Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
La cybersecurity deve essere una priorità diffusa all'interno dell'organizzazione. È fondamentale che la politica di sicurezza informatica venga applicata su larga scala, coinvolgendo in modo attivo tutti i livelli aziendali. Per migliorare la sensibilità della politica a determinati eventi scatenanti, i dirigenti principali, come il Chief Information Officer (CIO), il Chief Information Security Officer (CISO) e l'Amministratore Delegato (CEO), possono prevedere modifiche agli orari di lavoro standard, aggiungendo qualificatori per ridurre i falsi positivi (Cybersecurity and Infrastructure Security Agency, 2020). Questo approccio consente una risposta tempestiva ed efficiente agli eventi di sicurezza, minimizzando il rischio di errori di rilevamento.
Un altro punto fondamentale è il coinvolgimento del consiglio di amministrazione, che deve essere attivamente coinvolto nell'elaborazione di misure efficaci per garantire la cybersecurity dell'organizzazione (Internet Security Alliance, 2020). La responsabilità del consiglio è quella di assicurarsi che la gestione senior sia preparata e disponga di un piano efficace per prevenire e mitigare gli attacchi informatici. Inoltre, il consiglio deve garantire che la C-suite stia preparando l'intera organizzazione all'eventualità di un attacco informatico, affrontando la prevenzione, la rilevazione, l'interruzione degli attacchi e la rapida ripresa delle operazioni aziendali (Internet Security Alliance, 2020).
La valutazione dell'impatto delle misure di cybersecurity può avvenire tramite cyber-metriche, key risk indicators (KRI) e KPI. Questi indicatori sono già stati discussi in precedenza, dimostrando come possano essere strumenti efficaci per monitorare e misurare l'efficacia delle strategie di sicurezza (Tunggal, 2021a).
Per quanto riguarda l'esternalizzazione della cybersecurity a terzi, ci sono vantaggi e svantaggi che devono essere attentamente valutati. Tra i principali vantaggi, vi sono il risparmio sui costi e l'accesso a esperti altamente qualificati con una conoscenza più approfondita della cybersecurity rispetto agli esperti interni. Tuttavia, questa scelta comporta rischi significativi che la C-suite deve considerare. Alcune delle migliori pratiche da adottare per ridurre i rischi legati all'esternalizzazione della cybersecurity includono la scelta di fornitori affidabili e con esperienza comprovata. È fondamentale evitare i fornitori offshore, poiché non è possibile verificare adeguatamente le competenze, l'esperienza e il background criminale di tali professionisti. Inoltre, i fornitori che offrono soluzioni remote basate su Internet o telefono non sono in grado di proteggere adeguatamente le risorse aziendali, poiché non sono in grado di prevenire attacchi da parte di insider o negligenza.
Un altro punto cruciale è evitare i fornitori che promuovono soluzioni di cybersecurity che promettono una protezione totale contro le violazioni dei dati. Non esiste una soluzione infallibile, poiché i criminali informatici sono sempre in grado di trovare nuove vulnerabilità. La C-suite deve quindi evitare di scegliere fornitori che vantano soluzioni "impenetrabili". Un'ulteriore raccomandazione è quella di selezionare fornitori che abbiano esperienza concreta nella prevenzione e nella mitigazione degli attacchi informatici, evitando quelli che si affidano a personale inesperto.
L'interno dell'organizzazione può anche rappresentare un rischio significativo per la sicurezza informatica, a causa di minacce provenienti da dipendenti, collaboratori o ex dipendenti. Il consiglio di amministrazione deve quindi allocare risorse adeguate per la gestione del rischio insider, assicurandosi che vengano finanziati i sistemi di gestione del rischio, lo sviluppo di prodotti, la formazione dei dipendenti e la supervisione delle violazioni di conformità. È necessario un piano di risposta strutturato per affrontare le minacce interne (Rogers & Ashford, 2015; Bailey et al., 2020).
Inoltre, il consiglio di amministrazione e la C-suite devono essere consapevoli dei costi legati alle indagini sui rischi e le minacce interne. È importante che l'organizzazione comprenda non solo le implicazioni finanziarie di una violazione della sicurezza, ma anche i costi a lungo termine associati alla gestione di questi eventi, inclusi danni alla reputazione e perdita di fiducia tra i clienti e partner.
Infine, per garantire un approccio complessivo ed efficace alla cybersecurity, è fondamentale che il consiglio di amministrazione e la gestione senior siano ben informati e supportino l'organizzazione con le risorse necessarie per affrontare le sfide emergenti. La cybersecurity non è mai una soluzione unica, ma un impegno costante che richiede l'adozione di tecnologie, strategie e collaborazioni mirate per affrontare le minacce in continua evoluzione.
Come devono agire i consigli di amministrazione per affrontare efficacemente i rischi informatici?
Anche quando i consigli di amministrazione mostrano attenzione ai rischi informatici, nella pratica delegano spesso alla direzione esecutiva l’attuazione delle misure previste. Tuttavia, per affrontare in modo efficace i rischi cibernetici, è indispensabile che i membri del consiglio comprendano a fondo i propri ruoli e le proprie responsabilità nella governance del rischio informatico. La consapevolezza strutturale e strategica di queste responsabilità rappresenta il fondamento per un'efficace supervisione dei rischi digitali.
Il primo passo è l’adozione di un quadro metodologico solido. Il Framework for Improving Critical Infrastructure Cybersecurity, elaborato dal National Institute of Standards and Technology, funge da guida per le organizzazioni che intendono allinearsi alle migliori pratiche del settore. Anche se il framework non è obbligatorio, è ormai considerato uno standard di riferimento per stabilire una cultura organizzativa proattiva nei confronti della cybersecurity. I consigli possono adottarlo in forma integrale oppure sviluppare, insieme al management, un modello personalizzato coerente con le politiche aziendali.
Tuttavia, un framework ben strutturato non è sufficiente senza una traduzione concreta delle sue indicazioni in piani d’azione. Troppo spesso i consigli di amministrazione, o i comitati di audit a cui viene delegato il controllo, mancano delle competenze tecniche per valutare l’efficacia delle contromisure messe in campo dalla direzione. Per colmare questo divario, alcune aziende hanno avviato programmi di formazione specifica per i membri del consiglio, mentre altre hanno cominciato a includere nel consiglio figure con solida preparazione tecnica nel settore IT.
Una delle risposte organizzative più efficaci è l’istituzione di un comitato ad hoc dedicato alla cybersecurity, spesso presieduto da un ex Chief Information Security Officer. Questa struttura consente di adottare un approccio trasversale alla gestione del rischio cibernetico, favorisce il monitoraggio costante e garantisce una comunicazione fluida tra i vertici aziendali e il consiglio. Inoltre, aumenta l’attenzione del board sull’allocazione delle risorse e sul supporto necessario per implementare strategie efficaci di protezione. Pur non essendo obbligatorie, tali iniziative sono già adottate volontariamente da molte organizzazioni, anche al di fuori del perimetro imposto dal Dodd-Frank Act per le grandi istituzioni finanziarie.
La presenza di personale interno dedicato è altrettanto cruciale. Alcune organizzazioni hanno creato comitati a livello di consiglio incaricati della gestione dei rischi informatici. Più di un terzo delle aziende dotate di un’organizzazione matura in questo ambito impiega professionisti full-time dedicati alla sicurezza e alla privacy. L’adozione di linee guida coerenti con gli standard internazionali ha permesso a queste aziende di rilevare più rapidamente gli incidenti e contenere le perdite finanziarie associate. In particolare, la nomina di un Chief Information Security Officer con riporto diretto al management si è dimostrata una leva strategica per rafforzare la reattività dell’intera struttura.
Perché queste strategie abbiano successo, è fondamentale che il consiglio conosca e comprenda chiaramente chi, all’interno dell’azienda, detiene la responsabilità principale nella gestione del rischio cibernetico. La chiarezza organizzativa sulle responsabilità facilita l’implementazione delle pratiche di sicurezza, aumenta la trasparenza interna e riduce la possibilità di errori decisionali.
Infine, la preparazione all’inevitabilità degli attacchi informatici rappresenta un aspetto imprescindibile. L’efficacia della risposta a un incidente dipende dalla velocità e dalla coerenza dell’intervento. Per questo motivo, le organizzazioni devono essere pronte ad agire nell’arco di minuti o ore. Il consiglio deve garantire la disponibilità delle risorse umane e tecniche necessarie a rilevare, analizzare e contenere l’attacco, evitando l’aggravarsi delle conseguenze. Un piano di rispo
Come la memoria della Guerra Civile e dei suoi protagonisti alimenta il nazionalismo bianco negli Stati Uniti
Qual è il vero valore di un duello in un mondo di sport e onore?
Come il Metodo PS e i Polinomi di Chebyshev Influenzano il Calcolo degli Autovalori nei Sistemi con Ritardo Temporale
L'uso della realtà aumentata e virtuale nell'istruzione: le nuove frontiere dell'apprendimento immersivo