Se i senior leader in un’azienda mancano dei livelli di conoscenza necessari per prendere decisioni tecniche e digitali serie, allora come possono affrontare i problemi di sicurezza informatica in modo rilevante?
Se lo è chiesto Check Point Software dopo la pubblicazione del report annuale Gartner 2019 CEO e Senior Business Executive Survey.
Da quest’ultimo, infatti, emerge che, a parte le preoccupazioni relative alla regolamentazione del commercio e al clima economico generale, i CEO vedono sempre più la necessità del business digitale per offrire nuovi prodotti e canali da cui generare ricavi, come un modo per rafforzare la loro crescita. L’82% degli intervistati ha dichiarato di avere in corso un’iniziativa di management o un programma di trasformazione digitale, rispetto al 62% del 2018.
Ma affinché il business digitale abbia successo è necessario coinvolgere l’intero team dirigenziale, mentre i risultati dell’indagine hanno mostrato che i CEO sono preoccupati per alcune posizioni manageriali che non possiedono competenze digitali forti, o addirittura rilevanti, per soddisfare le iniziative di crescita future.
E se la carenza di competenze digitali è proprio al vertice?
In media, infatti, i CEO ritengono che i responsabili delle vendite, della gestione del rischio, della supply chain e delle risorse umane siano quelli che maggiormente abbiano bisogno di diventare esperti del settore digitale.
Una volta che tutti i leader aziendali saranno più a proprio agio con la sfera digitale, sarà necessario sviluppare le nuove capacità necessarie per eseguire le loro strategie di business.
A rischio è anche la sicurezza informatica
Giustamente, è l’amministratore delegato che dovrebbe sollevare le preoccupazioni per la mancanza di competenze digitali nei suoi team principali. Tuttavia, dal punto di vista di Check Point Software, questo potrebbe non solo ostacolare la crescita, ma potrebbe potenzialmente introdurre dei rischi.
Un team dirigenziale composto da manager estremamente non tecnici da un lato, e da dirigenti più avanzati dal punto di vista digitale dall’altro, potrebbe essere esposto a un grande rischio di cattiva comunicazione. Inoltre, l’impasse potrebbe portare a veri e propri blocchi che impediscono l’attuazione di una strategia adeguata che comprenda le giuste priorità digitali, compresa la sicurezza informatica.
Una mancanza di comprensione può fare male
Un sondaggio pubblicato dal provider di controlli in cloud ERP Maestro dimostra che, mentre l’80% dei professionisti della security si preoccupava molto della sicurezza, solo il 25% degli alti dirigenti condivideva la stessa preoccupazione. Alla domanda sulla strategia di sicurezza informatica, il 23% non ne sapeva nulla.
Con la preoccupante mancanza di competenze digitali e informatiche nel team dirigenziale, non ci stupisce scoprire che, secondo NBC News, l’ex CSO di Equifax fosse, di fatto, un laureato in composizione musicale, senza laurea in security. Equifax è classico caso di studio sugli effetti, per un’azienda, di mancanza di una sicurezza adeguata e, se le recenti notizie sono vere, si è trattato di un cyberattacco nation-state.
Per poter delineare e implementare una strategia di sicurezza informatica completa, il personale dirigenziale deve essere allineato e comprendere l’intera portata di questo importante compito. Anche la consapevolezza della sicurezza deve influenzare tutte le decisioni importanti per l’azienda.
Attualmente oltre il 90% delle aziende ha adottato servizi cloud eppure il 67% dei team di sicurezza lamenta una mancanza di visibilità sulla propria infrastruttura cloud, sulla sicurezza e sulla conformità.
L’importanza di dare il buon esempio
Un altro punto importante, spesso trascurato, è che gli alti dirigenti devono dare l’esempio. Questo, purtroppo, si è dimostrato difficile. Un recente articolo di Dark Reading – The Real Reason Why the C-Suite Isn’t Complying with Security – “ha rivelato alcuni interessanti dettagli su come i leader aziendali vedono la sicurezza informatica. L’articolo ha citato i risultati di un sondaggio che mostra che il 57% dei professionisti dell’infosec a livello globale afferma che i dirigenti chiave hanno meno probabilità di conformarsi alle politiche di cybersecurity”.
Portare la sicurezza informatica agli alti livelli sta diventando sempre più importante. Come ci si può aspettare che i dipendenti si fidino del team dirigenziale, che si attengano alle loro regole o che prendano sul serio i problemi di sicurezza, se i vertici non lo fanno?
Rendere la cybersecurity una priorità è sempre più importante
Se questo non bastasse, i manager e gli alti dirigenti sono un bersaglio crescente per gli attacchi phishing di social engineering. Il Verizon Data Breach Investigations Report di quest’anno ha mostrato che le minacce di social engineering che colpiscono i C-Level sono aumentate di 12 volte nel 2019, rispetto ai livelli del 2018.
Spesso gli attacchi phishing si sono presentati sotto forma di e-mail che sembravano passare da un alto dirigente a un altro. E, poiché le azioni a breve termine di questi dirigenti di alto livello sono raramente messe in discussione, queste e-mail sono sempre più spesso vettore di attacchi mirati.
Quando è sempre più evidente che gli attacchi informatici costano alle organizzazioni milioni di dollari in perdita di entrate a causa dei danni al valore del marchio e alla reputazione, nonché dei tempi di inattività, la sicurezza informatica deve essere affrontata e presa sul serio in tutti gli aspetti del team dirigenziale.
Secondo l’ultimo studio annuale di IBM Cost of a Data Breach, il costo medio della violazione dei dati è aumentato del 12% negli ultimi cinque anni.
Ciò potrebbe anche creasceere con l’aumento della gravità degli attacchi ransomware – come si è visto negli attacchi del 2019 contro le amministrazioni pubbliche degli Stati Uniti. I criminali stanno scegliendo attentamente i loro obiettivi di riscatto, con l’obiettivo di estorcere il massimo delle entrate possibili.
Come fare della sicurezza una priorità
Dal punto di vista di Check Point Software, il consiglio al comparto dirigenziale è di dare priorità almeno alle seguenti aree:
- Adottare un approccio olistico alla sicurezza e implementare un approccio proattivo che includa soluzioni preventive di sicurezza informatica. Con un’architettura integrata e una gestione centralizzata, è possibile bloccare in tempo reale sia le minacce note che quelle sconosciute.
- Rendere la sicurezza informatica una priorità strategica in tutte le decisioni aziendali.
- Aumentare la consapevolezza della sicurezza tra tutto il personale. Per fermare la quinta generazione di attacchi avanzati, è fondamentale tenere traccia delle attuali tendenze in materia di sicurezza e adottare un approccio completo e “Secure Your Everything” per proteggere tutte le aree di attacco – mobile, client, data center, cloud, rete e sistemi IoT.