Sicurezza

CEO e CISO (business e sicurezza IT) devono parlarsi

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Un rapporto RSA rivela la mancanza di allineamento in azienda fra sicurezza e business e suggerisce le azioni da intraprendere

Una ricerca di RSA studia il nodale rapporto fra le priorità dei CEO e le strategie per la sicurezza delle informazioni aziendali.

Bridging the CISO-CEO Divide   fa parte della serie Security for Business Innovation di RSA su come ottenere il supporto del CEO nell’implementazione di una strategia di sicurezza con raccomandazioni su che cosa i CISO ( responsabili delle sicurezza azeindale) devono e non devono fare.

“Oggi si comprende l’importanza di allineare gli investimenti in sicurezza con le strategie aziendali”, ha dichiarato Art Coviello, presidente di RSA, la divisione di sicurezza di EMC. “Tuttavia, nonostante questi progressi, la maggior parte dei responsabili della sicurezza deve faticare per convincere il CEO che la sicurezza deve essere un componente centrale della strategia di business dell’azienda. È tempo di risolvere questo problema e perché ciò accada, CEO e CISO devono modificare il modo di pensare, agire e gestire le aziende”.
Molte delle iniziative intraprese dalle aziende per superare la crisi economica – come l’adozione di nuove tecnologie e modelli di business globali per aumentare l’efficienza – sono tanto innovative quanto rischiose. Mai prima d’ora i responsabili della sicurezza informatica si sono trovati in una posizione così forte per aiutare le proprie aziende ad affrontare i rischi nel modo migliore. Tuttavia, prima devono ottenere la fiducia e il supporto dei propri vertici aziendali . E questi ultimi devono riconoscere che il superamento della crisi e il successo nel lungo termine dipendono dalla loro capacità di gestire i rischi.
“La premessa è la comprensione del rischio”, ha commentato Michael Capellas, esperto di sicurezza e CEO di First Data. “È da qui che si deve partire. Parliamo di rischio. Si parla di rischio associato al business aziendale. Se si ricopre la posizione di CISO, ma non si è in grado di parlare in modo efficace delle misure e dei livelli di rischio, allora è probabile che non si riuscirà nell’intento di colmare la distanza tra gli obiettivi del CEO e quelli della sicurezza”.
Queste le raccomandazioni principali per ottenere il supporto dei CEO :
• Individuare dei “supporter della sicurezza” fra i collaboratori del CEO
• Creare una struttura organizzativa chiara: deve essere articolata e condivisa in tutta l’azienda perché il personale possa comprendere il ruolo della sicurezza, proprio come conosce quello di altri dipartimenti più radicati come la contabilità e il finance.
• Rendere il rischio quantificabile reale. I CISO dovrebbero quantificare i rischi quanto più possibile: invece di spiegazioni vaghe, dovrebbero descrivere scenari realistici con cifre aggiornate sulle probabilità, l’impatto e le perdite finanziarie inserendole nel contesto aziendale – posizione di mercato, settore verticale di riferimento e normative correlate.

Ma il rapporto evidenzia anche alcuni dei modi in cui i CEO possono inconsapevolmente mettere a rischio la propria azienda:
• Se la direzione adotta un atteggiamento apatico verso la protezione delle informazioni, tutta l’azienda si comporterà di conseguenza. Il CEO stabilirà responsabilità condivise per la protezione dei dati aziendali.
• Non considerare la sicurezza solo come un problema tecnologico o di conformità: la sicurezza It deve essere vista come un problema di gestione del rischio.
• Assegnare adeguatamente le responsabilità organizzative : se la responsabilità della sicurezza informativa non è assegnata a una persona con un adeguato livello di seniority, non verrà considerata seriamente. Un ruolo che influisce direttamente sul brand, la reputazione e gli asset informativi dell’azienda dovrebbe essere ricoperto da un leader della sicurezza .