Quando CISO e CIO lavorano insieme: il modello della resilienza

Il tema della cybersecurity e della resilienza digitale più in generale sono diventati sempre più centrali nei board executive delle organizzazioni pubbliche e private. In tale contesto, senza dubbio i ruoli del Chief Information Security Officer (CISO) e del Chief Information Officer (CIO) emergono come due figure critiche nello scacchiere del disegno digitale delle imprese. Avendo avuto la fortuna/sfortuna di aver ricoperto entrambi i ruoli nella mia carriera professionale, ancora oggi mi chiedo cosa possa realmente rappresentare il CISO rispetto al CIO. E soprattutto: come e cosa si può fare affinché non vengano visti sia all’estero che all’interno delle organizzazioni come ruoli in competizione, bensì come 2 key people che devono andare a braccetto nella creazione del valore, dell’efficienza e della resilienza?

In questo articolo, vorremmo provare ad esplorare lo status quo del rapporto CISO-CIO, individuare le principali criticità e proporre percorsi evolutivi e buone pratiche ai fini della convergenza sinergica di IT e sicurezza.

Lo status attuale del rapporto tra CISO e CIO

Come noto, il CIO è tradizionalmente responsabile della governance tecnologica, dell’efficienza operativa, dell’innovazione digitale e della messa in opera delle infrastrutture. Il CISO, dal canto suo, ha il compito di garantire la protezione degli asset informativi, la gestione del rischio e la compliance normativa (GDPR, DORA, NIS 2, standard, regolamenti).

Ruoli distinti, priorità diverse

In molti scenari aziendali ed anche nelle mie esperienze personali, ho potuto riscontrare che le decisioni IT sono generalmente dettate da logiche di agilità, performance e scalabilità, oltre che da tematiche di efficienza e “ottimizzazione” dei costi. Dall’altra parte, le scelte di sicurezza richiedono visione, valutazioni di rischio e vincoli di varia natura che finiscono con il “rallentare” l’adozione tecnologica. Personalmente, nella funzione di Ciso, mi sono spesso sentito additato come “bravo, ma lento”. Indubbiamente e quasi inevitabilmente questo contrasto crea spesso tensione tra CIO e CISO.

Le principali aree di attrito

Ecco alcune delle fonti più frequenti di conflitto o inefficienza, emersi anche durante le tavole rotonde svolte nell’ambito del Cybersecurity360 Awards 2025:

• Priorità divergenti: il CIO punta a velocità, efficienza e innovazione, il CISO richiede controlli, audit e mitigazioni.
• Budget e risorse: gli investimenti tecnologici sono spesso percepiti come driver di business, mentre quelli in security sono visti come costi.
• Struttura gerarchica: se il CISO dipende dal CIO, rischia di perdere autonomia, visibilità e capacità di escalation diretta sul top management
• Comunicazione e linguaggio: tecnicismi o metriche troppo “sicurezza” non sono facilmente digeribili dagli stakeholder di business
• Silos organizzativi: team IT e security che non dialogano, processi separati, mancanza di governance comune.

Il trend dell’autonomia del CISO: dalla “subordinazione” tecnica alla responsabilità strategica

Negli ultimi anni, la posizione del Chief Information Security Officer (CISO) ha attraversato un’evoluzione profonda, spostandosi da ruolo tecnico-funzionale a leva strategica di governance del rischio.

Se in passato il CISO era prevalentemente collocato gerarchicamente sotto il CIO (una posizione logica in un contesto dove la sicurezza era considerata una derivazione dell’IT), oggi le dinamiche di mercato, le normative e le crisi reputazionali hanno reso necessaria una maggiore autonomia organizzativa.

Il caso del settore bancario e finanziario

Nessun settore ha vissuto questa trasformazione più intensamente di quello bancario e finanziario, dove la cybersecurity è ormai parte integrante del risk management aziendale.
Le banche, infatti, operano in un quadro normativo e di vigilanza che ha anticipato di anni altri settori, introducendo requisiti precisi sulla separazione dei ruoli, sulla responsabilità diretta della sicurezza e sull’indipendenza del CISO.

