Molti recenti attacchi di alto profilo testimoniano la vulnerabilità delle aziende alla crescente intensità e complessità delle minacce informatiche, un fenomeno di cui i consigli di amministrazione stanno prendendo atto. Non molto tempo fa, questi ultimi consideravano i problemi di sicurezza di competenza dei CISO o dei CIO. Ora finalmente gli dedicano la giusta attenzione.
Un nuovo report dal titolo L’approccio dei consigli di amministrazione alla sicurezza informatica nel 2022 di Proofpoint e Cybersecurity at MIT Sloan (CAMS), rivela che la sicurezza informatica è una delle priorità per i consigli di amministrazione. Per questo report abbiamo intervistato 600 membri dei consigli di amministrazione di tutto il mondo. Il 77% di loro concorda sul fatto che la sicurezza è una delle loro priorità e il 76% tratta l’argomento almeno una volta al mese. Questo maggiore interesse ha aumentato la fiducia dei consigli di amministrazione nell’efficacia dei loro sforzi: tre quarti ritengono che il loro consiglio di amministrazione comprenda il rischio sistemico e il 76% ritiene che siano stati fatti investimenti adeguati in materia di sicurezza.
Tuttavia, dato il rapido aumento del numero di incidenti di sicurezza e di violazione dei dati, e sulla base di altri dati del nostro report, risulta chiaro che non le misure previste non sono sufficienti per garantire la protezione e la resilienza delle aziende. Abbiamo osservato che quasi due terzi dei membri dei consigli di amministrazione intervistati ritengono probabile che la loro azienda sia a rischio di un attacco informatico grave nei prossimi 12 mesi e quasi la metà ritiene che la loro azienda non sia preparata per affrontare un attacco mirato.
Confrontando le sensazioni dei membri dei consigli di amministrazione con i risultati del nostro recente report Voice of the CISO 2022, abbiamo identificato alcuni dei motivi per cui quella sensibilizzazione non si traduce in azione. ad esempio, c'è uno scollamento tra le opinioni dei consigli di amministrazione e dei CIO non solo per quanto riguarda i rischi e le minacce, ma anche sul piano delle relazioni.
Per esempio, il 65% dei membri del consiglio di amministrazione ritiene che la propria azienda sia a rischio di subire un attacco informatico grave, rispetto a solo il 48% dei CISO. Cosa sanno i CISO che sfugge ai membri del consiglio? I CISO utilizzano un gergo troppo tecnico che rende le loro argomentazioni di difficile comprensione per i consigli di amministrazione?
Oppure questo scollamento è il risultato di relazioni tese? Secondo il nostro report, il 69% dei membri del consiglio di amministrazione afferma di non andare d’accordo con i propri CISO, opinione condivisa solo dal 51% dei CISO. Se non sono d'accordo nemmeno sullo stato delle loro relazioni, come possono esserlo sui problemi di sicurezza? È difficile ottenere il sostegno del consiglio di amministrazione per una strategia di protezione se le priorità di entrambe le parti non sono allineate.
Poiché i criminali informatici sfruttano la nostra crescente dipendenza dall'economia digitale, è più importante che mai che i consigli di amministrazione e i CISO siano sulla stessa lunghezza d'onda. Senza una solida relazione tra il consiglio di amministrazione e il CISO di un’azienda, la protezione dei collaboratori e la difesa dei dati saranno oggetto di una lotta costante. Per garantire il successo costante dell’azienda è essenziale che le due parti lavorino in perfetta armonia.
Considerando la divergenza che abbiamo rilevato, non sorprende che solo due terzi dei membri del consiglio di amministrazione considerino l'errore umano la loro maggiore vulnerabilità informatica, anche se il World Economic Forum ha rilevato che questo rischio causa il 95% di tutti gli incidenti informatici. I collaboratori sono la tua prima linea di difesa, ma rischiano di esporre la tua azienda vulnerabile alle minacce interne ed esterne se non sono consapevoli di tali vulnerabilità e non sanno come mitigare questi rischi. Tutti i collaboratori dell’azienda, inclusi i membri del consiglio, devono esser in grado di identificare le potenziali minacce e sapere come contrastarle.
I membri del consiglio di amministrazione hanno un ruolo fondamentale nel promuovere la cultura della sicurezza e la resilienza dell'azienda e devono fungere da modello, non solo adottando comportamenti che limitano i rischi, ma anche definendo le priorità a tutti i livelli dell'azienda. Sono lieta di constatare che finalmente stanno prendendo sul serio il ruolo che giocano nella sicurezza informatica. Ma affinché il loro entusiasmo si traduca in azione, devono poter contare sui CISO come partner strategici.
Visita https://www.proofpoint.com/it/resources/white-papers/board-perspective-report per leggere il report L’approccio dei consigli di amministrazione alla sicurezza informatica nel 2022.