Negli ultimi 12 mesi gli attacchi informatici sono stati incessanti. Mentre le aziende di tutti i tipi sono alle prese con violazioni di dati di alto profilo, ransomware e attacchi alla supply chain, le discussioni sulla sicurezza informatica in seno ai consigli di amministrazione si fanno sempre più critiche. Allo stesso tempo, i membri del consiglio di amministrazione ritengono che le loro aziende siano meno preparate ad affrontare i problemi di sicurezza informatica rispetto all'anno precedente.
Queste sono solo alcune delle conclusioni del nostro secondo sondaggio annuale L’approccio dei consigli di amministrazione alla sicurezza informatica nel 2023 condotto tra i membri dei consigli di amministrazione di un'ampia gamma di settori in tutto il mondo.
Partiamo da alcuni dei risultati positivi del nostro secondo report annuale sull’approccio dei consigli di amministrazione. Dei 659 membri dei consigli di amministrazione che abbiamo interpellato in 12 paesi:
- 73% pensa che il proprio consiglio di amministrazione assegni alla sicurezza informatica una priorità elevata
- 72% ritiene che il proprio consiglio di amministrazione comprenda le minacce che si trova ad affrontare
- 70% sono concordi nell’affermare di aver investito in modo adeguato in risorse
Tuttavia, il rafforzamento della sensibilizzazione e l’aumento degli investimenti non si traducono in un miglior livello di sicurezza. Il 73% dei membri del consiglio di amministrazione ritiene che la propria azienda rischi di essere l’obiettivo di un importante attacco informatico nel corso dei prossimi 12 mesi, rispetto al 65% nel 2022. E il 53% pensa che la propria azienda non sia preparata ad affrontare un attacco informatico, rispetto al 47% dello scorso anno.
Questa evoluzione potrebbe riflettere la volatilità del panorama delle minacce dell'ultimo anno. Anche le preoccupazioni per le tecnologie emergenti, come l'intelligenza artificiale (IA) generativa, sono un fattore determinante. Oltre la metà (59%) degli intervistati ritiene che gli strumenti di IA generativa come ChatGPT rappresentino un rischio di sicurezza per la loro azienda.
Migliore comunicazione e accordo tra consigli di amministrazione e CISO
Un altro dato emerso dalla nostra ricerca è che il rapporto tra consigli di amministrazione e CISO sta migliorando. In primo luogo, hanno conversazioni più frequenti. Il 53% dei membri del consiglio di amministrazione dichiara di interagire regolarmente con i propri responsabili della sicurezza, rispetto al 47% del 2022. Ma c'è sempre un margine di miglioramento. Meno di due terzi (64%) dei membri del consiglio di amministrazione afferma di comprendere sufficientemente i problemi di sicurezza informatica per poterne discuterne con cognizione di causa con il proprio CISO.
Abbiamo anche scoperto che i consigli di amministrazione e i CISO sono più d'accordo quando interagiscono. Quasi due terzi (65%) dei membri del consiglio di amministrazione intervistati hanno dichiarato di essere in sintonia con il CISO. Questo risultato è in linea con le conclusioni del nostro report Voice of the CISO pubblicato a maggio. In quel report, il 62% dei CISO intervistati concordava di essere in sintonia con il loro consiglio di amministrazione in merito alle problematiche di sicurezza informatica rispetto al 51% nel 2022.
I membri dei consigli di amministrazione e i CISO potrebbero finalmente abbandonare una lunga storia di rapporti tesi, il che è ovviamente una buona notizia. Una maggiore armonia tra le due parti sarà determinante per gli sforzi delle loro aziende volti a migliorare il loro livello di preparazione e implementare gli investimenti strategici in sicurezza informatica negli anni a venire.
L’ulteriore ampliamento delle conoscenze in sicurezza informatica all'ordine del giorno del consiglio di amministrazione
Sebbene la presenza nel consiglio di amministrazione di un responsabile della sicurezza facente parte della direzione sia rassicurante, i membri del consiglio di amministrazione non possono essere soddisfatti. Ora che parlano la stessa lingua dei CISO, i membri del consiglio di amministrazione devono fare una valutazione onesta delle competenze di sicurezza informatica della loro azienda e intervenire per contribuire a colmare le lacune nelle sue difese.
La sensibilizzazione dei consigli di amministrazione non è più un ostacolo all’implementazione di una strategia di sicurezza informatica più aggressiva, ma tradurre tale sensibilizzazione in azione rimane una sfida.
Anche prima dell'annuncio delle recenti norme della SEC, era chiaro che i consigli di amministrazione dovevano approfondire la loro conoscenza dei rischi di sicurezza informatica. Devono inoltre assicurarsi che le loro strategie di mitigazione del rischio siano in grado di difendere adeguatamente i collaboratori e i dati, non solo nel panorama odierno delle minacce, ma anche in futuro.
Leggi il report L’approccio dei consigli di amministrazione alla sicurezza informatica nel 2023 per conoscere tutti i risultati del nostro sondaggio.