L'industria della cybersecurity sta affrontando una crisi silenziosa che rischia di compromettere la sicurezza delle organizzazioni: i responsabili funzionali della sicurezza informatica, figure chiave che si collocano tra i team operativi e il top management, stanno valutando sempre più spesso di lasciare il proprio posto. Non si tratta di un fenomeno isolato, ma del risultato prevedibile di anni di pressioni crescenti, risorse insufficienti e una totale mancanza di riconoscimento professionale ed economico. Mentre il ruolo dei CISO ha guadagnato visibilità e prestigio, chi lavora ai livelli intermedi della sicurezza aziendale si trova schiacciato da aspettative irrealistiche senza ricevere in cambio né l'autonomia né la retribuzione adeguata.
Il peso insostenibile delle responsabilità senza poteri decisionali
Secondo Monika Malik, lead data/AI software engineer di AT&T, uno dei principali motivi di frustrazione è la discrepanza tra responsabilità e autonomia decisionale. I leader funzionali della sicurezza si trovano spesso ad essere ritenuti responsabili di progetti sui quali non hanno alcun controllo reale, senza poter decidere su budget, organico o roadmap strategiche. "I responsabili della sicurezza vanno in burnout quando devono gestire il rischio senza avere una roadmap chiara", spiega Malik, aggiungendo che lo stress cronico derivante da violazioni dei dati, alert continui e la gestione delle conseguenze di un breach consuma i professionisti più velocemente di quanto un aumento di stipendio possa compensare.
La situazione è aggravata dalla proliferazione incontrollata di strumenti tecnologici. Molte organizzazioni utilizzano oltre 40 tool di sicurezza diversi che generano gli stessi alert con scarsa integrazione tra loro, creando un ambiente di lavoro caotico. A questo si aggiunge il sovraccarico di ruoli, con continui cambi di contesto tra progetti diversi, cicli di audit interminabili e riunioni che lasciano poco spazio allo sviluppo professionale.
La trappola dell'aspettativa di perfezione assoluta
Brandyn Fisher, V-CISO capability lead di Centric Consulting, identifica un problema ancora più profondo: l'aspettativa irrealistica che i professionisti della sicurezza debbano essere infallibili. "Ci aspettiamo che i nostri leader abbiano ragione ogni singola volta, mentre a un attaccante basta riuscirci una volta sola", afferma Fisher. Questa dinamica crea una cultura di iper-vigilanza che semplicemente non può essere sostenuta 24 ore su 24, 365 giorni all'anno.
I team di sicurezza sono tenuti a essere operativi durante le festività e i weekend, spesso senza compensi adeguati, e quando si verifica un incidente grave, la risposta può richiedere dalle quattro alle sei settimane di lavoro intensivo, mettendo completamente in pausa la vita personale. Fisher sottolinea inoltre come i responsabili della sicurezza vengano spesso usati come capri espiatori per fallimenti che hanno origine altrove nell'organizzazione: un link malevolo cliccato da un utente, una vulnerabilità introdotta dal team di sviluppo o una decisione sbagliata di un dirigente di alto livello.
I numeri allarmanti di un settore sotto pressione
Le statistiche confermano la gravità della situazione. Secondo il report State of Cybersecurity di ISACA, il 66% dei professionisti della cybersecurity afferma che il proprio ruolo è diventato più stressante rispetto a cinque anni fa, con il 63% che identifica la complessità del panorama delle minacce come principale fonte di stress. Oltre la metà (55%) dei team di cybersecurity opera con organico insufficiente, mentre il 65% delle organizzazioni ha posizioni di sicurezza informatica rimaste vacanti.
Carole Lee Hobson, CISO di PayNearMe, evidenzia come le aspettative sui leader funzionali della sicurezza siano aumentate in modo esponenziale. "Non viene loro chiesto solo di proteggere i sistemi, ma anche di abilitare risultati di business, il tutto gestendo nuove richieste normative, stack tecnologici complessi e risorse limitate", spiega. La superficie di attacco si è espansa con cloud, SaaS e intelligenza artificiale, lasciando i responsabili della sicurezza responsabili di rischi nelle dipendenze da terze parti che non possono controllare completamente.
