CFO: ci vogliono tre identità diverse per la sicurezza IT

Bonanno (Palo Alto Networks): sono quelle personale, aziendale e funzionale. Chi ricopre ruoli dirigenziali non deve essere perfetto, ma dimostrarle per poter creare una cultura aziendale in cui la cybersecurity sia inclusa in ogni azione e processo

C'è una frase del celebre guru del business Peter Drucker a cui faccio sempre riferimento: "La gestione è fare le cose nel modo giusto. La leadership è fare le cose giuste". L'affermazione di Drucker risale a molti anni fa, quando ancora non si sapeva nulla di ransomware, attacchi DDoS, trasformazione digitale o "threat intelligence', ma penso che queste parole siano estremamente appropriate per ogni figura dirigente che voglia aiutare la propria azienda a raggiungere il livello più elevato di protezione IT.
Anche per un CFO come me

Nonostante lavori in un'azienda globale specializzata in soluzioni di cybersecurity, non mi considero tecnicamente di pari livello dei colleghi CSO quando si tratta di bit, byte e bot. Questo non significa che non prenda seriamente il mio ruolo nella sicurezza, ogni giorno infatti prendo decisioni e agisco per supportare l'azienda, i nostri clienti e i partner a evitare i rischi IT e a limitarne l'impatto.

Ci sono tre modi di assumere un ruolo di leadership nella sicurezza informatica. Chi non è "tecnologico" come me non ha bisogno di avere una laurea in scienze informatiche o in informatica forense, né di aver lavorato per anni in un SOC o di monitoraggio delle anomalie del traffico di rete. Facendo riferimento all'espressione "gestione dell'identità", credo che i dirigenti non tecnici ne abbiano chiare tre distinte, ma correlate, quando si tratta di cyber sicurezza: personale, aziendale e funzionale.
Identità personale: fare la cosa giusta

Cuore pulsante dell'insieme di identità di un manager è la sua identità personale, che nel mio caso, è quella di dipendente di Palo Alto Networks legata a come utilizzo i servizi IT, gestisco i dati e proteggo me stessa e il mio datore di lavoro dalle minacce cyber. Ogni giorno, sono un'utilizzatrice di tecnologia e di dati e devo impegnarmi per agire responsabilmente per la sicurezza.

In questo ruolo, il mio datore di lavoro deve avere massima fiducia nella mia volontà e nella mia capacità di seguire le regole quando utilizzo sistemi e dati. A tutti i dipendenti non mancano le occasioni di prendere scorciatoie, per evitare di complicare il modo in cui si lavora, spesso caratterizzato da policy e procedure relative a ogni elemento, dalle password all'autenticazione per utilizzare dispositivi, applicazioni e servizi non autorizzati o non protetti. L'azienda si aspetta che si dimostri il più elevato livello di integrità personale, senza incrementare i rischi alla sicurezza. Non tutti gli utenti hanno responsabilità di gestione, ma tutti devono dimostrare l'impegno ad agire bene, come suggerirebbe il famoso regista Spike Lee: "Fai la cosa giusta".
Identità aziendale: passare ai fatti

In qualità di responsabile, gli obiettivi aziendali sono la mia priorità. Questo significa che devo conoscere le strategie di marketing, la roadmap di prodotto, la concorrenza, le normative e le aspettative dei clienti, la correlazione tra tutti questi elementi e i relativi passaggi legati alla cyber sicurezza.
Sono considerata una figura di riferimento in virtù della mia carica, ma la cosa si ferma qui. Devo essere un leader per la capacità di supportare il mio team nel mettere in campo ogni contromisura di sicurezza. Se non passo ai fatti nel dimostrare un approccio corretto alla protezione, perché dovrebbe farlo il mio gruppo? Altrimenti il mio staff potrebbe affermare, in modo molto semplice, e decisamente pericoloso: "Se scarica documenti aziendali sul suo dispositivo di casa, possiamo farlo anche noi senza la necessità di avvisare il team IT". Indipendentemente dal ruolo che si ricopra in azienda - marketing, vendite, ingegneria, legale, servizio clienti - è fondamentale dimostrare il valore e il rispetto delle policy di sicurezza, per far sì che vengano condivise anche dal vostro team.

Identità funzionale: investire nel futuro

Identità funzionale, essenziale nel mio ruolo di responsabile delle operazioni finanziarie in azienda. Ho il compito di valutare gli investimenti nel processo decisionale, per le soluzioni e i servizi di sicurezza e per gli strumenti di protezione interni.

Una delle mie funzioni principali è di aiutare a trovare un modo per "dare approvazione" quando si ritiene che una determinata policy o un programma siano di interesse per l'azienda. Nel mio ruolo di CFO ho il dovere di prendere decisioni nel lungo termine. Se pensiamo alla sicurezza, in cui tecnologia e minacce continuano a cambiare rapidamente, tutto questo diventa una sfida avvincente. Devo valutare i rischi e le opportunità con una visione sul lungo periodo, tenendo in considerazione dove saranno la nostra azienda, il settore e i clienti tra tre, cinque e anche dieci anni. Chi ricopre ruoli dirigenziali non deve essere perfetto, ma dimostrare le tre identità - personale, aziendale e funzionale - per poter creare una cultura aziendale in cui la sicurezza IT sia inclusa in ogni azione e processo.
Kathy Bonanno, chief financial officer and executive vice President at Palo Alto Networks