• Cultura Digitale per Leader Aziendali

Sicurezza Informatica

Come sensibilizzare i leader sull’importanza dell’investimento in Cybersecurity

Posted on by Carmen Di Nardo
4 min

Nonostante l’aumento degli attacchi informatici degli ultimi anni, sono ancora poche le aziende che si impegnano in investimenti per la sicurezza informatica interna. Il paradosso arriva poi dalle organizzazioni che vendono soluzioni di Cybersecurity a terzi ma i loro sistemi interni sono datati o carenti. Il digitale espone i nostri dati a forti rischi e i Chief Information Security Officer (CISO) dovrebbero sensibilizzare i leader su questa tematica in cui prevenire è decisamente meglio che curare.

Vuoi ascoltare l’audio dell’articolo? Clicca play ⇓

Letto da: Linda Grasso

4 aspetti su cui puntare per convincere i leader ad investire in Cybersecurity

I Chief Information Officer (CIO) e i CISO conoscono perfettamente i rischi di una scorretta protezione dei dati aziendali. Tuttavia, quando devono spiegarli ai leader o ai manager di un’azienda cadono spesso nell’errore di utilizzare termini complessi o nel dilungarsi sulla parte tecnica a discapito di quella pratica. È nella parte attuativa che risultano evidenti i vantaggi per l’azienda in termini economici e di impatto sul business. Per questo è importante agire sin dalla prima presentazione di una soluzione di Cybersecurity.

1. Una comunicazione chiara e coinvolgente

Quando ci si siede intorno ad un tavolo, che sia una riunione interna con il reparto per la sicurezza informatica o che l’esperto sia un consulente esterno è necessario che si instauri un rapporto di fiducia. Soprattutto se decidiamo di esternalizzare la tutela del valore più importante di un’azienda: i dati e le informazioni riservate. La persona che parla dovrà trasmettere fiducia prima attraverso la comunicazione non verbale e successivamente con una presentazione concreta, chiara ed esaustiva. I software di Cybersecurity non sono dei prodotti spot ma delle soluzioni continuative nel tempo, quindi, il rapporto che si instaurerà tra il team e i dirigenti dovrà essere solido.

Il CEO, o chi per lui prende decisioni, non vuole ascoltare un discorso monotono sulle qualità di un soluzione o aspetti tecnici che non sa come si ripercuoteranno sull’intera organizzazione. Le slide o il materiale creato per la riunione dovrà essere cucito sul potenziale cliente utilizzando i suoi dati e i processi interni.

Meglio se, al posto di freddi dati e statistiche, si utilizzi una storia (tecnica dello storytelling) per calare quella realtà in un’ipotetica situazione a rischio. Prendendo, ad esempio, una figura trasversale a più reparti si può simulare un ipotetico attacco hacker durante le attività abituali. Mostrare com’è semplice farsi ingannare da una mail che simula le conversazioni interne rende più concreto il pericolo.

Leader e Cybersecurity

2. Cyber everywhere: mostrare tutti i settori coinvolti

Sia che l’azienda sia dotata di un reparto per la sicurezza informatica interno, sia che ci si affidi ad un consulente esterno, questo tipo di soluzione coinvolgerà tutti i reparti e i dipendenti. Il leader deve comprendere che, la strategia di gestione del rischio informatico, non è un’attività di competenza esclusiva del reparto IT. I dati riservati e sensibili interessano tutta l’azienda e non è sufficiente implementare un software.

Bisogna formare i dipendenti, mostrare quali sono le possibili minacce e cosa fare quando compare un alert di attacco. Ma anche come attivare la protezione su alcuni dati ed escluderne altri. Insomma, la tecnologia offre opportunità e facilita il processo ma la tutela necessita di comportamenti responsabili e una consapevolezza che ogni dipendente dovrà raggiungere.

Quale sarà l’elemento chiave che ogni imprenditore vorrà conoscere? Subito dopo l’investimento economico da sostenere, il tempo è un’altra variabile determinante. Se dovrò coinvolgere tutti i reparti voglio sapere per quanto tempo dovranno mettere in pausa le loro attività, quanto durerà la formazione, ma anche quale sarà l’impatto sull’intero ecosistema aziendale.

