Lucia Milică commenta l’annuncio dei CEO sulla resilienza informatica al WEF Davos

In occasione dell’incontro annuale del World Economic Forum di Davos, CEO di tutto il mondo hanno annunciato il “Cyber Resilience Pledge“, un’azione collettiva sulla resilienza informatica per sostenere un approccio unificato ai crescenti rischi informatici, firmato da importanti aziende globali come Shell e Petronas. Tuttavia, nonostante l’impegno ad agire collettivamente, una recente ricerca ha rilevato uno scollamento preoccupante tra consigli di amministrazione e Chief Information Security Officer (CISO).

In risposta a questo annuncio, riportiamo di seguito (e in allegato) un commento di Lucia Milică (NELLA FOTO) , Global Resident CISO di Proofpoint, che sostiene come CEO e consigli di amministrazione debbano portare le competenze in materia di cybersecurity direttamente a livello del consiglio di amministrazione e affrontare il problema della mancata comunicazione con i CISO, se si intende ottenere un approccio unificato di successo al rischio informatico.

“È incoraggiante osservare che il tema della resilienza informatica sia preso sul serio da amministratori delegati e consigli di amministrazione, e un approccio più unificato per rispondere al rischio informatico è certamente uno sviluppo positivo. Tuttavia, affinché questo tipo di iniziative abbia successo, i responsabili devono affrontare le questioni fondamentali che ostacolano una risposta veramente efficace. Troppo spesso registriamo uno scollamento frustrante tra i consigli di amministrazione e i loro Chief Information Security Officer (CISO), che porta a un’inefficace definizione delle priorità delle minacce informatiche, aggravando il rischio aziendale. Secondo una nostra recente ricerca solo il 51% dei CISO a livello globale ritiene che il proprio consiglio di amministrazione sia sulla loro stessa linea in tema di cybersecurity.

Spesso ciò dipende dalla comunicazione. I CISO dovrebbero riportare direttamente all’amministratore delegato, non al CIO, se si vuole rendere la cybersecurity effettivamente prioritaria. Ma allo stesso modo, i CISO devono comprendere meglio la prospettiva aziendale del consiglio di amministrazione, in modo che entrambi parlino la stessa lingua.

Per far fronte alla complessità del panorama attuale delle minacce, le organizzazioni devono portare le competenze in materia di cybersecurity direttamente al livello del consiglio di amministrazione. La tendenza è già chiara: in Australia i consigli di amministrazione devono supervisionare la resilienza informatica in base alle normative dell’Australian Prudential Regulation Authority (APRA) e all’inizio di quest’anno la Securities and Exchange Commission statunitense ha proposto una norma che richiede la divulgazione delle competenze del consiglio di amministrazione in materia di cybersecurity e la supervisione del rischio di sicurezza per tutte le società pubbliche statunitensi.

Se c’è un aspetto positivo che possiamo trarre da un anno di incidenti di cybersecurity che hanno fatto notizia: i consigli di amministrazione di tutto il mondo si sono resi conto dei rischi informatici di oggi. Di fronte alla prospettiva di tempi di inattività, interruzioni e impatti significativi sulle valutazioni di business – che hanno un peso significativo per i consigli di amministrazione – a seguito di una violazione informatica, contiamo che nei prossimi 12 mesi questa consapevolezza si trasformi in azione concreta.”