• Le linee guida EBA (European Banking Authority), il regolamento DORA (Digital Operational Resilience Act) ed il 40° aggiornamento della circolare banca d’Italia 285 impongono una chiara distinzione tra funzioni IT operative e funzioni di controllo, richiedendo che la sicurezza informatica non sia subordinata alle priorità tecnologiche, ma sia parte del sistema dei controlli interni.
• Molti istituti hanno quindi collocato il CISO sotto il Chief Risk Officer (CRO) o direttamente al riporto del Chief Executive Officer, oppure creando una funzione di sicurezza che risponde al board o al comitato rischi, quindi non più al CIO.
• In diversi casi, il CISO partecipa alle riunioni di risk appetite framework e alla definizione delle soglie di rischio operativo, al pari del CRO, diventando spesso un interlocutore diretto di Banca d’Italia e BCE.

In questo modello, la priorità non è solo difendere le infrastrutture, ma garantire la resilienza operativa e la continuità dei servizi essenziali, in un’ottica di cyber risk management integrato.
La cybersecurity, insomma, non è più vista come un “servizio IT”, ma come un fattore di stabilità sistemica e fiducia per clienti, investitori e regolatori.

Confronto con altre industry di riferimento

In altri settori industriali, il processo è più lento e frammentato.

• Manifatturiero e OT: la sicurezza è spesso ancora subordinata alle direzioni tecniche o di ingegneria, con CISO che dipendono dal CIO o dal responsabile operations. Tuttavia, la spinta della NIS2 e delle normative sui sistemi industriali critici sta accelerando la nascita di figure OT Security Officer autonome, che affiancano il CISO enterprise.
• Sanità e PA: il livello di maturità varia ampiamente. La cybersecurity è spesso vista come compliance più che come governance, e il CISO — quando esiste formalmente — dipende quasi sempre dall’IT. Solo nelle strutture sanitarie più grandi o nelle regioni più digitalizzate si osservano modelli di maggiore indipendenza.
• Retail e servizi digitali: in queste realtà, dove il time-to-market è cruciale, la sicurezza è ancora percepita come un “abilitatore vincolante”. Tuttavia, le aziende più evolute (e-commerce, fintech, telco) stanno adottando strutture duali, in cui il CISO ha reporting funzionale al board e operativo al CIO, bilanciando controllo e agilità.

In sintesi, sulla base della mia diretta esperienza, il settore finanziario rappresenta ancora il benchmark evolutivo più avanzato, grazie alla “pressione normativa” e alla cultura del rischio consolidata. Qui il CISO ha ormai un ruolo paragonabile a quello di un Chief Risk Officer tecnologico: non solo tutela i dati, ma governa la continuità operativa, influenza le decisioni strategiche e contribuisce alla definizione del valore del rischio digitale nel bilancio complessivo dell’impresa.

Sfide e ostacoli al miglioramento del rapporto

Abbiamo già detto come sovente la sicurezza è percepita come un freno all’innovazione, un “guardiano dei no”, mentre l’IT è visto come motore del cambiamento ed unico abilitatore al business.

Divergenze culturali e di mindset: differenze di linguaggio e metriche

Tuttavia, alla base delle tensioni tra CISO e CIO, a mio avviso, insiste anche una divergenza culturale che possiamo definire addirittura strutturale:

• Il CIO proviene da una cultura costruttiva, orientata alla delivery e all’innovazione: il suo successo è misurato in termini di velocità, scalabilità e affidabilità dei servizi IT.
• Il CISO, invece, nasce in una logica difensiva e regolatoria, con focus su rischio, controllo e compliance.

Queste due prospettive che possiamo definire “make it work contro make it safe” generano una frizione naturale, accentuata quando i rispettivi obiettivi non sono allineati nel piano strategico aziendale.

Tutto ciò si trasforma, quindi, in una marcata diversità di linguaggio con cui CISO e CIO comunicano ai vertici aziendali.

• Il CIO parla di SLA, TCO, time-to-market, capacità, costi.
• Il CISO parla di rischio residuo, maturity, vulnerabilità, compliance.

Entrambi validi, ma difficilmente traducibili in metriche comparabili.
Il risultato è che, in sede di board o comitato direzionale, le priorità non appaiono allineate: l’IT parla di innovazione e crescita, la sicurezza di limiti e minacce.

Molte tensioni derivano anche da un deficit di comunicazione interna e percezione del valore della cybersecurity. Il CISO, in particolare, soffre spesso di una scarsa visibilità interna: le sue attività vengono percepite come “invisibili”, finché non si verifica un incidente. Questo alimenta la narrativa del “costo” anziché dell’“abilitatore”.