Per convincere i leader ad investire in Cybersecurity bisogna puntare su una comunicazione chiara, esaustiva e personalizzata. Condividi il Tweet

3. Illustrare l’ecosistema di Cybersecurity e le skills aziendali richieste

Per far fronte alle minacce digitali è necessario creare un vero e proprio ecosistema di Cybersecurity che inglobi tecnologie, investimenti finanziari, organizzazione e skills delle risorse umane. I leader per poter prendere decisioni, che implichino un alto grado di responsabilità, dovranno assicurarsi che ci sia una collaborazione intersettoriale.

Diffondere una cultura attenta alla sicurezza aziendale significa ragionare in quest’ottica sia in fase strategica che tattica, riservando una parte della pianificazione di ogni settore alla Cybersecurity. Il consulente o un CISO interno dovrà aiutare i leader a comprendere che per creare un ecosistema che funzioni è necessario passare dalla consapevolezza di un’adeguata protezione dei dati alla cultura della sicurezza.

Sarà, quindi, necessario stilare un Cyber Risk Assessment che:

  • identifichi le aree a maggior rischio;
  • preveda delle soluzioni studiate ad hoc per la protezione dei dati;
  • rilevi eventuali bug o minacce;
  • e definisca il Cyber Emergency Response Plan, ovvero come rispondere agli attacchi e le procedure per il recupero dei dati.

Per riportare questo processo in tutti i settori aziendali sarà necessario formare le risorse sulla base delle attività che svolgono e fornirgli le competenze necessarie a procedere autonomamente inglobando le tecniche della sicurezza alle loro mansioni.

4. Una spiegazione dell’impegno finanziario richiesto e dell’impatto sul business

Il vero focus della riunione è la parte finanziaria relativa all’investimento da intraprendere e i dati che mostrano l’impatto che tale implementazione genererebbe in azienda. I dirigenti e i membri del consiglio direttivo devono conoscere tutte le variabili che riguardano i rischi e le opportunità legate alla sicurezza così da comprendere il reale valore dell’operazione.

Inoltre, sarà fondamentale conoscere i tempi di azione per far sì che il finanziamento sia adeguato e tempestivo. Nell’esposizione i CISO dovranno evidenziare:

  • le metriche utili a proteggere le informazioni, controllare i sistemi e verificare i comportamenti umani;
  • le misure proattive che mitigheranno eventuali minacce;
  • le strategie a lungo termine comprese di obiettivi, investimenti tecnologici e di servizi e i ritorni sugli investimenti (ROI)
  • l’impatto dell’implementazione sulle procedure interne (tempi di installazione, formazione e come cambieranno i tempi di svolgimento della attività)
  • quali saranno i costi operativi, di gestione e di manutenzione nel tempo.

Se i leader hanno compreso a fondo la gravità e i rischi di un attacco informatico nella loro azienda ascolteranno con attenzione questa fase. In effetti, perdere i dati dei clienti, fermare la produzione o le attività per un attacco ai sistemi sono dei costi di immagine ed economici notevoli e sono poche le aziende disposte a correre questi rischi. Se lo fanno è perché sono inconsapevoli o perché non hanno realmente compreso l’intero processo.

Iscriviti alla nostra newsletter

Quanto è stato utile questo articolo?

Clicca la lampadina per votare!

Cyber security e digitalizzazione
Cyber Security: le opportunità e i rischi della digitalizzazione
Shadow IoT: come proteggere la rete aziendale dai dispositivi IoT non autorizzati
Carmen Di Nardo

Content Manager del team DeltalogiX. La scrittura le ha permesso di unire la sua passione per la tecnologia e l'innovazione con le sue skills di comunicatrice. La sua sfida quotidiana è quella di riuscire a trasformare i concetti complessi della Digital Transformation in letture che durino il tempo di un caffè.