Quanti danni possono procurare gli hacker, o dipendenti e fornitori poco attenti alla security, nell’arco di 90 giorni? Dati di clienti esportati, informazioni sui dipendenti compromesse o proprietà intellettuale rubata, questi sono solo alcuni esempi di come mancanze nella cybersecurity possano intaccare il business. I membri dei consigli di amministrazione, o i dirigenti, sono consapevoli che il rischio informatico aumenta notevolmente con l’espansione del perimetro digitale aziendale. Dopo tutto, il costo medio di una violazione dei dati è di quasi 4 milioni di dollari per ogni incidente.
Quindi, perché durante i consigli di amministrazione si parla raramente di cybersecurity?
Secondo una ricerca condotta da Deloitte, solo il 4% dei dirigenti intervistati inserisce il tema della cybersecurity nei propri consigli di amministrazione ogni mese. Il 49% invece ne parla ogni trimestre. Uno studio di professionisti della corporate governance e della sorveglianza del rischio ha indicato che le loro organizzazioni controllano e verificano i partner commerciali una tantum e, a volte, non lo fanno affatto. Infatti, quasi la metà degli intervistati ha dichiarato che i programmi e le politiche di rischio di terzi hanno luogo una volta all’anno o senza una scadenza regolare.
Dati i potenziali danni finanziari, legali e di brand, è opportuno che i dirigenti riconsiderino la frequenza con cui i problemi di sicurezza informatica vengono discussi e trattati durante le riunioni del consiglio di amministrazione. La comunicazione, a livello dirigenziale, è fondamentale per ridurre il rischio perché aumenta la visibilità presso coloro che sono incaricati della governance e dà loro la possibilità di elaborare le informazioni e di approfondire con il CISO.
Molta attenzione viene posta sulla compliance, ed è un bene. Ma anche la sicurezza e la privacy sono elementi da non sottovalutare durante questi incontri, non solo perché fanno parte di un approccio alla compliance più ampia, ma anche perché hanno un notevole impatto sul business.
Un concetto che si applica perfettamente a piccole imprese in rapida crescita, agenzie governative di medie dimensioni o conglomerati multinazionali che operano sotto l’ombrello di una miriade di agenzie di regolamentazione e che sono soggetti a decine di statuti e quadri normativi disparati. Se si opera in uno spazio altamente regolamentato, come la sanità, la finanza, l’energia o altre infrastrutture critiche, la posta in gioco è ancora più alta.
Non solo le aziende pubbliche devono fare attenzione: una ricerca condotta dal National Association of Corporate Directors ha indicato che meno della metà dei dirigenti di aziende private ritiene che la propria comprensione del rischio informatico sia attualmente abbastanza forte da garantire un’efficace supervisione del consiglio di amministrazione.
Per aziende più tradizionali, come per esempio l’autotrasporto, si crede che la cybersecurity non sia una priorità dato che molti dei processi sono analogici e manuali. Il mondo però è cambiato, le tecnologie impattano qualsiasi business, come l’identificazione a radiofrequenza (RFID), i veicoli connessi e i sensori IoT.
Controlli una tantum non fanno parte di una corretta strategia di sicurezza, Quello che serve è un controllo continuo da parte del consiglio di amministrazione. Ecco alcune indicazioni da tenere a mente nel rendere le discussioni sui rischi informatici una parte integrante delle riunioni del consiglio di amministrazione:
- I membri del consiglio non devono discutere nei dettagli i problemi tecnici. I CISO e gli esperti devono presentare al consiglio i trend che stanno osservando, quale gruppo di dipendenti è più a rischio, come ridurre le minacce e, soprattutto, di quali risorse hanno bisogno per aumentare la sicurezza aziendale.
- Concentrarsi sulle vulnerabilità. Perché i dipendenti mettono a rischio la sicurezza aziendale? I profili di rischio per la sicurezza informatica dei fornitori terzi non sono allineati con i vostri? Le minacce provengono da nuove fonti geopolitiche? Le vostre nuove sandbox IoT sono compromesse perché la sicurezza non è stata integrata nei processi DevOps esistenti?
- C’è un motivo se le questioni di cybersecurity non vengono affrontate regolarmente. È probabile che i membri del consiglio non siano a conoscenza delle nuove minacce informatiche, oppure che i dirigenti non le considerano una priorità. È necessario analizzare nel dettaglio i processi al fine di identificare al meglio quali sono i possibili rischi. Le minacce si evolvono velocemente e tutti, all’interno di un’organizzazione, ne devono essere a conoscenza.
La presentazione al consiglio comporta anche un certo livello di responsabilità. È un buon modo per evidenziare l’impegno dell’organizzazione su questi temi delicati. La compliance, spesso, non è considerata una tematica sexy, soprattutto quando non ci sono irregolarità. Se le cose non si rompono è una buona cosa, ma dobbiamo evitare di essere compiacenti e avere scambi regolari su questi argomenti per far capire al consiglio di amministrazione i rischi esistenti e il modo in cui vengono gestiti.
Un buon punto di partenza è la relazione con i dirigenti che hanno il compito di monitorare compliance, privacy e rischio informatico che possono supportare l’inserimento della cybersecurity nelle agende delle riunioni. Avvalersi del loro supporto è fondamentale per dare rilevanza al tema.
I CISO, e gli esperti di sicurezza, devono tenere a mente che la cybersecurity, la compliance e la privacy sono tematiche strategiche per il business e non vanno affrontate solo dal punto di vista tecnico. IT, SecOps e altre funzioni tradizionalmente affrontate da ingegneri e programmatori non devono essere viste solo come strumenti, la sicurezza informatica va oltre il semplice firewall.
Le organizzazioni che danno questa rilevanza alla sicurezza informatica avranno più possibilità di inserire la cybersecurity, regolarmente, nell’agenda del consiglio di amministrazione riducendo così il rischio.
A cura di Paola Zeni, senior director of global privacy di Palo Alto Networks
