Come sensibilizzare i leader sull’importanza dell’investimento in Cybersecurity

5 min

Nonostante l’aumento degli attacchi informatici degli ultimi anni, sono ancora poche le aziende che si impegnano in investimenti per la sicurezza informatica interna. Il paradosso arriva poi dalle organizzazioni che, pur vendendo soluzioni di Cybersecurity a terzi, utilizzano sistemi interni datati o carenti. Il digitale espone i nostri dati a forti rischi e i Chief Information Security Officer (CISO) dovrebbero sensibilizzare i leader su questa tematica in cui prevenire è decisamente meglio che curare.

Vuoi ascoltare l’audio dell’articolo? Clicca play ⇓

Letto da: Linda Grasso

4 aspetti su cui puntare per convincere i leader a investire in Cybersecurity

I Chief Information Officer (CIO) e i CISO conoscono perfettamente i rischi di una scorretta protezione dei dati aziendali. Tuttavia, quando devono spiegarli ai leader o ai manager di un’azienda cadono spesso nell’errore di utilizzare termini complessi o nel dilungarsi sulla parte tecnica a discapito di quella pratica. È nella parte attuativa che risultano evidenti i vantaggi per l’azienda in termini economici e di impatto sul business. Per questo è importante agire sin dalla prima presentazione di una soluzione di Cybersecurity.

1. Una comunicazione chiara e coinvolgente

Quando ci si siede intorno ad un tavolo, che sia una riunione interna con il reparto per la sicurezza informatica o che l’esperto sia un consulente esterno è necessario che si instauri un rapporto di fiducia. Soprattutto se decidiamo di esternalizzare la tutela del valore più importante di un’azienda: i dati e le informazioni riservate. La persona che parla dovrà trasmettere fiducia prima attraverso la comunicazione non verbale e successivamente con una presentazione concreta, chiara ed esaustiva. I software di Cybersecurity non sono dei prodotti spot ma delle soluzioni continuative nel tempo, quindi, il rapporto che si instaurerà tra il team e i dirigenti dovrà essere solido.

Il CEO, o chi per lui prende decisioni, non vuole ascoltare un discorso monotono sulle qualità di un soluzione o aspetti tecnici che non sa come si ripercuoteranno sull’intera organizzazione. Le slide o il materiale creato per la riunione dovrà essere cucito sul potenziale cliente utilizzando i suoi dati e i processi interni.

Meglio se, al posto di freddi dati e statistiche, si utilizzi una storia (tecnica dello storytelling) per calare quella realtà in un’ipotetica situazione a rischio. Prendendo, ad esempio, una figura trasversale a più reparti si può simulare un ipotetico attacco hacker durante le attività abituali. Mostrare com’è semplice farsi ingannare da una mail che simula le conversazioni interne rende più concreto il pericolo.

Leader e Cybersecurity

2. Cyber everywhere: mostrare tutti i settori coinvolti

Sia che l’azienda sia dotata di un reparto per la sicurezza informatica interno, sia che ci si affidi ad un consulente esterno, questo tipo di soluzione coinvolgerà tutti i reparti e i dipendenti. Il leader deve comprendere che, la strategia di gestione del rischio informatico, non è un’attività di competenza esclusiva del reparto IT. I dati riservati e sensibili interessano tutta l’azienda e non è sufficiente implementare un software.

Bisogna formare i dipendenti, mostrare quali sono le possibili minacce e cosa fare quando compare un alert di attacco. Ma anche come attivare la protezione su alcuni dati ed escluderne altri. Insomma, la tecnologia offre opportunità e facilita il processo ma la tutela necessita di comportamenti responsabili e una consapevolezza che ogni dipendente dovrà raggiungere.

Quale sarà l’elemento chiave che ogni imprenditore vorrà conoscere? Subito dopo l’investimento economico da sostenere, il tempo è un’altra variabile determinante. Se dovrò coinvolgere tutti i reparti voglio sapere per quanto tempo dovranno mettere in pausa le loro attività, quanto durerà la formazione, ma anche quale sarà l’impatto sull’intero ecosistema aziendale.