Prioritizzazione del rischio e gestione delle risorse

Un altro punto di attrito frequente è la prioritizzazione delle risorse. Il CIO tende a valutare gli investimenti sulla base dell’impatto diretto su produttività e scalabilità; il CISO, invece, li giudica in funzione della riduzione del rischio e della compliance.

Quando il budget è unico — o gestito interamente dal CIO — le iniziative di sicurezza rischiano di passare in secondo piano rispetto a quelle di innovazione.
Il risultato è un ciclo di investimento reattivo: si spende in sicurezza solo dopo un incidente o un audit negativo.

Le organizzazioni più mature affrontano il problema creando fondi di rischio IT/cyber condivisi, o introducendo logiche di risk-based budgeting, in cui una quota del budget IT è vincolata alla mitigazione di rischi identificati congiuntamente da CIO e CISO.

Percorsi migliorativi per la cooperazione tra CISO e CIO

Sulla base delle considerazioni sopra riportate, appare evidente che superare le tensioni storiche tra CISO e CIO non è proprio un esercizio semplice che impatta esclusivamente la sfera organizzativa, ma un vero e proprio cambio di paradigma culturale.

La cooperazione tra le due figure non si costruisce con un organigramma o con una policy, ma attraverso processi condivisi, linguaggi comuni e fiducia reciproca. Le organizzazioni che riescono a far funzionare questa alleanza sono quelle che spostano il dialogo da “chi decide” a “come decidiamo insieme”.

Proviamo ad ipotizzare alcuni possibili percorsi al fine di costruire una collaborazione strutturata e duratura.

Definire una governance chiara e condivisa

Il primo passo è mettere ordine nelle responsabilità. Molte incomprensioni nascono da zone grigie in cui nessuno sa chi deve decidere o validare determinate attività (es. approvazione di nuovi fornitori cloud, priorità dei piani di remediation, gestione di incidenti ibridi IT/OT).

Per evitare sovrapposizioni o conflitti, serve un modello di governance trasparente, con regole chiare su chi fa cosa e quando.

• Redigere una matrice RACI (Responsible, Accountable, Consulted, Informed) per i principali processi IT e sicurezza.
• Istituire comitati congiunti di sicurezza e innovazione, dove CIO e CISO co-presiedono e discutono congiuntamente le priorità.
• Definire linee di riporto distinte ma coordinate: il CISO mantiene indipendenza strategica (verso il CRO o il board), ma collabora operativamente con il CIO nelle fasi di delivery.

Questa chiarezza di ruoli consente di passare da una relazione “a conflitto latente” a una governance duale ma sinergica, in cui entrambe le funzioni sono responsabili del risultato complessivo.

Pianificare insieme, fin dall’inizio

La sicurezza non deve essere il “check finale” di un progetto IT, ma una componente del suo design originario. Troppo spesso il CISO, ahimè quanto volte ci è capitato, entra in gioco quando il progetto è già definito, costringendo a rivedere scelte architetturali o a rallentare i tempi di go-live.
Il risultato? Il business percepisce la sicurezza come un ostacolo.

Per evitarlo, CIO e CISO dovrebbero costruire piani strategici integrati, allineando le rispettive roadmap tecnologiche e di sicurezza.

• Inserire la security-by-design come prerequisito nei progetti digitali, cloud o OT.
• Prevedere revisioni congiunte dei progetti: il CISO valuta il rischio, il CIO valuta l’impatto operativo e costi/benefici.
• Creare un calendario annuale di pianificazione congiunta, dove i due ruoli discutono obiettivi e investimenti di medio termine.

Un approccio di pianificazione integrata trasforma la sicurezza da “blocco” a fattore abilitante, capace di velocizzare le decisioni, anziché rallentarle.

Parlare un linguaggio comune

Per costruire un ponte tra le visioni spesso divergenti, come sopra abbiamo ampiamente illustrato, serve tradurre la sicurezza in termini di valore per il business.

Come farlo in concreto:

• Creare metriche integrate che combinino indicatori IT e di sicurezza:
  • “% di progetti digitali con validazione sicurezza completata entro la fase di design”;
  • “tempo medio di patching rapportato al livello di criticità dei sistemi”;
  • “indice di resilienza operativa” (una metrica che unisce uptime, RTO/RPO e incident response).
• Usare storytelling condiviso verso il board: invece di due presentazioni separate (una per IT e una per sicurezza), produrre report unificati che mostrano il bilanciamento tra innovazione e protezione.
• Promuovere formazione incrociata: workshop congiunti su framework NIST, COBIT, DORA o ISO/IEC 27001, dove team IT e security analizzano casi reali insieme.

