6 passaggi per coinvolgere il consiglio nel tuo programma di sicurezza informatica

Sicurezza aziendale

Come i CISO e i loro colleghi possono interagire meglio con i consigli di amministrazione per ottenere un consenso a lungo termine per iniziative strategiche

Phil Muncaster

11 ottobre 2023  · XNUMX€  , 4 minuto. leggere

Costruire un mondo digitale più sicuro richiede azioni su più fronti. Iniziative come Mese della consapevolezza sulla sicurezza informatica (CSAM) sono grandi opportunità per ricordare al grande pubblico le migliori pratiche importanti per gestione delle password, patch di vulnerabilità e altro ancora. Ma sebbene ciò possa contribuire a rendere la vita più dura ai criminali informatici che prendono di mira i consumatori, rappresenta comunque un’opportunità per portare i rischi informatici all’attenzione dei leader aziendali.

Negli Stati Uniti, lì è stato un aumento trimestrale del 114%. di violazioni dei dati segnalate pubblicamente nel secondo trimestre del 2, mettendo l’anno sulla buona strada per un altro record. In Europa, l’agenzia di sicurezza dell’UE L’ENISA ha messo in guardia nel 2022 di un aumento degli exploit zero-day, del ransomware-as-a-service, degli hacker a noleggio, attacchi alla catena di approvvigionamento e ingegneria sociale. Affrontare questo problema è in definitiva compito del CISO. Ma affinché questo ruolo sia efficace, ha bisogno del giusto supporto da parte del consiglio. Questo è il motivo per cui è così importante ottenere coinvolgimento e buy-in per i progetti.

Verso l'allineamento del consiglio IT

Spesso si è verificata una sorta di disconnessione tra la leadership aziendale e i responsabili dell'IT e della strategia informatica. In generale, la percezione della sicurezza è che sia necessario tenere a bada le minacce informatiche, ma non molto di più. Molti consigli di amministrazione potrebbero ancora vedere l’IT e la sicurezza informatica come un costo necessario ma non come un fattore che contribuisce alle entrate – e certamente non come un fattore abilitante per il business.

Il risultato finale è che nonostante Predice Gartner Se la spesa globale per la sicurezza e la gestione del rischio crescerà di oltre l’11% nel 2023, raggiungendo i 188 miliardi di dollari, potrebbe non essere necessariamente spesa in modo saggio. I consigli di amministrazione disimpegnati tendono a liberare il budget in modo frammentario e reattivo, ad esempio a seguito di una violazione. Ciò può portare a scarsi risultati e ad un accumulo di soluzioni puntuali che alla fine si rivelano un cattivo rapporto qualità-prezzo.

Infatti, secondo uno studio, solo due quinti (39%) dei decisori in materia di sicurezza ritengono che la leadership aziendale comprenda veramente il ruolo svolto dalla sicurezza informatica nel successo aziendale. Una quota simile (36%) della garanzia delle richieste viene vista solo attraverso la lente dei requisiti di conformità. Quindi, come possono i CISO e i loro colleghi interagire meglio con i consigli di amministrazione per ottenere un consenso a lungo termine per le iniziative strategiche?

Ecco sei suggerimenti:

• Parla la lingua giusta

Il primo passo verso un migliore allineamento del cyber-business deve essere compreso. Ciò significa parlare una lingua non fatta di bit e byte e complessi dettagli tecnologici, ma di rischio aziendale. Ciò renderà più semplice coinvolgere i leader del consiglio di amministrazione e ottenere il consenso per una specifica iniziativa strategica. Dite loro che un attacco ransomware potrebbe mettere offline 200 server e potrebbero pensare "e allora?" Ma spiega che ciò potrebbe causare un tempo di inattività di una settimana a un costo di 400,000 dollari l’ora e la reazione sarà molto diversa.   

