Cybersecurity per C-Level e consiglio di amministrazione

Con l'aumento della velocità della trasformazione digitale, è emersa in tutto il settore una consapevolezza: "La cybersecurity è una questione da consiglio di amministrazione". Per creare veramente una cultura della cybersecurity, i dirigenti devono essere più impegnati e presenti quando si tratta di strategie di cybersecurity.

17 febbraio 2021

Per citare un collaudato aforisma che si rifà al ruolo di dirigente: "La responsabilità è solo mia". In definitiva, questo significa che i dirigenti aziendali sono responsabili di tutti gli aspetti delle attività che supervisionano, e questo include la salvaguardia delle risorse tecnologiche critiche per l'azienda. Poiché le minacce cyber continuano ad aumentare, c'è la necessità di rafforzare le pratiche di sicurezza a tutti i livelli. L'Enterprise Strategy Group (ESG) ha intervistato 365 professionisti senior nei settori business, cybersecurity e IT in tutto il mondo occidentale al fine di valutare le comunicazioni, la collaborazione e la produttività tra dirigenti e team IT e offrire una serie di miglioramenti strutturali per migliorare l'allineamento sicurezza-business nelle organizzazioni.

C'è un urgente bisogno che i CEO e i dirigenti aziendali diano l'esempio

Secondo i dati di ESG, una grande maggioranza (82%) degli intervistati ha riferito che il rischio informatico è aumentato negli ultimi due anni. Questo è dovuto principalmente a un aumento delle minacce, all'espansione della superficie di attacco aziendale e al fatto che le organizzazioni e i processi aziendali si affidano alla tecnologia oggi più che mai.

La sicurezza è ancora vista come una questione principalmente (41%) o completamente (21%) tecnologica.

Questi numeri sono allarmanti se si considera che, negli ultimi 12 mesi, c'è stato un aumento costante nell'adozione di processi di trasformazione digitale. Quando si tratta di dirigenti di primo livello, è evidente una mancanza di coinvolgimento. Ciò significa che la maggior parte dei CISO sono disposti a finanziare solo il minimo indispensabile per soddisfare i requisiti di conformità e protezione.

Una grande percentuale di aziende si accontenta di una "sicurezza abbastanza buona".

C'è la preoccupazione, all'interno della community della sicurezza, che i dirigenti siano disposti a finanziare solo i team di cybersecurity, i processi e le tecnologie che aiutano l'organizzazione a soddisfare l normative e a fornire una protezione rudimentale. Questo ha portato al detto secondo cui "le aziende non vogliono una buona sicurezza, vogliono una sicurezza abbastanza buona". Purtroppo questo problema è ancora prevalente nelle aziende.

La maggioranza (54%) valuta il proprio impegno a livello aziendale nel campo della cyber-igiene come adeguato, discreto o scarso.

Mentre meno della metà (41%) delle aziende ha valutato il coinvolgimento dei propri dirigenti di primo livello in tema cybersecurity, solo come adeguato o discreto. La mancanza di impegno del consiglio di amministrazione può portare a una scarsa igiene informatica e a una sicurezza che non è adeguatamente integrata nei processi aziendali.

Cosa si può fare per migliorare l'allineamento della cybersecurity con il business?
Quando il consiglio di amministrazione e i dirigenti di primo livello sono maggiormente coinvolti e istruiti in materia di cybersecurity, fanno domande più difficili, scavano più a fondo nei problemi e sono più propensi a fare il salto dalla cybersecurity alle questioni di business.

Secondo ESG, le prime tre azioni suggerite dagli intervistati come quelle con maggiore probabilità di migliorare l'allineamento business-cybersecurity sono:

  1. Coinvolgere il team di sicurezza nella pianificazione aziendale e nelle principali iniziative nelle primissime fasi del processo (33%)  
  2. Migliorare/aumentare la formazione sulla sicurezza per i dirigenti aziendali (33%)
  3. Potenziare la raccolta e l'analisi dei dati per migliorare il processo decisionale sul rischio informatico (32%)

Gli intervistati del sondaggio di ESG hanno offerto soluzioni per colmare il divario tra business e cybersecurity:

  1. Assumere/nominare dei Business Information Security Officer (BISO) per integrare la sicurezza a livello granulare nei processi aziendali, nelle risorse critiche, nei dati sensibili e nei ruoli dei dipendenti.
  2. Realizzare un programma dall'alto verso il basso, formalizzato e documentato utilizzando i KPI per aiutare i CISO a comunicare meglio con i loro consigli di amministrazione.
  3. Cambiare le strutture di riporto in modo che i CISO riferiscano direttamente al loro CEO. Questo significa una maggiore esposizione ai temi di sicurezza per i CEO e più input aziendali per il team di cybersecurity.

Ottieni una panoramica preziosa circa le relazioni tra la sicurezza e i dirigenti aziendale, scopri in quali campi si stanno facendo progressi e accedi a un confronto di come le organizzazioni leader differiscono da quelle che restano indietro. Leggi Cybersecurity per C-Level e consiglio di amministrazione di ESG.