La digital transformation ormai in atto in tutti gli ambiti produttivi e industriali ha di fatto costretto ad adottare il linguaggio e le metodologie della cyber security anche all’interno dei consigli di amministrazione e in particolare ha spinto sempre più i CISO ad interfacciarsi con i direttori finanziari o CFO (Chief Financial Officer) che dir si voglia.
Ogni CISO sa che il panorama delle minacce informatiche sta diventando sempre più articolato e ciò rende il compito di mantenere sicura la propria organizzazione un’impresa apparentemente senza fine. Quasi il 90% delle organizzazioni ha subito una violazione dei dati negli ultimi tre anni, con minacce interne, phishing e Business Email Compromise (BEC) in aumento.
Poiché nel corso degli anni gli attacchi cyber su larga scala hanno raccolto spazio sempre maggiore nelle news e tanti brand di grande fama hanno ammesso pubblicamente di aver subito violazioni, la maggioranza dei membri del Consiglio di amministrazione ha capito che la sicurezza non è una destinazione, è un viaggio.
Tuttavia, essere consapevoli del problema e stanziare risorse adeguate a risolverlo sono ancora questioni differenti, soprattutto alla luce delle restrizioni finanziarie che molte aziende si trovano oggi ad affrontare a causa della pandemia globale; il compito del CISO di convincere il Consiglio, in particolare il CFO, a investire per tenere l’organizzazione al passo con lo sviluppo delle minacce informatiche, diventa ancora più arduo.
Imparando a parlare la lingua del CFO, i CISO possono dunque migliorare il loro successo nelle discussioni sul bilancio e assicurarsi di ottenere i fondi necessari per adempiere alle loro responsabilità. Ma come?
Indice degli argomenti
Cyber security e consigli di amministrazione: capire il CFO
Il primo step è iniziare a capire meglio il mondo del CFO.
I CFO si occupano principalmente della performance finanziaria dell’organizzazione – proteggere gli asset e guidare la redditività per garantire il successo tattico e strategico dell’organizzazione. Di solito operano come braccio destro del CEO, costruendo e proteggendo la capacità dell’azienda di creare valore e aumentare il fatturato.
Il CFO non dedica così tanto tempo alla conformità alla sicurezza, anche se certo riconosce che il costo di un incidente può essere devastante e, insieme all’85% degli executive, considera il rischio di violazione dei dati una priorità essenziale. Consideriamo gli attacchi Business Email Compromise (BEC), che sono diventati rapidamente uno dei crimini più dannosi dal punto di vista finanziario. L’FBI ha recentemente stimato le perdite derivanti da tali attacchi a 26,5 miliardi di dollari negli ultimi tre anni.
Nonostante il rischio finanziario sia dimostrato, le organizzazioni non hanno budget illimitati e i CFO devono essere estremamente attenti agli investimenti effettuati per affrontare i diversi rischi per la sicurezza e la conformità.
Cyber security e consigli di amministrazione: dialogo tra CISO e CFO
Parlando con i CFO, è chiaro che hanno un processo di pensiero relativamente formale ogni volta che viene proposta una nuova richiesta di investimento. Un CFO ci ha accompagnato nel suo “dialogo interno” con il CISO:
- Quale rischio si affronta e qual è la sua entità rispetto ai ricavi?
- Qual è il costo di questa soluzione rispetto all’impatto di una violazione, ripartito su un periodo di tre-cinque anni?
- Quali capacità abbiamo già in questo ambito e quanto sono efficaci? Quanto sarà efficiente questa soluzione in confronto?
- Perché abbiamo bisogno di questa soluzione, e non di un’altra?
- È possibile consolidare i fornitori per avere maggiore semplicità e una leva finanziaria più forte?
Il CISO deve riconoscere e reagire a questo dialogo interno e garantire che le questioni siano affrontate in ogni specifico caso aziendale e nella discussione che lo supporta.
Investire in cyber security per creare un business case
Portare la cyber security all’interno dei consigli di amministrazione non è semplice. Per il CFO c’è prima di tutto la gestione tattica dell’organizzazione. Quindi, prima di andare dal CFO per discutere di nuovi investimenti, è saggio allineare gli obiettivi di sicurezza informatica e la proposta di budget con quelli più ampi di business e di conformità. Ideale è quindi analizzare questi passaggi per creare un business case convincente per l’investimento.
