La gestione della sicurezza informatica compete a tutta l’azienda, ma è il Consiglio di Amministrazione ad avere la responsabilità maggiore. I Board sono sempre più sotto i riflettori per il loro contributo in materia di sicurezza informatica, anche a fronte dei costi crescenti degli attacchi informatici. Secondo una ricerca del Centre for Strategic and International Studies (CSIS) del 2018, ogni anno si perde quasi l’1% del PIL globale a causa della criminalità informatica. Quindi, come i Consigli di Amministrazione possono aumentare il loro livello di sicurezza informatica?
Alcune linee guida in materia di sicurezza informatica per il consiglio di amministrazione
Al fine di rafforzare il livello di sicurezza informatica all’interno del cda, è necessario considerare alcuni punti. È fondamentale che sia chiaro al consiglio di amministrazione il motivo per cui la sicurezza informatica sia così importante e al tempo stesso quello per cui la mancanza di competenze informatiche all’interno del CdA potrebbe causare gravi problemi.
Ecco 5 aspetti chiave da considerare per migliorare il livello di sicurezza informatica.
GOVERNANCE
Un elemento chiave emerso durante il vertice EY Cybersecurity Board Summit tenutosi l’anno scorso è quello secondo cui al CdA non spetterebbe la gestione della sicurezza informatica, bensì la sua supervisione.
I consigli di amministrazione devono infatti definire attentamente il proprio approccio alla supervisione del rischio informatico e coordinare Direzione, Responsabili delle unità operative e Responsabili dell’IT e della sicurezza al fine di gestire il rischio nel modo migliore.
La sicurezza può essere considerata un’enorme area grigia da molti board, in quanto al loro interno mancano forti competenze informatiche: per garantire un livello di sicurezza ottimale, i Consigli di Amministrazione dovrebbero colmare le loro eventuali lacune in materia di sicurezza informatica. A tal proposito l’Harvard Business Review suggerisce di istituire un comitato per la supervisione informatica presieduto da un esperto IT.
PRACTICE
La dinamicità del settore informatico tiene sempre in allerta i membri del Consiglio di Amministrazione. Misure e procedure che hanno funzionato 6 mesi prima, oggi potrebbero non funzionare più.
PwC raccomanda 7 punti chiave:
- Considerare il tema informatico una “questione aziendale”
- Avere un approccio di supervisione sul tema e lavorare a fianco di un esperto informatico
- Comprendere a fondo i requisiti legali e normativi
- Discutere la validità della strategia informatica aziendale
- Coinvolgere il management in discussioni sulla “propensione al rischio informatico”
- Rimanere aggiornati sui programmi attuati e discuterli regolarmente durante le riunioni del CdA
- Monitorare regolarmente la resilienza del CdA agli attacchi cyber
POLICY
Il Consiglio di Amministrazione deve essere tenuto informato circa le politiche aziendali in materia di controlli interni, attività esterne e, soprattutto, formazione. Specialmente all’interno del CdA, devono essere chiare e ben definite le politiche di condivisione delle informazioni altamente riservate. L’introduzione di strumenti come lo SMART CDA può consentire ai membri del CdA di condividere le informazioni in modo efficiente e sicuro attraverso una piattaforma digitale.
PROCEDURE
Cosa succede in caso di un attacco informatico? Come possono i Consigli di Amministrazione e l’organizzazione essere i primi a rispondere prontamente ad un cyber-attacco?
La seconda parte di questa serie di blog si concentrerà sulle procedure di crisis management che vengono applicate dai CdA prima, durante e dopo l’evento. Tuttavia, in breve, ecco alcune domande chiave che i Board dovrebbero considerare secondo gli esperti informatici:
- Se l’azienda non ha un piano in caso di incidente informatico, perché non lo ha? Quanto tempo è necessario per svilupparne e testarne uno?
- Quando un cyber breach viene notificato al CdA?
- Il consiglio di amministrazione dovrebbe osservare o prendere parte a delle esercitazioni per comprendere meglio il piano di risposta dell’azienda?
- Il piano prende in considerazione la preparazione pre-incidente, le azioni da intraprendere durante l’incidente e quelle post-incidente?
La seconda parte di questa serie di contenuti esaminerà più da vicino le procedure da seguire in caso di incidenti informatici.
SCARSITÀ DI COMPETENZE SPECIALIZZATE
Rimanere agili di fronte agli attacchi informatici significa assumere e formare profili molto specializzati, non solo nel CdA, ma in tutta l’organizzazione. Una recente indagine del CSIS del 2019 ha rilevato che “l’82% dei datori di lavoro segnala una carenza di competenze in materia di sicurezza informatica, mentre il 71% ritiene che questa carenza di competenze provochi danni diretti e misurabili all’azienda”. Entro il 2020 si prevede che ci saranno 1,8 milioni di posti di lavoro vacanti in ambito ICT.
Questa gestione dei talenti come si colloca nei confronti del Consiglio di Amministrazione? Mentre è ovvio che il CdA sia responsabile per la supervisione di rischio, etica e responsabilità aziendale, non è sempre così ovvio che lo sia anche per la supervisione della retention dei talenti, specialmente quelli specializzati in sicurezza informatica.
Secondo Deloitte, per una corretta gestione dei talenti, i Board dovrebbero seguire queste linee guida:
- Esaminare i rischi legati alla mancanza di figure professionali specializzate
- Definire dei parametri di riferimento
- Assegnare la responsabilità della gestione dei talenti
- Avere una pipeline di talenti sempre aggiornata per le posizioni chiave
- Allineare la strategia dei talenti con la strategia di business
Garantire la Sicurezza dei Dati Sensibili: DiliTrust Exec, la Soluzione SMART CDA per Board di Successo
Un passo fondamentale che i Board devono compiere per garantire una maggiore sicurezza consiste nel proteggere le informazioni altamente riservate di cui dispongono. Adottando una soluzione di SMART CDA, come il modulo SMART CDA di DiliTrust (DiliTrust Exec), i membri del board possono essere certi che i loro dati (memorizzati localmente su server in Europa, Medio Oriente e Canada), sono conformi al GDPR e certificati ISO 27001. Per ulteriori informazioni sulla sicurezza di DiliTrust, contatta oggi stesso un membro del nostro team.
Ti potrebbe interessare: