Non è mai troppo tardi per ricordare quanto la cybersecurity debba essere presa più sul serio
Purtroppo i cda non prendono ancora sul serio la cybersecurity, lasciando le organizzazioni vulnerabili agli attacchi informatici, con i dirigenti che prestano attenzione solo dopo che le cose sono andate male.
Bisogna che le organizzazioni arrivino ad un punto in cui capiscano che è che questo è il tipo di minaccia a cui devono pensare. Questo è il tipo cose che dovrebbero essere discusse in sala riunioni tanto quanto le questioni di rischio legale o finanziario: l’amministratore delegato dovrebbe iniziare a vedere il CISO tutte le volte che vede il direttore finanziario.
Questo genere di conversazione non dovrebbe essere semplicemente tecnico ma il tipo di scambio e riunione che si tiene e a cui si da importanza in una sala del consiglio.
Lo conferma anche il capo della National Cyber Security Centre (NCSC), Lindy Cameron.
“Voglio che le organizzazioni imparino quanto può essere grave l’impatto quando questo va storto”, ha detto Cameron. E anche se un’organizzazione pensa di avere un piano in atto, le cose possono comunque andare storte se alcuni elementi di base non vengono presi in considerazione.
L’aneddoto da ricordare è stato quando Cameron ha parlato con organizzazioni che sono entrate il lunedì mattina per scoprire che non potevano accendere i loro computer o telefoni perché il piano di backup non era stato stampato e quindi non erano riusciti a trovare un numero di telefono!
Le organizzazioni vittime di un attacco informatico lo useranno spesso per ridefinire la priorità della loro strategia di sicurezza.
Non c’è dubbio che le organizzazioni che hanno sperimentato un attacco ransomware o cyber attacco hanno un senso molto più viscerale di come ci si senta a subirlo, ma è meglio non aspettare che entrino i ladri in casa per mettere su un sistema di allarme !
Nel frattempo, i consigli di amministrazione dovrebbero essere coinvolti quando si tratta di pianificazione di emergenza contro gli attacchi informatici: sono più propensi a comprendere le potenziali minacce se vengono discusse non come un problema tecnico, ma un problema di rischio, in modo simile a come considererebbero il rischio finanziario o legale.
È lo stesso di qualsiasi pianificazione di emergenza sensata. Vale la pena riflettere su qual è lo scenario peggiore possibile, qual è la cosa che potrebbe andare storta che si deve gestire.
Lo scenario peggiore possibile dipende dall’organizzazione; potrebbe essere una violazione dei dati, potrebbe essere un’interruzione dei servizi o potrebbe essere un’interruzione dei sistemi cyber-fisici. Ma la cosa importante è che le organizzazioni pensino ai rischi informatici là fuori e abbiano un piano per difenderli e mitigarli mettendo in atto una solida strategia di cybersecurity e dotandosi di apposite soluzioni.