I responsabili della sicurezza informatica sono sempre più coinvolti nelle decisioni aziendali. Secondo il più
recente studio pubblicato da Kaspersky, l'89% dei Chief Information Security Officer (CISO) viene regolarmente convocato dal consiglio di amministrazione. Gli viene chiesto di dispensare
consigli sull’attività aziendale.
Questo non significa necessariamente che vengano stanziati più fondi alla sicurezza. È innegabile tuttavia una maggiore attenzione all'Information Security.
Lo studio indipendente è stato condotto nel terzo trimestre del 2019 e ha coinvolto 305 CISO a livello globale. È emerso che il top management consulta i responsabili della sicurezza informatica, indipendentemente dalla struttura gerarchica dell’azienda. Il 23% dei CISO riporta direttamente al consiglio di amministrazione. Il 60% dichiara che è richiesto il suo intervento soprattutto nei casi in cui si verifica un
incidente di sicurezza informatica.
I dirigenti, comunque, sono attenti anche quando si tratta di stabilire come proteggere l’azienda nel presente e nel futuro. Il 57 percento dei responsabili della sicurezza IT intervistati programma regolarmente riunioni con il consiglio di amministrazione. Al 56 percento viene richiesto di dare la propria opinione sui futuri progetti IT.
Nonostante questo, i CISO incontrano ancora difficoltà quando si tratta di
giustificare le spese necessarie per la
sicurezza informatica. La maggior parte delle aziende considera gli investimenti di sicurezza ancora parte del budget IT. Ne segue che il 43% dei CISO ritiene di essere in diretta concorrenza con altre iniziative della divisione IT o con altre attività aziendali. Questo rappresenta una delle tre sfide principali quando si tratta di proporre investimenti per la sicurezza informatica.
Come fare, dunque, per essere più convincenti quando si parla al consiglio di amministrazione?
Gli esperti di Kaspersky consigliano innanzi tutto di accantonare le comunicazioni ad hoc. Meglio
aggiornamenti regolari con i responsabili del business. Così facendo il consiglio di amministrazione sarà costantemente aggiornato sulle misure di sicurezza e sulle priorità strategiche.
Il secondo consiglio è di
parlare in una lingua che il top management possa capire. I dirigenti raramente hanno un background tecnico, quindi è importante evitare il gergo informatico. Meglio puntare sui vantaggi e le opportunità di business specifiche, quando si parla di misure di sicurezza.
Terzo, assicurarsi che i membri del consiglio di amministrazione ricevano una
formazione sulla sicurezza. Non occorrono corsi avanzati, ma quanto basta per avere una cultura di cybersecurity aziendale. Permetterà di comprendere il valore pratico e l'impatto sul business delle misure di sicurezza suggerite.
Veniamin Levtsov, VP Corporate Business di Kaspersky, commenta: "come dimostrato dalla ricerca, i consigli di amministrazione sono sempre più consapevoli dell'importanza della sicurezza informatica. Tuttavia, i CISO devono ancora lavorare molto per convertire questa consapevolezza in vero e proprio supporto".