Negli ultimi due anni, sono state messe sotto attacco un’ampia serie di settori tra cui banche, retail, media, sanità e ecommerce. Le aziende oggetto degli attacchi sono nomi famosi, quali Facebook, Ebay, ecc., con la conseguente perdita di dati.
Tradizionalmente la gestione del rischio per la sicurezza informatica è stata lasciata al team IT, ma recenti incidenti hanno evidenziato tre motivi per cui anche CEO e CFO devono essere coinvolti più attivamente nella gestione del rischio di sicurezza informatica:
- Gravità dell’impatto aziendale
Le aziende stanno sempre più spesso sperimentando che gli attacchi informatici non rappresentano solo una problematica tecnica, ma che hanno anche conseguenze negative sia per l’organizzazione che per i dirigenti. Il caso di Equifax ha visto il licenziamento dei due top executive a causa della perdita di dati seguita all’attacco informatico del 2017. Quando la gravità di un cyberattacco può comportare il licenziamento del senior management team o addirittura il fallimento di un’azienda, la minaccia deve essere sottoposta alla valutazione del Consiglio di Amministrazione e non trattata come una attività unicamente di competenza del reparto IT. - La tecnologia è solo uno strumento per la gestione dei rischi informatici
Quando le organizzazioni considerano come gestire il rischio di sicurezza informatica, la soluzione è quella di implementare una tecnologia sofisticata. Questo è certamente il primo passo importante, ma è necessario considerare anche la sicurezza come una priorità aziendale a tutti i livelli organizzativi ed in tutte le funzioni aziendali. Molte aziende, purtroppo, non stanno ancora adottando questo cambiamento culturale aziendale. - Valutare il rischio
Un aspetto essenziale della valutazione di qualsiasi rischio è stabilire il valore del “patrimonio” da proteggere. Nel caso del rischio cibernetico, le organizzazioni spesso adottano tecnologie semplici ed economiche, nella maggior parte dei casi non adeguate alle sfide che ci aspettano nei prossimi anni. I team IT possono aiutare a capire la natura della minaccia e a come proteggersi ma la valutazione del patrimonio messo a rischio di violazioni è di competenza dell’Amministratore Delegato, del CFO e del Consiglio di Amministrazione. Data la gravità delle minacce in arrivo e gli strumenti da adottare per difendersi e contrastarle, CEO e CFO non possono più delegare la responsabilità al solo Reparto Informatico, ma devono lavorare in sinergia con loro.
Isab Informatica, realtà italiana operante da anni nel mondo della Cybersecurity, ha aiutato i propri clienti ad allineare i loro sistemi informatici con le reali necessità legate al mondo della sicurezza.