BusinessCommunity.it

06/07/2022

fare

La cybersecurity è una priorità e il CdA deve esserne coinvolto

Rick Vanover e Dave Russell (Veeam): le aziende non possono sperare di eliminare completamente le azioni legali legate ad attacchi. Ma possono assumere un ruolo attivo nel contrastarli

Settimana dopo settimana, mese dopo mese, le cause legali contro gli azionisti vittime di cyber attacchi fanno notizia. Capital One si è accordata per 190 milioni di dollari. Una causa collettiva è stata presentata contro Ultimate Kronos Group per presunta negligenza riguardo a un attacco ransomware, identificando un sistema di cybersecurity scadente come il problema principale.
Queste due notizie degli ultimi mesi sottolineano i rischi che le aziende affrontano nella loro continua guerra contro le minacce informatiche. Le aziende che vengono violate continuano a lottare con impatti immediati ed evidenti: tempi di inattività, perdita di dati, perdita di entrate, colpi alla loro reputazione e multe normative. Ma ora la posta in gioco sta aumentando. Più incidenti informatici innescano regolarmente azioni legali collettive da parte di consumatori, investitori e altre parti colpite, sostenendo che le aziende - e gli stessi CdA - avrebbero dovuto agire più diligentemente per proteggere le informazioni sensibili.
Naturalmente, praticamente ogni azienda ha fatto qualche passo per migliorare le pratiche di sicurezza informatica negli ultimi anni.

Violazioni di alto profilo a Target, Equifax, Marriott e altre aziende ben note hanno aumentato la consapevolezza e costretto i responsabili delle decisioni IT a rafforzare le reti aziendali e le politiche.
Ma le violazioni continuano ad arrivare, così come le cause legali. Il problema è che molte aziende non hanno ancora elevato la sicurezza informatica a una vera priorità per tutta l'organizzazione. Mentre questo si applica più alle PMI, è ancora un problema anche per alcune grandi imprese. La maggior parte si affida ancora ai manager IT di back-room per impostare e portare avanti le strategie di sicurezza. Molti non hanno coinvolto abbastanza i business leader nella strategia di cybersecurity o reso le minacce informatiche un punto fisso nell'agenda del Consiglio di Amministrazione.
È ora che lo facciano. Ecco quattro passi fondamentali che le aziende possono fare per dare priorità alla cybersecurity a livello di leadership.

Rafforzare le competenze informatiche del CdA


Il Consiglio di Amministrazione deve assumere un ruolo attivo nella preparazione alla cybersecurity.

Ma prima i direttori devono assicurarsi di essere all'altezza del compito.
Questo va oltre l'avere membri che conducono discussioni correttive con i leader IT e commerciali del personale. I membri del CdA hanno bisogno di istruirsi per affrontare la continua sfida della cybersecurity.
I consigli possono iniziare valutando i livelli di abilità informatica dei loro membri e assumere uno o più membri con esperienza in questioni informatiche. Questi specialisti informatici possono guidare le sottocommissioni e impegnarsi più direttamente con i leader aziendali e informatici sulle strategie informatiche.
In secondo luogo, l'intero consiglio dovrebbe ricevere una formazione annuale o biennale per comprendere il panorama della cybersecurity in costante evoluzione. Un consiglio che è ben versato nelle questioni informatiche può affrontare meglio i rischi, le responsabilità e le questioni tecniche che informeranno le decisioni strategiche che dovranno prendere.

Creare un libero scambio di informazioni


Una volta che il Consiglio di Amministrazione è al passo con i tempi, spetta al management sviluppare un meccanismo che promuova una comunicazione coerente sui rischi informatici e sulle strategie.


I manager dovrebbero riservare del tempo per un'intensa interazione sui piani, le procedure e le questioni in corso relative ai rischi di cybersecurity. È importante che il meccanismo includa le parti interessate da un'ampia varietà di dipartimenti - tutti, dal business all'IT allo staff legale alle risorse umane e al marketing. Mentre le tecnologie di cybersecurity saranno ancora controllate dall'IT, la strategia e l'implementazione attraversano tutti i dipartimenti e si estendono fino al CdA.
Le interazioni dovrebbero diventare una parte costante delle responsabilità continue del consiglio, e i manager dovrebbero svolgere il ruolo di educatori e facilitatori.

Designare uno sponsor esecutivo


Mentre il coinvolgimento nella cybersecurity si estende a tutti i dipartimenti, è importante mettere la creazione di un piano di risposta nelle mani di un solo individuo. Questa persona non deve sviluppare l'intero piano ma dovrebbe essere un leader che ha l'autorità di guidare il cambiamento e ottenere l'allineamento in tutta l'organizzazione. In teoria, il CIO, il CISO o il CSO dovrebbero essere ben posizionati per questo compito.



Ha più senso per un'organizzazione installare un business leader in questo ruolo, qualcuno il cui lavoro è collegato alle attività che generano entrate o alle operazioni piuttosto che alla tecnologia. La persona dovrebbe impegnarsi con i leader tecnologici, ma affrontare il compito con un focus sulla strategia aziendale. La tecnologia è fondamentale, ma i migliori piani di risposta sono inquadrati intorno a come le operazioni possono essere meglio preparate per una violazione e sostenute nel caso in cui si verifichi.

Assegnare i ruoli nell'organizzazione


Mentre il CSO e il CISO continueranno a impostare i programmi di sicurezza delle aziende, altri leader devono assumere ruoli attivi. I CFO devono garantire che un livello di sicurezza sia incorporato in tutti i processi finanziari dell'azienda. I direttori delle risorse umane devono esaminare più diligentemente i nuovi assunti e fungere da tramite per il comfort dei dipendenti con le pratiche di sicurezza. I responsabili delle vendite devono promuovere l'igiene della sicurezza, specialmente con gli agenti che viaggiano, il cui accesso virtuale li rende vettori primari per gli hacker.



In conclusione, data l'odierna società litigiosa, le aziende non possono sperare di eliminare completamente le azioni legali legate a questioni di sicurezza informatica. Ma possono assumere un ruolo attivo nel respingerle. Fare della cybersecurity una questione di leadership - estendendola a tutta l'organizzazione, fino al Consiglio di Amministrazione - è un passo nella giusta direzione.
Rick Vanover, Senior Director, Product Strategy, Veeam e Dave Russell, Vice President of Enterprise Strategy, Veeam


ARGOMENTI: marketing - retail - ecommerce - intelligenza artificiale - AI - IA - digital transformation - pmi - high yield - bitcoin - bond - startup - pagamenti - formazione - internazionalizzazione - hr - m&a - smartworking - security - immobiliare - obbligazioni - commodity - petrolio - brexit - manifatturiero - sport business - sponsor - lavoro - dipendenti - benefit - innovazione - b-corp - supply chain - export - - punto e a capo -

> Vai al sommario < - > Guarda tutti gli arretrati < - > Leggi le ultime news <

Copyright © 2009-2024 BusinessCommunity.it.
Reg. Trib. Milano n. 431 del 19/7/97
Tutti i Diritti Riservati. P.I 10498360154
Politica della Privacy e cookie

BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo


Copertina BusinessCommunity.it