I C-suite italiani a volte faticano a capire i loro colleghi della sicurezza IT e non sono sempre disposti a dimostrare la loro incomprensione. Lo rivela un sondaggio condotto da Kaspersky dopo che già uno studio di PwC ha evidenziato come, nonostante la cybersecurity sia un tema centrale in ogni azienda, più della metà dei dirigenti non è sicura che la spesa per la cybersecurity sia destinata ad affrontare i rischi più significativi.
Tornando al sondaggio di Kaspersky, il 19% dei dirigenti non IT dichiara di non sentirsi a proprio agio nel segnalare di non aver capito qualcosa durante una riunione con i responsabili IT e della sicurezza informatica. Nonostante la maggior parte nasconda la propria confusione perché preferisce chiarire tutto dopo la riunione o scoprirlo da solo, il 26,32% dei dirigenti non solleva ulteriori domande perché crede che i colleghi dell’IT non siano in grado di fornire spiegazioni chiare. Inoltre, il 26,32% si sente in imbarazzo nel rivelare di non aver capito l’argomento e il 21,05% non vuole apparire ignorante di fronte ai colleghi informatici.
C-suite italiani poco allineati alla cyber sicurezza in azienda
Sebbene tutti i top manager intervistati discutano regolarmente di questioni relative alla sicurezza con gli IT security manager, poco meno di un intervistato su dieci non ha mai sentito parlare di minacce come Botnet (7%), APT (7%) e Zero-Day exploit (7%). Allo stesso tempo, Spyware, Malware, Trojan e Phishing sembrano essere più familiari per i top manager.
Meno di un top manager su dieci ammette di non aver mai sentito citare i termini di cybersecurity come DecSecOps (9%), SOC (9%) e Pentesting (6%).
Come sottolineato da Sergey Zhuykov, Solution Architect di Kaspersky: «Il top management non IT non deve per forza essere esperto nella terminologia e nei concetti più complessi della cybersecurity e i responsabili della sicurezza IT dovrebbero ricordarselo quando parlano durante il consiglio di amministrazione. Per una collaborazione efficace, i CISO dovrebbero riuscire a focalizzare l’attenzione dei dirigenti C-level sui dettagli significativi e spiegare chiaramente cosa sta facendo esattamente l’azienda per ridurre al minimo i rischi di cybersecurity. Oltre a fornire metriche chiare agli stakeholder, questo approccio deve offrire soluzioni anziché problemi».
Per facilitare la comunicazione tra la sicurezza informatica e i C-suite (italiani e non), Kaspersky consiglia di:
- Considerare la sicurezza informatica come un elemento trainante per la crescita e l’innovazione dell’azienda. Per raggiungere questo obiettivo, il team di sicurezza informatica deve abbandonare le tattiche proibitive e spiegare piuttosto come l’azienda possa raggiungere i propri obiettivi mitigando i rischi di cybersecurity.
- I CISO devono impegnarsi attivamente nelle attività operative e costruire relazioni con gli stakeholder dell’azienda. Sebbene meno del 20% dei CISO abbia stabilito rapporti con i responsabili commerciali, finanziari e di marketing, per loro è difficile rimanere aggiornati sulle esigenze dell’azienda.
- Nelle comunicazioni con il consiglio di amministrazione, è necessario utilizzare argomentazioni basate su una valutazione delle minacce effettuata da parte di esperti, sullo stato di attacco della vostra azienda e sulle best practice.
- Spiegare al consiglio di amministrazione quali sono le principali responsabilità del team di sicurezza informatica. Se possibile, offrire loro l’opportunità di immedesimarsi in un CISO per avere un’idea delle sfide più importanti per la sicurezza informatica.
- Destinare gli investimenti per la cybersecurity in strumenti efficaci e che garantiscono un ROI. Gli strumenti che riducono il livello di falsi positivi, il tempo di rilevamento degli attacchi e quello dedicato a per ciascun caso e altre metriche sono importanti per tutti i team di sicurezza informatica.
Il report completo e ulteriori approfondimenti sui problemi di comunicazione tra C-level e responsabili della sicurezza IT sono disponibili QUI.