Questo approccio linguistico crea un terreno comune, favorendo fiducia e consapevolezza reciproca.

Creare percorsi di co-responsabilità

La cooperazione si consolida quando esistono obiettivi comuni e successi condivisi.
Se il CIO viene premiato per la velocità di delivery e il CISO per la riduzione dei rischi, i due lavoreranno in direzioni opposte.

Serve invece una catena di accountability integrata.

• Definire KPI trasversali che premiano la sinergia: ad esempio, il rispetto dei piani di resilienza, la riduzione dei tempi di detection e recovery, l’efficienza nel change management sicuro.
• Introdurre obiettivi di performance condivisi nel MBO o nel sistema di valutazione dei due ruoli.
• Prevedere audit congiunti: non “IT da una parte” e “Security dall’altra”, ma verifiche unificate su processi di change, access management e supply chain.

La vera maturità organizzativa arriva quando CIO e CISO rendono conto insieme dei risultati, invece di “difendere ognuno il proprio perimetro”.

Lavorare insieme sulle persone

A volte accade che la frattura non è tra le due figure apicali, ma nei livelli intermedi: team IT e team di sicurezza che non comunicano, non si fidano o addirittura competono.
Una cooperazione reale si costruisce anche a livello operativo.

• Creare team misti di progetto con ruoli condivisi IT/Security su temi come cloud, identity, OT, DevSecOps.
• Promuovere job rotation di breve periodo: ad esempio un ingegnere IT passa un mese nel SOC, un analista sicurezza affianca il team infrastrutture.
• Istituire un programma interno di cultura cyber, gestito congiuntamente: awareness, simulazioni di phishing, tabletop exercise, incident response drill.

Questo approccio “dal basso” dovrebbe aiutare a generare fiducia e visione integrata, riducendo i conflitti culturali che spesso emergono solo in situazioni di crisi.

Evolvere verso modelli di resilienza integrata

Il punto di arrivo naturale della cooperazione CIO–CISO è la resilienza aziendale integrata: un ecosistema in cui IT, sicurezza, rischio operativo e continuità lavorano insieme.

Alcune aziende del settore finanziario e delle infrastrutture critiche stanno già sperimentando modelli di Cyber Resilience Office o Integrated Resilience Governance, dove CIO e CISO condividono:

• una mappa unica dei rischi digitali,
• una roadmap di resilienza (BC/DR, cyber incident, supply chain, cloud),
• un set comune di indicatori approvati dal board.

In questi modelli, la differenza di ruolo resta, ma viene superata dalla missione comune di proteggere il valore aziendale: il CIO garantisce la continuità tecnologica, il CISO la robustezza del sistema.

Comunicare i risultati congiuntamente

Infine, una cooperazione efficace deve essere visibile e riconosciuta. CIO e CISO dovrebbero comunicare insieme verso l’interno e l’esterno, mostrando come l’allineamento tra tecnologia e sicurezza sia un vantaggio competitivo, non un vincolo:

• Pubblicare report annuali di cyber resilience, firmati congiuntamente
• Presentare in tandem ai comitati direzionali e al board, con una narrativa unificata: “innovazione sostenibile e sicura”
• Promuovere iniziative di comunicazione interna che raccontino la collaborazione (ad esempio, progetti riusciti o riduzione di incidenti grazie al co-design).

La comunicazione condivisa non è solo marketing: è un modo per consolidare la fiducia e far percepire la sicurezza come parte della crescita aziendale, non come un costo da giustificare.

Verso una partnership di valore

Concludendo, il rapporto tra CISO e CIO non può essere “aggiustato” con una procedura, ma può e deve essere trasformato attraverso:

• governance chiara,
• pianificazione comune,
• linguaggio condiviso,
• obiettivi incrociati,
• formazione reciproca,
• resilienza integrata e
• comunicazione unificata.

È senz’altro un percorso lungo e non senza insidie, tuttavia quando questi elementi si allineano, la collaborazione diventa una partnership di valore: il CIO accelera il business, il CISO lo rende sostenibile. Non due linee parallele, ma un’unica direzione verso la fiducia digitale.