Quando il silenzio diventa assordante
Non sempre i contrasti espliciti rappresentano il sintomo più grave di una relazione professionale compromessa. Secondo gli esperti del settore, esistono segnali molto più insidiosi che indicano una frattura nel rapporto tra i due vertici tecnologici dell'organizzazione. L'assenza di comunicazione diretta costituisce uno dei campanelli d'allarme più evidenti: quando CIO e CISO si scambiano informazioni solo tramite email, riunioni di gruppo o attraverso i rispettivi collaboratori, significa che il rapporto si è deteriorato.
Maria Cardow, CIO di LevelBlue, sottolinea come la quantità di informazioni da gestire renda imprescindibile il dialogo diretto. "Non esiste sostituto per conversazioni regolari e su base ad hoc", spiega, evidenziando come la conoscenza reciproca delle priorità, delle sfide e delle strategie dell'altro rappresenti la base minima per un rapporto funzionale.
Quando la gerarchia diventa censura
Un altro segnale preoccupante emerge quando il CIO altera o blocca sistematicamente le comunicazioni del CISO verso il consiglio di amministrazione. Aimee Cardwell, CISO in residence presso Transcend ed ex responsabile della sicurezza di UnitedHealth Group, traccia una distinzione netta tra il coaching costruttivo e la manipolazione dell'informazione. "Non si tratta solo di suggerire una formulazione migliore o un modo più efficace di raccontare la storia", precisa. "Il problema sorge quando vengono tagliati fatti che devono essere portati all'attenzione del board o quando vengono apportate modifiche che potrebbero creare un vero problema morale per il CISO".
L'esclusione sistematica del CISO dalle iniziative aziendali che coinvolgono l'IT rappresenta un altro sintomo inequivocabile. Dale Hoak, CISO di RegScale, spiega che in un rapporto sano non esistono sorprese: "Se viene menzionato un nuovo progetto, un fornitore o una migrazione e il CISO non ne sa nulla, c'è un problema, perché si finisce per aggiungere la sicurezza a posteriori".
La natura strutturale del problema
Le tensioni tra CIO e CISO non derivano necessariamente da incompatibilità personali. Spesso affondano le radici in fattori organizzativi più profondi. La mancata definizione chiara di ruoli e responsabilità crea sovrapposizioni o vuoti di responsabilità che generano rischi inutili. Marnie Wilking, CSO di Booking.com, evidenzia come senza un contesto condiviso e un allineamento sulla gestione del rischio aziendale, i due ruoli possano sembrare in contrasto.
"Il CIO viene tipicamente valutato su uptime, scalabilità e agilità, mentre il CISO si concentra sulla protezione dei dati, sulla conformità e sulla mitigazione delle minacce", spiega Wilking. "Senza una visione unificata di come queste priorità si intersechino, possono apparire in opposizione".
Il dipartimento del "no" contro l'abilitatore del business
Un altro elemento di frizione deriva dalla percezione tradizionale della sicurezza come funzione che pone ostacoli piuttosto che come partner strategico. Il dipartimento della sicurezza viene ancora spesso visto come quello che dice sempre "no", osserva Cardwell, mentre il CIO non ha mai il lusso di negare qualcosa: il suo compito è abilitare ciò che il business cerca di realizzare.
La soluzione richiede un cambio di mentalità da parte del CISO. "L'azienda vuole fare una determinata cosa, e il mio lavoro è capire come renderla possibile", chiarisce Cardwell. Questo significa fornire opzioni multiple con diversi livelli di prezzo, tempistiche, pro e contro e punteggi di sicurezza, per offrire al CIO e al business alternative concrete.
Segnali rossi da non ignorare
Oltre alla mancanza di comunicazione e all'esclusione dalle decisioni strategiche, esistono altri indicatori di una relazione compromessa. Il mancato scambio di informazioni da parte del CIO costituisce "una gigantesca bandiera rossa", secondo Cardwell. Allo stesso modo, quando il CIO ignora o scavalca sistematicamente le raccomandazioni e le decisioni del CISO, ringraziando formalmente ma procedendo poi per la propria strada, il rapporto è chiaramente squilibrato.
