dawn di F-Secure e Omnisperience che ha coinvolto 28 rappresentanti della categoria in Stati Uniti, Regno Unito e in altri paesi europei. L'evoluzione della figura del CISO è iniziata da tempo, ma è durante la pandemia che le aziende si sono accorte dell'importanza trasversale del Chief Information Security Officer.

Anzi, stando alle nuove informazioni raccolte nelle interviste, i CISO potrebbero presto assurgere a ruoli determinanti in azienda, finanche alla leadership. Tutto è da ricondurre alla necessità sempre più pressante di interfacciarsi con tutti i ruoli aziendali non per motivi tecnici, ma per aiutare le persone a comprendere problemi, rischi e soluzioni.

Consiste nel presentare le questioni di cyber security in termini di benefici per l'azienda, di proporre soluzioni sottoforma di investimenti a supporto del business. È un compito difficile, soprattutto quando l'interlocutore è un Consiglio di Amministrazione a digiuno di nozioni sulla cyber security. È qui che entra in gioco quella che gli esperti hanno battezzato intelligenza emotiva, ossia la capacità entrare in empatia e negoziare con le persone all'interno e all'esterno della propria azienda.
Almeno i due terzi dei CISO intervistati ne ha sperimentato difficoltà e i risultati, concludendo che è l'intelligenza emotiva a giocare un ruolo sempre più importante nel proprio lavoro. Questo è avvenuto soprattutto nei settori sanitario, manifatturiero e retail.

Il dettaglio è rilevante perché segna un'importante rottura rispetto al recente passato, in cui la cyber security era vista come un costo. La pandemia ha giocato un ruolo determinante al riguardo. Obbligando le aziende a far lavorare da casa i dipendenti ha ampliato la superficie d'attacco. I cyber criminali hanno approfittato della situazione aumentando gli attacchi.

Molte aziende hanno sperimentato il blocco produttivo e tutto quello che consegue a un cyber attacco. L'esperienza diretta e indiretta di partner e clienti ha fatto comprendere che la cyber security non è un accessorio, non è un costo e non è un optional. È parte integrante del core business, che garantisce la continuità produttiva e l'ottimizzazione dei costi. Non ultimo, in caso di emergenza è l'elemento che consente la flessibilità e la resilienza necessarie per proseguire l'attività lavorativa, come accaduto nel primo lockdown.  

A ribadire proprio questo concetto è Scott Goodhart, CISO di The AES Corporation: "gli aspetti tecnici relativi ai rischi per la sicurezza informatica sono diventati indistinguibili da altri rischi aziendali. Non ha senso trattare gli attacchi solo come un problema di cyber security o IT se possono potenzialmente costare alle aziende migliaia o centinaia di migliaia di dollari a causa di tempi di inattività, estorsioni, proprietà intellettuale rubata, eccetera".