Un modello di carriera frammentato e privo di prospettive
Forse l'aspetto più preoccupante è che i manager di sicurezza ambiziosi, guardando verso l'alto nella gerarchia aziendale, vedono un ruolo CISO che non desiderano. Osservano i loro superiori sepolti in un ciclo 24/7 di stress, personalmente responsabili senza le stesse protezioni degli altri dirigenti, e in difficoltà nel trovare tempo per la leadership strategica che il ruolo richiederebbe. Fisher nota che esiste una tendenza a promuovere i migliori esperti tecnici al ruolo di CISO, ma molti di loro mancano della prospettiva strategica, dell'acume commerciale e delle competenze di leadership necessarie per costruire un programma di sicurezza maturo e guidare la prossima generazione.
Molte organizzazioni presentano inoltre una struttura piatta con un CISO e uno strato di "responsabili di X" senza percorsi chiari verso livelli superiori. Fisher definisce questa situazione un "soffitto di carriera" che scoraggia i professionisti più talentuosi: perché restare e combattere una battaglia in salita per uno stipendio medio che non corrisponde all'esperienza richiesta, solo per riportare a un leader che non può aprire la strada a una progressione di carriera significativa?
Soluzioni concrete per invertire la tendenza
La situazione non è senza speranza, ma richiede azioni concrete da parte dei CISO. Malik suggerisce di implementare strumenti di gestione dei progetti come il modello RACI (Responsible, Accountable, Consulted, Informed) e dare ai leader funzionali della sicurezza autorità effettiva sui loro sistemi. È fondamentale creare percorsi di carriera con criteri di promozione trasparenti e offrire sponsorship – non semplice mentorship – a livello esecutivo, con visibilità e opportunità di presentarsi al consiglio di amministrazione.
Una parte della retribuzione dovrebbe essere legata ai contributi nella riduzione del rischio, come i tempi di applicazione delle patch, invece di basarsi solo su fattori di successo o fallimento negli audit. Malik raccomanda anche un "consolidamento razionale" dei fornitori e un approccio trimestrale di valutazione: se uno strumento non riduce i tempi di risposta o i falsi positivi entro obiettivi e scadenze prestabilite, dovrebbe essere dismesso o riprogettato secondo aspettative realistiche.
Ridefinire il significato del successo nella sicurezza
Fisher propone un cambio di paradigma: misurare il successo attraverso la prevenzione dei tempi di inattività e la protezione dei sistemi, piuttosto che reagire agli incidenti. In un'azienda dove ha lavorato, quando il team di sicurezza ha iniziato a pubblicare dati sulla riduzione del rischio nei dashboard, l'engagement è aumentato e il turnover è diminuito. "Ha aumentato la visibilità del lavoro, rinnovando la motivazione nei team", ricorda. I professionisti della sicurezza raramente abbandonano per la pressione, sostiene Fisher: "Se ne vanno quando i loro risultati spariscono dietro l'assenza di crisi".
Hobson concorda sulla necessità di ripensare la progressione di carriera nella cybersecurity. Non si tratta solo di scalare una scala stretta verso il ruolo di CISO – ci sono posti limitati a quel livello e il settore evolve troppo rapidamente perché quella sia l'unica strada. Esistono "percorsi multipli e gratificanti oltre il tradizionale ruolo di CISO", in aree come la governance dell'AI, l'architettura e la gestione del rischio. La crescita laterale attraverso una specializzazione profonda in ambiti come privacy, threat modeling e governance dell'intelligenza artificiale può essere altrettanto preziosa e appagante.
Il compito primario di un CISO oggi
Per prevenire un esodo di massa, i CISO devono cambiare radicalmente il loro approccio. Non basta riconoscere che i leader funzionali sono sovraccarichi, avverte Hobson: è necessario ristrutturare i carichi di lavoro, dare priorità allo sviluppo professionale e dare ai team il potere di influenzare strategicamente l'organizzazione. La delega significativa è cruciale: "Niente brucia un leader forte più velocemente del ridurlo a un semplice messaggero".
Il ruolo del CISO è coltivare resilienza, senso di appartenenza e conoscenza attraverso percorsi diversificati, in modo che i leader vedano significato nel loro lavoro e rimangano coinvolti. Questo inizia con la chiarezza: aiutare i leader funzionali a capire come le loro responsabilità supportano direttamente la strategia aziendale e rafforzare l'idea che la sicurezza debba essere un vantaggio strategico per ogni azienda. Come conclude Fisher: "Il nostro compito principale non è solo gestire il rischio, ma costruire un'organizzazione resiliente e sostenibile. Questo inizia proteggendo il nostro personale dal burnout, sostenendo il valore commerciale della sicurezza nella sala del consiglio per garantire le risorse necessarie, e guidando attivamente i nostri manager a diventare i leader strategici di cui questo settore ha bisogno".