Evidenziare la mancanza di controllo
Primo passo per un business case sugli investimenti in cyber security è quello avere una definizione del problema ben chiara e sintetica, che parta dalla descrizione della mancanza di controllo, in termini non tecnici.
Come i sistemi aziendali, ad esempio, hanno già mostrato di consentire il passaggio di alcuni tipi di e-mail dannose attraverso il gateway; oppure come l’azienda non è in grado di tracciare i dati critici che si muovono tra sistemi cloud di terze parti.
Può essere efficace utilizzare un confronto tra pari per dimostrare che aziende simili stanno affrontando la questione. Ciò garantisce al CFO visibilità su ciò che sarebbe difendibile rispetto ai media nel caso in cui si verificasse un evento.
Quantificare i rischi associati e il loro impatto potenziale
Approfondendo la mancanza di controllo si può mettere in evidenza come questo potrebbe portare a un incidente di sicurezza, utilizzando i modelli di rischio già esistenti in azienda.
Delineare chiaramente le perdite potenziali che derivano da un’intrusione e la probabilità che questi scenari si verifichino, considerando l’utilizzo di una curva di Value at Risk per allinearsi ad altri modelli finanziari, includendo riferimenti alle perdite sia come percentuale sulle entrate, sia come reputazione. Qui vanno considerate anche eventuali multe, o costi aggiuntivi che risulterebbero da analisi future più approfondite.
Le perdite potenziali possono essere accompagnate da esempi recenti tratti dai media per evidenziare la probabilità di questo scenario – sia che si tratti di ransomware, minaccia interna o frode via e-mail.
Descrivere la soluzione
È ora il momento di descrivere la soluzione oggetto della richiesta di budget, sempre mantenendo un linguaggio non tecnico, e spiegando perché sarà utile ad affrontare il rischio, in un modo che i controlli esistenti non fanno. È importante che la proposta includa alcune alternative, per dare al CFO una certa flessibilità di esplorazione anche se la soluzione può già sembrare chiara.
Evidenziare anche le ulteriori opportunità legate all’investimento, come quella di consolidare per semplificare il parco tecnologico, di incrementare la scala per ridurre i costi, o di migliorare l’efficienza attraverso l’automazione.
Evidenziare il valore dell’investimento
È fondamentale, infine, assicurarsi che il business case affronti il tema specifico dei costi. Il CFO avrà probabilmente chiaro che definire un “ROI di sicurezza” sia difficile, quindi il fatto che non ci sia può non essere discriminante. Ma è importante cercare di dimostrare il rapporto qualità/prezzo e illustrare come la soluzione possa far risparmiare denaro in generale. Ad esempio:
- qual è il costo del prodotto, e quelli stimati associati al cambiamento? All’interno di questa panoramica, includere eventuali risparmi potenziali derivanti dall’automazione, o dal consolidamento e via dicendo. Ma anche illustrare le spese potenziali di implementazione, compresi i costi di formazione, i costi di progetto ecc.;
- qual è il costo della soluzione rispetto al pericolo finanziario che contribuisce ad evitare? Come si confronta il costo totale con il valore che si trova a rischio su un periodo di tre-cinque anni? Questo è il rapporto critico che il CFO vorrà comprendere.
Infine, va sempre rispettato il tempo dell’interlocutore. Se c’è una persona nell’organizzazione che è impegnata come il CISO, è proprio il CFO, anche se per lui sicurezza e conformità sono solo uno dei tanti elementi, non il principale di ogni giorno.
Adottare la sintesi nella proposta di budget consentirà di avvicinarsi meglio alla posizione dell’interlocutore.
Avvicinarsi al Consiglio di amministrazione
Spesso la “C” del CISO non ha lo stesso peso della “C” di COO, CFO e CRO; un elemento che deve cambiare se il mercato vuole davvero affrontare le sfide di sicurezza che mettono a repentaglio un’economia sempre più digitale.
Per colmare questa lacuna, i CISO devono costruire migliori relazioni a livello di Consiglio e dimostrare una reale comprensione di come operi, e non solo si protegga, un business. Conoscere i colleghi dello stesso livello e comprendere le regole e le checklist che seguono è un ottimo modo per accelerare questa evoluzione.
Il CFO è la persona più influente di un Consiglio, subito dopo il CEO, quindi è importante investire saggiamente tempo e attenzione; oltre a scoprire che le richieste di budget hanno più successo, il CISO potrebbe scoprire di avere un alleato di rilievo alle future riunioni del Consiglio di amministrazione.