• Misurare il rischio e renderlo rilevante

Parte del conversare in una lingua compresa da entrambe le parti si riduce alla condivisione di dati basati su metriche che traducono le informazioni sulla sicurezza informatica in misurazioni che interessano al consiglio di amministrazione e all’azienda. Le aree da considerare sono parametri che mostrano le prestazioni e l’efficacia dei controlli di sicurezza esistenti, per illustrare dove le cose funzionano bene e le aree che necessitano di miglioramento. Monitorarli nel tempo aggiungerà ulteriore impatto, così come i confronti con i parametri di riferimento del settore.

Quando li presenti al consiglio, mantieni le cose semplici e di alto livello. Ma non aver paura di usare storie aneddotiche dell'azienda per portare a casa un punto.

• Promuovere la sicurezza fin dalla progettazione e per impostazione predefinita

Secondo il World Economic Forum (WEF), il 43% dei leader aziendali ritiene probabile che un attacco informatico “colpisca materialmente” la loro organizzazione nei prossimi due anni. Sebbene sia positivo che apprezzino la gravità del rischio informatico, ciò riflette anche una mentalità del consiglio di amministrazione sempre più focalizzata sull’incanalamento delle risorse negli investimenti quotidiani piuttosto che in quelli strategici.

Il CISO deve persuadere i propri colleghi ai vertici a considerare la sicurezza informatica in modo più strategico e, così facendo, otterranno risultati migliori. Sicurezza fin dalla progettazione e il default è la migliore pratica promossa dai regolatori del GDPR e da altri. Ciò significa che le considerazioni sulla sicurezza devono essere integrate nelle nuove iniziative o prodotti aziendali fin dall’inizio, piuttosto che alla fine o, peggio ancora, dopo un incidente.

• Incontratevi più spesso

Secondo il WEF, oltre la metà (56%) dei CISO ora si incontra mensilmente o più spesso con il proprio consiglio di amministrazione. Questo è un grande passo avanti verso l’acquisizione del consenso da parte del consiglio di amministrazione per la sicurezza, soprattutto considerando la velocità con cui si evolve il panorama delle minacce. Tuttavia, occorre fare di più per promuovere la comprensione reciproca. Un modo è garantire che il CISO riporti direttamente al CEO, garantendo così a quest’ultimo una maggiore esposizione alla sicurezza informatica e che la leadership della sicurezza ottenga un feedback più diretto dall’azienda.

• Formalizzare i programmi di sicurezza informatica

Troppi programmi di sicurezza informatica sono ad hoc e focalizzati tecnicamente. Dovrebbero invece essere adeguatamente documentati, misurati rispetto a KPI e parametri pertinenti e formalizzati in una struttura top-down. Ciò contribuirà a consolidare il ruolo della sicurezza informatica nel business.

• Assumi alcuni BISO

Il responsabile della sicurezza delle informazioni aziendali (BISO) è un ruolo specifico di reparto o unità aziendale responsabile del collegamento sia con l'azienda che con il team di sicurezza. In tal modo, aiutano a trasformare la strategia di alto livello in passaggi operativi pratici. In questo modo, possono creare quella cultura della sicurezza fin dalla progettazione a cui ogni organizzazione dovrebbe aspirare e, così facendo, dimostrare ai consigli di amministrazione scettici che la sicurezza dovrebbe essere integrata in ogni parte dell’azienda.

Conclusione

Secondo il WEF, la recente instabilità geopolitica ha contribuito ad avvicinare le opinioni del CISO e del consiglio di amministrazione sull’importanza della gestione del rischio informatico. Oggi, il 91% di questa comunità complessiva crede che a evento informatico catastrofico e di vasta portata è piuttosto probabile nei prossimi due anni. Ma c'è ancora molta strada da fare. Per molte organizzazioni, ottenere l’importantissimo coinvolgimento e il consenso del consiglio d’amministrazione sarà un lavoro di mesi o addirittura anni. E, cosa più importante, potrebbe richiedere un cambiamento di mentalità non solo da parte dei leader aziendali, ma anche dei CISO.