La sicurezza informatica e la protezione dei dati sono state oggetto di accese discussioni negli ultimi mesi, stimolate da un ritmo apparentemente incessante di gravi incidenti di sicurezza informatica. I criminali informatici hanno intensificato i loro attacchi ai governi di tutto il mondo nel 2022, ma gli attacchi informatici e la perdita di dati presso aziende private, enti sanitari e istituti scolastici non sono stati meno devastanti.
Ci vorrà del tempo prima di poter stabilire se l’ascesa del dibattito sulle minacce informatiche si traduca in un reale cambiamento nella propensione al rischio delle aziende, ma possiamo affermare con certezza che nel 2023 il tema della sicurezza informatica è centrale nei consigli di amministrazione.
Tuttavia, affinché le discussioni sulla sicurezza informatica siano produttive, è necessario che i leader della sicurezza e dell’azienda siano in grado di collaborare e comunicare in modo efficace e questo non è un fatto scontato.
Per affrontare il problema e cercare di migliorare la collaborazione e la comunicazione tra i responsabili aziendali e quelli della sicurezza, le aziende devono fare tre cose:
- in primo luogo, i CEO e i Chief Security Officer (CISO) devono collaborare in modo costruttivo;
- in secondo luogo, i CISO devono fornire dati rilevanti che facilitino il processo decisionale del consiglio di amministrazione in materia di rischio;
- infine, è indispensabile che i membri del CDA si dedichino in misura ragionevole a una formazione sulla sicurezza e sui rischi informatici. Ciò non significa che debbano possedere conoscenze specifiche, ma semplicemente che devono avere consapevolezza delle minacce informatiche e una conoscenza operativa di base delle possibilità di mitigazione del rischio.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Creare una partnership tra CEO e CISO
Sebbene possa sembrare scontato che CEO e CISO debbano collaborare strettamente, in molte aziende è sorprendentemente comune che il responsabile della sicurezza non abbia contatti regolari con il CEO.
Questo ha un impatto diretto su entrambi i ruoli e limita fortemente la loro capacità di influenzare il consiglio di amministrazione nel sostenere e approvare i piani di sicurezza.
Con il rischio informatico in costante crescita – destinato peraltro ad aumentare ancor di più – i responsabili aziendali dovrebbe impegnarsi a fondo per costruire relazioni dirette e profonde con i propri esperti di sicurezza informatica.
Solo così i due ruoli potranno presentare le proprie raccomandazioni al CDA come un team coeso, garantendo l’agilità necessaria per contrastare le minacce informatiche in rapida evoluzione.
Comunicare le giuste informazioni al board
Secondo i dati di Unioncamere-Infocamere (luglio 2022) sono oltre 3mila le aziende del settore cyber security in Italia, per più di 30mila addetti. Tuttavia, la maggior parte dei membri dei CDA non dispone delle competenze di sicurezza informatica necessarie, e saper comunicare a un pubblico non tecnico i dettagli spesso complessi che impattano sull’esposizione al rischio può essere una vera e propria sfida.
I report pensati per far prendere decisioni basate sulla paura o quelli eccessivamente tecnici di solito non riescono a trasmettere in modo chiaro cosa serve fare, né a consigliare la risposta appropriata.
I consigli di amministrazione devono capire che le risorse dell’azienda sono ben protette e devono essere in grado di giudicare gli investimenti necessari per ridurre i rischi. Naturalmente, è loro interesse anche capire il ritorno sull’investimento: sebbene la cybersecurity sia riconosciuta da molti come una spesa essenziale, qualsiasi investimento deve garantire la massima riduzione del rischio.
Per convincere il CDA sono necessarie valutazioni del rischio meno soggettive, basate e quantificate su dati, che illustrino esattamente la posta in gioco nei diversi scenari di incidenti informatici. La visualizzazione del valore a rischio può essere strutturata in diversi modi.
In una prima fase, occorre misurare il costo totale di una violazione dei dati o di un attacco informatico per un determinato scenario di minaccia.
Questo valore dovrebbe includere:
- beni che potrebbero essere rubati o distrutti;
- la perdita di reddito derivante da un arresto delle operazioni;
- il costo del tempo e delle risorse per mitigare l’attacco;
- le comunicazioni associate e i costi legali;
- il danno al valore dell’azienda e sui ricavi a breve termine;
- i potenziali risarcimenti per clienti/utenti;
- eventuali sanzioni governative per la non conformità o mancata protezione dei dati sensibili e gli investimenti necessari per il ripristino.
La seconda fase consiste nel comprendere con che probabilità si realizzi ognuno di questi scenari sulla base di dati esterni e interni e la terza fase dovrebbe presentare un piano d’azione progettato per ridurre al minimo questi rischi.
Se il valore a rischio è superiore di molto al valore di questi investimenti, la richiesta dovrebbe essere giustificata. Infine, i consigli di amministrazione vorranno vedere l’impatto degli investimenti nella sicurezza informatica con report regolari.
Al consiglio di amministrazione si dovranno presentare i costi del rischio e i piani per la sua riduzione, ma tale presentazione deve avvenire con la stessa terminologia che guida tutte le altre discussioni interne al CDA. Infatti, una competenza fondamentale del responsabile della sicurezza è la capacità di articolare il discorso in modo specifico e appropriato per i membri del board.
Responsabili della sicurezza e CDA: incontrarsi a metà strada
Dopo aver consigliato ai professionisti della sicurezza di evitare il gergo tecnico, il consiglio di amministrazione deve in cambio accettare di aggiornarsi.
Non si può fare altrimenti: le conversazioni e le decisioni del consiglio di amministrazione in materia di cyber security sono più fluide quando i membri sono dotati di una conoscenza almeno basilare delle minacce informatiche e dei rischi associati.
È anche, e soprattutto, nel loro interesse. In effetti, in molti mercati globali sono proprio loro che vengono ritenuti responsabili in caso di gravi violazioni dei dati.
