Il 90% dei CISO intervistati viene coinvolto nelle decisioni di business e convocato regolarmente dal CdA, ma permangono difficoltà di budget

Sicurezza aziendale, come cambia il ruolo del CISO?

Secondo l’ultima ricerca globale di Kaspersky – commissionata a 451 Research per esplorare i fattori che determinano la cybersecurity secondo i responsabili della sicurezza aziendale – il top management consulta regolarmente i responsabili della sicurezza informatica, indipendentemente dalla struttura gerarchica dell’azienda, e il 23% dei CISO riporta direttamente al CdA. Nel 60% dei casi, i business leader richiedono il loro intervento soprattutto quando si verifica un incidente di sicurezza informatica interno. Nonostante ciò, i dirigenti risultano proattivi e attenti anche quando si tratta di stabilire come proteggere l’azienda nel presente ma anche nel futuro, indipendentemente dalle violazioni. Più della metà (57%) dei responsabili della sicurezza IT intervistati programmano regolarmente riunioni con il CdA e al 56% viene richiesto di dare la propria opinione sui futuri progetti IT.

Tuttavia, pur essendo riconosciuti come preziosi agli occhi dei decisori aziendali, i CISO incontrano ancora qualche difficoltà quando si tratta di giustificare le spese necessarie per la sicurezza informatica. Poiché la maggior parte delle aziende considera gli investimenti di sicurezza ancora parte del budget IT, il 43% dei CISO intervistati ritiene di essere in diretta concorrenza con altre iniziative della divisione IT o con altre attività aziendali e questo rappresenta per loro una delle tre sfide principali quando si tratta di proporre gli investimenti necessari per la sicurezza informatica dell’azienda.

“Come dimostrato dalla ricerca, i consigli di amministrazione sono sempre più consapevoli di quanto la sicurezza informatica sia una parte importante per il successo aziendale. Tuttavia, i CISO devono ancora lavorare molto per convertire questa consapevolezza in vero e proprio supporto. Utilizzare un linguaggio commerciale invece di quello tecnico, focalizzare la propria attenzione su come risolvere i problemi e condividere l’esperienza di terze parti per giustificare le misure importanti sono tutti elementi chiave per conquistare i responsabili aziendali”, commenta Veniamin Levtsov, VP di Corporate Business di Kaspersky.

Di seguito i consigli di Kaspersky per aiutare i CISO nell’adozione di una comunicazione efficace con i propri dirigenti:

  1. Passare da comunicazioni ad hoc ad aggiornamenti regolari con i responsabili del business aiuterà a mantenere il consiglio di amministrazione aggiornato sulle misure di sicurezza in esecuzione e ad acquisire maggiore consapevolezza sulle priorità strategiche.
  2. Parlare in una lingua che il top management possa capire. I dirigenti raramente hanno un background in ambito tecnico o di sicurezza, quindi è importante evitare il gergo informatico. È preferibile fare riferimento ai vantaggi e alle opportunità di business specifiche quando si parla di misure di sicurezza.
  3. Assicurarsi che i membri del consiglio di amministrazione ricevano una formazione sulla sicurezza. Questo non solo aiuterà a creare una cultura di cybersecurity a livello aziendale, ma evidenzierà anche il valore pratico e l’impatto sul business di misure di sicurezza informatica efficaci.