Come parlare di cybersecurity in azienda

Quando si parla di “resilienza informatica” non s’intende soltanto adottare le giuste misure di sicurezza, ma anche le modalità in cui queste misure vengono implementate e gestite. Questo principio è stato riconosciuto anche dall’ultimo aggiornamento delle libee guida del NIST Cybersecurity Framework (versione 2.0), che ha inserito la governance negli obiettivi strategici generali, accanto alla capacità di identificare e rilevare le minacce, difendersi, rispondervi e riprendersi da un incidente.

La sicurezza è un gioco di squadra

La sicurezza si basa, quindi, su un gioco di squadra. Tuttavia, secondo i risultati dell’ultimo CIO Report di Barracuda Networks (il principale fornitore di soluzioni di sicurezza cloud-first), spesso i dirigenti delle aziende faticano a comprendere i rischi informatici. Poco più di un terzo (35%) delle piccole imprese intervistate nella ricerca internazionale ritiene che i vertici aziendali non percepiscano i cyberattacchi come un pericolo significativo, sebbene un quarto dello stesso campione ammetta che i dirigenti non vengono aggiornati frequentemente sulle minacce che incombono sulle organizzazioni.

«Per i dirigenti – ha spiegato Riaz Lakhani, Chief Information Security Officer di Barracuda Networks – può essere complicato comprendere i rischi informatici a cui una realtà come la loro è esposta. Non si tratta di incapacità da parte del management, perché non è facile preoccuparsi di qualcosa che non si conosce o capisce appieno. Per questo motivo, i CISO devono essere dei bravi divulgatori, capaci di coinvolgere le persone che popolano i diversi livelli dell’organizzazione nei temi delle politiche di sicurezza e della risposta agli incidenti. Il tempo dedicato all’ascolto e alla conoscenza dei principali stakeholder dell’azienda, infatti, è uno dei migliori investimenti che si possano fare».

3 consigli per affrontare il tema della cybersecurity

A questo proposito, gli esperti di Barracuda hanno delineato 3 consigli per i CISO (Chief Information Security Officer) per affrontare il tema della cybersecurity in azienda, sensibilizzare diverse figure in merito e rafforzare così la postura di sicurezza dell’intera organizzazione.

• Costruire relazioni solide con i profili tecnici. Ingegneri, sviluppatori e ricercatori di sicurezza sono le persone a cui i CISO possono doversi rivolgere per richieste urgenti in caso di eventi informatici imprevisti. Per questo motivo, è fondamentale instaurare legami solidi e intavolare conversazioni con loro per capire il loro punto di vista sulla sicurezza e sulle misure di protezione.
• Programmare incontri regolari con i senior manager e i consigli d’amministrazione. Le riunioni periodiche con i responsabili delle aree critiche di rischio – come il reparto ingegneristico, finanziario e legale – e con i consigli d’amministrazione sono occasioni chiave da pianificare per esaminare l’evoluzione del panorama delle cyber minacce. Per far sì che tali incontri siano fruttuosi, è fondamentale imparare a conoscere i diversi membri e trovare la chiave comunicativa più adatta a catturare il loro interesse su questi temi. A tal fine, diventa ancora più importante assicurarsi di esporre concetti legati alla sicurezza in modo chiaro e comprensibile, tenendo sempre in considerazione che molte persone possono non avere background tecnologici.
• Svolgere esercitazioni tabletop periodiche sulle minacce più diffuse. Un buon modo per mantenere alta l’attenzione di dirigenti e responsabili sul mutevole scenario della cybersecurity consiste nell’effettuare regolarmente esercitazioni che riproducano un attacco o una violazione della sicurezza informatica. Tali simulazioni aiutano a chiarire le cause e le dinamiche degli incidenti, al netto dei danni, dell’impatto e dei costi reali. Questi mock test possono essere uno strumento utile per riunire team IT, di sicurezza e manager di diverse aree per lavorare in sinergia e valutare eventuali piani d’azione da attuare in situazioni di emergenza.

«I dirigenti e i consigli d’amministrazione – ha concluso Keri Pearlson, membro del CdA di Barracuda Networks –hanno un grande interrogativo da porsi: come possiamo essere resilienti in un mondo in cui gli incidenti informatici sono comuni, imprevedibili e potenzialmente distruttivi? Il dialogo deve essere incentrato sui rischi prioritari che ogni azienda deve affrontare, ad esempio nella catena di fornitura, e sulle possibili conseguenze di un attacco informatico andato a buon fine. I consigli d’amministrazione devono essere coinvolti e sapere che il CISO ha valutato non solo le modalità per tenere lontani gli hacker, ma anche quelle per rispondere e riprendersi da un incidente, in modo che le operazioni possano continuare e l’azienda non ne risulti danneggiata».