La ricerca di Gartner rivela che l'87% dei CISO esperti descrive il proprio rapporto con il CIO come "buono" o "eccellente" quando si tratta di risolvere conflitti. Christine Lee, vicepresidente della ricerca di Gartner per la cybersecurity, sottolinea come questo dato dimostri che il conflitto in sé non indica necessariamente una relazione problematica. "È l'incapacità di fare progressi o raggiungere un accordo che segnala una frattura nel rapporto CIO-CISO", precisa.
Quando la tecnologia amplifica le distanze
Problemi concreti emergono anche sul piano operativo. L'acquisto da parte di uno dei due di tecnologie con funzionalità già presenti nell'ambito dell'altro indica scarso coordinamento. Analogamente, quando il CIO impone al CISO specifici prodotti, fornitori o service provider senza permettere un'analisi adeguata, si crea un problema strutturale. "In alcuni casi potrebbero essere la risposta giusta per la sicurezza, ma in altri no", osserva Ayan Roy, leader della competenza cybersecurity per le Americhe di EY. "Il CIO dovrebbe dare al CISO la libertà di scegliere la soluzione giusta".
Sara Madden, CISO di Convera, identifica un altro sintomo critico: quando i prodotti tecnologici vengono rilasciati regolarmente con falle di sicurezza o gap nei controlli, la domanda diventa inevitabile. "Perché non lo abbiamo scoperto durante il ciclo di sviluppo del prodotto? La risposta è solitamente una scarsa collaborazione tra IT e sicurezza".
Le conseguenze sistemiche di un rapporto deteriorato
L'impatto di una relazione disfunzionale tra CIO e CISO si estende ben oltre i due individui coinvolti. MK Palmore, fondatore di Apogee Global RMS ed ex direttore nell'ufficio del CISO di Google Cloud, è categorico: entrambi non possono avere successo senza l'altro. "Devono fare affidamento l'uno sull'altro e riconoscere questa necessità reciproca", afferma. Quando manca collegialità e collaborazione, ne risentono i rispettivi dipartimenti e l'intera organizzazione.
Un rapporto teso si manifesta attraverso disallineamento negli obiettivi, nelle priorità e persino nella comunicazione, spiega Wilking. "Quando i leader della tecnologia e della sicurezza non sono sulla stessa lunghezza d'onda, diventa evidente sia nelle operazioni che nei risultati, dalle scadenze di progetto mancate all'aumento delle vulnerabilità".
La via del recupero
Ricostruire un rapporto compromesso richiede impegno consapevole da entrambe le parti. I CISO possono sfruttare le trasformazioni in corso – che si tratti di intelligenza artificiale o incertezza economica – come opportunità per reimpostare la relazione e affrontare i problemi che hanno ostacolato la collaborazione. Gli esperti suggeriscono passi concreti: stabilire allineamento sulla posizione dell'organizzazione rispetto al rischio, garantire che la sicurezza sia integrata nella strategia aziendale e nella roadmap IT, ottenere chiarezza sulle responsabilità reciproche.
Kory Daniels, chief security and trust officer di LevelBlue, consiglia di rendere prioritaria la comunicazione diretta e regolare, di concentrarsi sulla gestione della relazione e di cercare di comprendere le priorità, gli incentivi e le sfide del CIO condividendo i propri. "Comunicate, siate disposti a incontrarvi, fate incontrare i team, stabilite fiducia", sintetizza. Il cambio di prospettiva fondamentale richiede di passare da una mentalità di gate-keeping a una di business enablement: invece di partire dal "no", partire dal "come ci arriviamo in sicurezza".
Lee di Gartner riassume la necessità di questa collaborazione: entrambi devono lavorare insieme per raggiungere gli obiettivi tecnologici e di cybersecurity dell'organizzazione. Ogni tecnologia comporta esposizione alla sicurezza informatica che può influire sull'implementazione e sui risultati aziendali. Per questo i CIO devono preoccuparsi della cybersecurity e i CISO devono comprendere che la sicurezza esiste per raggiungere obiettivi di business. Solo lavorando insieme possono conseguire le rispettive priorità.