Vi ricordate una delle scene più memorabili del film “Jerry Maguire”, in cui si vede il personaggio di Tom Cruise, un agente di calcio, implorare il suo unico cliente con la memorabile frase “help me, help you” “aiutami, aiutati”… ? Maguire ha continuato a ripetere la battuta, sperando di far crollare il giocatore, cercando di convincerlo a cambiare atteggiamento nella speranza che lo aiutasse a ottenere un grosso contratto dalla sua squadra.
Qui si può fare un parallelismo con quanto succede tra i CISO e i loro consigli di amministrazione. Gli attacchi informatici a una società possono costare un prezzo elevato, in termini di denaro, reputazione e perdita di affari. I CISO combattono giorno e notte per impedire alla loro azienda di subire un attacco informatico paralizzante, ma troppo spesso non ricevono l’aiuto o il supporto di cui hanno bisogno per svolgere correttamente i loro ruolo. Di conseguenza, i CISO spesso non riescono a ottenere abbastanza budget per assumere personale e acquistare i sistemi in grado di prevenire gli attacchi informatici, non possono sensibilizzare i dirigenti a prestare attenzione ai problemi di sicurezza informatica e non possono persuadere i consigli di amministrazione a concentrarsi maggiormente sulla loro attenzione alle esigenze di sicurezza informatica.
Affinché i CISO oggi abbiano successo, quindi, le loro responsabilità non devono includere solo la costruzione di una solida strategia di difesa informatica con un budget limitato, ma anche convincere i loro consigli di amministrazione aziendali – il gruppo alla fine responsabile del loro budget – che la cyber security deve essere una priorità di bilancio. Tuttavia, secondo un rapporto pubblicato dalla società di consulenza EY, il consiglio di amministrazione non è impegnato nel dibattito sulla sicurezza informatica. Nel rapporto, quasi la metà dei CISO afferma che il proprio consiglio di amministrazione “non ha ancora una piena comprensione del rischio per la sicurezza informatica” e che solo il 54% delle organizzazioni pianifica regolarmente la cyber security come punto dell’ordine del giorno del consiglio.
Elementi chiave per portare il CDA sul proprio fronte
Come possono quindi i CISO convincere i loro consigli di amministrazione che la spesa per la cyber security deve essere una priorità e come dovrebbero esprimere tale esigenza in un modo in cui i consigli di amministrazione possono relazionarsi?
La prima priorità per i CISO per portare avanti i propri obiettivi è garantire che i membri del consiglio di amministrazione comprendano i problemi di business – e non solo i problemi IT – coinvolti nella cyber security, sottolineando il danno che un attacco informatico può avere su un’organizzazione. L’utilizzo di studi di casi reali durante le riunioni trimestrali del consiglio aiuterà a raggiungere l’obiettivo, come la lezione sull’oggetto fornita dalla violazione dei dati di Yahoo nel 2013, forse la più costosa della storia.
Tale violazione è costata a Yahoo $ 50 milioni di danni, pagati ai clienti i cui dettagli sono stati rivelati; milioni di dollari in più in commissioni per il monitoraggio gratuito del credito che ha accettato di fornire alle vittime come parte del suo accordo; e uno sconto di 350 milioni di dollari sul prezzo di vendita a Verizon.
Tuttavia, non è sufficiente per i CISO evidenziare i potenziali danni che un attacco informatico può causare. Lavorando con i colleghi di tutta l’azienda, devono anche dimostrare in modo convincente i vantaggi che una solida ed efficace strategia di cyber security può avere per un’azienda, sottolineando l’opportunità di perseguire flussi di reddito aggiuntivi, indirizzare nuovi clienti e vendere a clienti esistenti.
Cosa deve vedere il CDA?
Proprio come il CEO presenta ai direttori i rapporti sul budget e sulla strategia aziendale, i CISO dovrebbero presentare piani di sicurezza, con dettagli su come i team di sicurezza pianificano di difendere l’azienda e cosa possono fare per ridurre al minimo i danni in caso di attacco. Una volta che le commissioni avranno compreso i problemi tecnici, saranno in grado di comprendere le strategie presentate loro e valutare se sia necessario fare ancora di più.
Per esporre ulteriormente le proprie ragioni ai membri del consiglio, i CISO dovrebbero proporre una struttura di governance formale, simile a quella che il consiglio utilizzerebbe per altri obiettivi aziendali, che consentirà un’efficace rendicontazione e analisi dei dati. Tale struttura dovrebbe includere audit e revisioni periodiche, assegnazione della proprietà, garanzia che i finanziamenti siano adeguati a soddisfare le sfide e le esigenze e lo sviluppo di meccanismi di monitoraggio e sistemi di responsabilità con KPI misurabili.
I membri di un consiglio di amministrazione di solito ottengono quella posizione a causa del loro senso degli affari. Ma nell’ambiente informatico di oggi, quell’esperienza aziendale deve essere filtrata attraverso la lente del potenziale impatto che un evento informatico può avere su un’azienda. Aiutando il proprio consiglio di amministrazione ad avere una mentalità “cyber-first”, i CISO si aiuteranno da soli, consentendo alla loro azienda di sviluppare una postura informatica più sana e robusta.