La relazione tra CISO e CIO si afferma come uno dei fattori determinanti per la sicurezza e la resilienza digitale delle organizzazioni. Mentre l’attenzione si concentra spesso sui singoli ruoli, è il loro rapporto strategico a definire l’efficacia dei modelli di protezione. Comprendere come queste due figure possano collaborare efficacemente significa andare oltre l’organigramma per costruire una governance che integri innovazione e sicurezza.
Indice degli argomenti
La relazione strategica tra CISO e CIO oltre l’organigramma
Negli ultimi anni si è scritto molto sul ruolo del Chief Information Security Officer, ma molto meno sul suo rapporto con il Chief Information Officer: un tema spesso sottovalutato, ma cruciale per l’efficacia dei modelli di sicurezza. Il punto non è tanto stabilire dove debba essere collocato il CISO nell’organigramma, ma comprendere come i due ruoli possano convivere, collaborare e mantenere un equilibrio tra innovazione e protezione.
La recente survey “L’Essenziale nel Digitale. L’impatto dell’AI sul ruolo dei CISO e sull’area Cybersecurity”, curata dal professor Raffaello Balocco (Politecnico di Milano, Digital360, Nextwork360), ha dedicato una sezione proprio al posizionamento del CISO in azienda.
Dai risultati, pur non rappresentativi in senso statistico, emerge un quadro coerente con quanto osservato anche in altri contesti professionali: la relazione con il CIO resta un punto delicato ed il modo in cui è impostata incide direttamente sull’efficacia operativa del CISO.
Oltre il 90% dei CIO e l’80% dei CISO descrivono il loro rapporto come collaborativo e strategico. Tuttavia, rimane una quota significativa (circa il 7%) che evidenzia tensioni legate alla gestione delle priorità, ai budget ed ai tempi di progetto, segno che il dialogo tra le due funzioni non è sempre semplice da mantenere bilanciato.
Il messaggio che emerge è chiaro: il successo di questa relazione non dipende tanto dal “chi riporta a chi”, quanto dalla capacità di costruire un linguaggio comune tra innovazione e sicurezza.
Il modello di riporto diretto: vantaggi operativi e rischi di dipendenza
CISO a riporto del CIO: collaborazione o dipendenza? In molte organizzazioni il CISO riporta direttamente al CIO. Almeno in Italia e considerando tutte le industries, è il modello più diffuso, soprattutto dove la sicurezza è ancora percepita come un’estensione dell’ICT. Questa collocazione ha vantaggi evidenti: favorisce collaborazione, accesso alle informazioni, tempi di ingaggio più rapidi nei progetti e un linguaggio comune tra chi implementa e chi assicura la protezione. Nelle strutture complesse questa prossimità garantisce continuità operativa e facilita l’integrazione della sicurezza nei processi tecnologici.
Ma non mancano le criticità: minore indipendenza del CISO nel validare soluzioni, filtri sui budget o sulle priorità, potenziali conflitti di interesse e il rischio di concentrare il ruolo del CISO su attività operative o di implementazione, anziché di assurance. Questo aspetto è oggi particolarmente delicato: la Direttiva NIS2 assegna infatti responsabilità dirette al Top Management, coinvolgendo in modo esplicito le figure apicali responsabili dell’ICT e della sicurezza. In altre parole, CIO e CISO sono entrambi responsabili, e il loro coordinamento deve garantire che le misure di sicurezza siano implementate, testate e supervisionate secondo criteri di indipendenza.
Separazione funzionale: indipendenza strategica e possibili frizioni
CISO e CIO separati: chiarezza di ruoli, ma rischio di distanza Un modello alternativo, sempre più adottato nelle realtà complesse o regolamentate, prevede che il CISO non risponda al CIO, ma direttamente al CEO/GM o COO (dove istituito). I vantaggi sono evidenti: indipendenza e visibilità strategica, possibilità di gestire budget autonomi e di riportare al vertice senza filtri, maggiore equilibrio tra le esigenze di innovazione (guidate dal CIO) e quelle di controllo e compliance (presidiate dal CISO). Tuttavia, la separazione potrebbe generare frizioni: riduzione della trasparenza sui progetti ICT in corso, rischio di “silos” organizzativi e competizione tra funzioni, necessità di un forte coordinamento per evitare duplicazioni o conflitti di priorità.
Il settore bancario: segregazione funzionale e indipendenza controllata
Nel mondo bancario: separati, ma connessi Negli ambienti regolamentati, come quello bancario, la relazione tra CISO e CIO si è evoluta nel tempo. Il CIO è sempre più orientato alla governance ed alla gestione della complessità tecnologica, mentre il CISO si sta trasformando in figura di garanzia trasversale, capace di dialogare anche con Risk Management, Compliance e Audit.
È una relazione che funziona solo se basata su regole chiare e sulla consapevolezza dei rispettivi ruoli: il CIO gestisce e innova, il CISO indirizza, misura e assicura che la sicurezza sia parte integrante di ogni decisione. Lo stesso principio è chiarito nelle linee guida dell’European Banking Authority (EBA) sull’ICT e la sicurezza: le banche devono garantire che la funzione di sicurezza sia “efficacemente segregata” da quella ICT, per evitare che chi implementa controlli sia lo stesso che ne deve verificare la conformità. Tuttavia, la EBA non impone una separazione assoluta e ciò che conta sono il principio di indipendenza funzionale e la presenza di meccanismi di controllo adeguati.