Avendo sottolineato che la strategia di gestione del rischio informatico coinvolge tutti i dipartimenti e non solo l’IT, è utile esplorare ulteriormente come le innovazioni tecnologiche influenzano le nostre aziende e società in generale. Per approfondire questi temi, consiglio la lettura del libro ‘Toward a Post-Digital Society: Where Digital Evolution Meets People’s Revolution’, che offre un’analisi approfondita dell’impatto delle tecnologie digitali sul futuro che ci attende.


Per convincere i leader ad investire in Cybersecurity bisogna puntare su una comunicazione chiara, esaustiva e personalizzata. Share on X

3. Illustrare l’ecosistema di Cybersecurity e le skills aziendali richieste

Per far fronte alle minacce digitali è necessario creare un vero e proprio ecosistema di Cybersecurity che inglobi tecnologie, investimenti finanziari, organizzazione e skills delle risorse umane. I leader per poter prendere decisioni, che implichino un alto grado di responsabilità, dovranno assicurarsi che ci sia una collaborazione intersettoriale.

Diffondere una cultura attenta alla sicurezza aziendale significa ragionare in quest’ottica sia in fase strategica che tattica, riservando una parte della pianificazione di ogni settore alla Cybersecurity. Il consulente o un CISO interno dovrà aiutare i leader a comprendere che per creare un ecosistema che funzioni è necessario passare dalla consapevolezza di un’adeguata protezione dei dati alla cultura della sicurezza.

Sarà, quindi, necessario stilare un Cyber Risk Assessment che:

  • identifichi le aree a maggior rischio;
  • preveda delle soluzioni studiate ad hoc per la protezione dei dati;
  • rilevi eventuali bug o minacce;
  • e definisca il Cyber Emergency Response Plan, ovvero come rispondere agli attacchi e le procedure per il recupero dei dati.

Per riportare questo processo in tutti i settori aziendali sarà necessario formare le risorse sulla base delle attività che svolgono e fornirgli le competenze necessarie a procedere autonomamente inglobando le tecniche della sicurezza alle loro mansioni.

4. Una spiegazione dell’impegno finanziario richiesto e dell’impatto sul business

Il vero focus della riunione è la parte finanziaria relativa all’investimento da intraprendere e i dati che mostrano l’impatto che tale implementazione genererebbe in azienda. I dirigenti e i membri del consiglio direttivo devono conoscere tutte le variabili che riguardano i rischi e le opportunità legate alla sicurezza così da comprendere il reale valore dell’operazione.

Inoltre, sarà fondamentale conoscere i tempi di azione per far sì che il finanziamento sia adeguato e tempestivo. Nell’esposizione i CISO dovranno evidenziare:

  • le metriche utili a proteggere le informazioni, controllare i sistemi e verificare i comportamenti umani;
  • le misure proattive che mitigheranno eventuali minacce;
  • le strategie a lungo termine comprese di obiettivi, investimenti tecnologici e di servizi e i ritorni sugli investimenti (ROI)
  • l’impatto dell’implementazione sulle procedure interne (tempi di installazione, formazione e come cambieranno i tempi di svolgimento della attività)
  • quali saranno i costi operativi, di gestione e di manutenzione nel tempo.

Se i leader hanno compreso a fondo la gravità e i rischi di un attacco informatico nella loro azienda, ascolteranno con attenzione questa fase. Il nostro report “La resilienza informatica nei tempi moderni – Strategie e approfondimenti per i leader di domani” enfatizza come perdere i dati dei clienti, fermare la produzione o le attività per un attacco ai sistemi rappresentino costi di immagine ed economici notevoli, evidenziando che poche aziende sono disposte a correre questi rischi. Se lo fanno, è perché sono inconsapevoli o perché non hanno realmente compreso l’intero processo. La consultazione di questo report può fornire le conoscenze necessarie per affrontare con maggiore consapevolezza le minacce alla sicurezza informatica.

Iscriviti alla nostra newsletter