Il cyber risk e la cyber security sono temi che i consigli di amministrazione stanno iniziando a monitorare all’interno delle proprie organizzazioni. Deloitte incoraggia i CDA a sollecitare il management affinchè vengano introdotti indicatori chiave di performance e di rischio, come ulteriore misura per combattere i rischi informatici. Ma uno dei principali target per i criminali informatici è rappresentato proprio dai membri del consiglio di amministrazione, per via del loro accesso privilegiato ai dati aziendali sensibili.
Il phishing è l’invio di email fraudolente – che vengono fatte sembrate legittime – al fine di raccogliere credenziali o altre informazioni riservate , ed è una tecnica così diffusa proprio perché efficace: nel 2017 il 95% degli attacchi informatici riusciti è stato causato da e-mail di phishing. Sono infatti mascherate molto abilmente e la maggior parte delle aziende fronteggia ogni giorni una serie di tentativi di phishing.
Una e-mail di phishing di solito sembra provenire da un’organizzazione affidabile, come Google o Microsoft. In genere richiede il nome utente e la password del destinatario per accedere al suo sito, o un metodo di pagamento come il numero di carta di credito. Può anche chiedere di cliccare su un link che scaricherebbe un malware (il 92% dei malware viene installato proprio in questo modo). Un messaggio fondamentale da far passare nei corsi di formazione anti-phishing è che nessun servizio vi invierà mai una e-mail con la richiesta delle vostre credenziali di accesso o del metodo di pagamento.
Il social engineering è un’altra tecnica utilizzata dai criminal hacker per ottenere le credenziali: di solito impersonano qualcuno che richiede le credenziali e utilizzano le informazioni ottenute attraverso i profili dei social media per rendere credibile la loro richiesta e la loro qualifica professionale.
AVERE UN INDIRIZZO E-MAIL AZIENDALE DEDICATO
Molti membri del CDA, se non sono anche dipendenti della società, utilizzano le proprie e-mail personali per tutte le comunicazioni che riguardano il board. La semplice soluzione a questo problema è quella di garantire che i membri del consiglio di amministrazione abbiano le proprie e-mail sul dominio aziendale, e che possano accedere alla propria e-mail aziendale in modo separato e sicuro. In questo modo, tutti i filtri e le misure di protezione contro il phishing adottate dall’azienda saranno valide anche per queste e-mail sensibili.
PREDISPORRE SESSIONI DI FORMAZIONE PER I MEMBRI DEL CONSIGLIO DI AMMINISTRAZIONE
In quanto target primario per gli hacker, i board member dovrebbero ricevere una formazione specializzata per evitare attacchi di social engineering, di phishing o con altri metodi che potrebbero essere utilizzati per ottenere le loro credenziali e i dati aziendali sensibili. Se la vostra organizzazione è strutturata, una sessione con il dipartimento IT dovrebbe essere sufficiente per formarli adeguatamente e rispondere alle loro domande. Secondo PhishMe, il tasso di suscettibilità dei dipendenti alle e-mail di phishing può ridursi fino al 5% grazie ad una formazione adeguata. Questa sessione di formazione dovrebbe essere idealmente fissata immediatamente prima di una riunione del consiglio di amministrazione al fine di sfruttare al meglio il tempo di tutti. Un webinar infatti non sarebbe sufficiente, in quanto per problemi di tempo si rischierebbe di perdere elementi chiave e di non ricevere risposta alle proprie specifiche domande.
GARANTIRE UN’ADEGUATA SICUREZZA DELLA POSTA ELETTRONICA PER TUTTA L’ORGANIZZAZIONE
Adeguate misure di sicurezza informatica aiutano ad eliminare la possibilità di errori umani all’interno dell’azienda, a livello dirigenziale e non.
UTILIZZARE UNA SOLUZIONE DI SMART CDA PER LE COMUNICAZIONI DEL BOARD
Soluzioni di SMART CDA come DiliTrust Exec garantiscono i più alti livelli di sicurezza informatica. Rendono inoltre molto più semplice organizzare le riunioni del consiglio di amministrazione e i membri del board possono partecipare in modo sicuro e condividere file da qualunque parte del mondo si trovino. Le misure adottate dalla nostra soluzione di SMART CDA includono l’hosting certificato secondo la norma ISO/IEC 27001:2013, che garantisce l’implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS). Tutti i dati at-rest sono crittografati con chiavi di crittografia Advanced Encryption Standard (AES) a 256 bit; per tutto il traffico in entrata o in uscita dai nostri server il nostro standard è la crittografia TLS ai massimi livelli di crittografia disponibili. L’utilizzo di un’unica soluzione sicura per la maggior parte delle comunicazioni del board aumenterà la sicurezza e la qualità delle riunioni del vostro CDA.