È quindi possibile che il CISO riporti al CIO, purché esistano controparti indipendenti (ICT Risk Management, ICT Compliance, ICT Audit, Comitati di Sicurezza) in grado di garantire equilibrio e supervisione.
Settori non regolamentati: equilibri fluidi e governance da costruire
Altri settori, altri equilibri Nei settori non regolamentati, la situazione è molto più fluida. Molte aziende non hanno ancora definito con chiarezza il ruolo del CISO, e la relazione con il CIO dipende spesso da dinamiche interne più che da un disegno consapevole di governance. Quando il CISO è posto troppo in basso nella gerarchia, senza visibilità diretta verso il top management, la sicurezza rischia di restare confinata al perimetro ICT. All’opposto, un CISO troppo distante dall’ICT rischia di trasformarsi in una funzione isolata, percepita come burocratica o distante dai progetti reali.
Quando non c’è una chiara separazione di compiti, si perde la possibilità di misurare efficacemente il rischio, e la sicurezza finisce per dipendere dalle priorità del momento. Il punto di equilibrio, come spesso accade, non risiede nell’organigramma ma nella qualità della relazione tra le persone. CISO e CIO, pur con ruoli distinti, condividono la stessa sfida: rendere l’innovazione sostenibile e sicura. La fiducia reciproca è ciò che fa la differenza tra una sicurezza efficace ed una formale. Serve un dialogo continuo, basato sulla consapevolezza che l’obiettivo non è “bloccare” il cambiamento, ma incanalarlo in modo responsabile.
Governance condivisa: la sicurezza come responsabilità strategica
La sicurezza come governance, non come tecnologia Le associazioni professionali come ISACA e ISC² insistono da anni su questo concetto: la sicurezza non è un tema di tecnologia, ma di governance. La maturità di un’organizzazione non si misura dal numero di controlli implementati, ma dalla capacità di allineare obiettivi, ruoli e responsabilità.
Un CIO che comprende il valore della sicurezza e un CISO che conosce i processi ICT non lavorano “uno sopra l’altro”, ma fianco a fianco, condividendo la responsabilità del successo digitale dell’organizzazione. Un articolo pubblicato su Fortune nel luglio 2024, firmato da Andy Ellis — ex Chief Security Officer di Akamai Technologies e oggi advisor per diverse realtà nel settore della sicurezza — sintetizza bene questa visione: “Il CISO non deve essere il controllore del CIO, ma la sua coscienza digitale.” Un’affermazione semplice ma efficace, che cattura l’essenza del rapporto ideale tra i due ruoli: uno costruisce, l’altro misura; uno innova, l’altro previene; entrambi garantiscono la continuità.
Leadership condivisa per l’innovazione sicura: oltre i modelli organizzativi
Oltre i modelli organizzativi: una questione di fiducia ed una leadership condivisa per l’innovazione sicura Naturalmente, non esiste un modello valido per tutti. Le realtà più piccole traggono vantaggio dalla vicinanza tra CIO e CISO, che consente agilità e collaborazione immediata. Le grandi organizzazioni, invece, necessitano di separazioni più nette, per evitare conflitti di interesse e garantire reporting trasparente. Ma, al di là delle strutture, ciò che resta imprescindibile è la cultura della sicurezza. Se il top management non ne riconosce il valore, nessun organigramma potrà garantire efficacia.
Il dibattito su “a chi deve rispondere il CISO” rischia quindi di essere sterile, se non si considera la sostanza: il CISO deve poter esercitare il suo ruolo di garanzia senza essere ostacolato da conflitti gerarchici o interessi di budget. Che sieda accanto al CIO o che riporti ad un Chief Risk Officer od al CEO, ciò che conta è la chiarezza di mandato, la trasparenza dei flussi decisionali e l’integrazione tra sicurezza e innovazione. Serve un modello di cooperazione strutturato: un Comitato di Sicurezza o di Innovazione in cui CIO e CISO siedano allo stesso tavolo, condividendo metriche, rischi e decisioni. Solo così, con ruoli distinti ma visione comune, la sicurezza potrà diventare davvero un motore di fiducia, e non un freno al cambiamento. In questo scenario, il CIO e il CISO non rappresentano poli opposti, ma due facce della stessa leadership: quella che unisce trasformazione digitale e resilienza organizzativa.
Il mandato comune: chiarezza, trasparenza e visione integrata
La governance efficace non dipende dalla linea di riporto, ma dalla chiarezza dei mandati e dalla fiducia nel processo decisionale: solo in questo equilibrio tra indipendenza e collaborazione la sicurezza potrà diventare il vero motore di innovazione e resilienza per il business.
Fonti principali e riferimenti concettuali
“L’Essenziale nel Digitale. L’impatto dell’AI sul ruolo dei CISO e sull’area Cybersecurity” – Prof. Raffaello Balocco, Politecnico di Milano, Digital360, Nextwork360.
EBA Guidelines on ICT and security risk management.
Andy Ellis, “The CIO-CISO Relationship Is Broken. Here’s How to Fix It”, Fortune, luglio 2024.
ISACA, ISC² (framework e best practice di governance della sicurezza)
