Riunioni regolari con manager e tecnici, simulazioni di incidenti informatici e sensibilizzazione multilivello: ecco alcuni suggerimenti per i responsabili della sicurezza IT.
La resilienza informatica non consiste solo nell’adozione delle giuste misure di sicurezza, ma anche nelle modalità in cui queste misure vengono implementate e gestite. Questo principio è stato riconosciuto anche dall’ultimo aggiornamento del NIST Cybersecurity Framework (versione 2.0), che ha inserito la governance negli obiettivi strategici generali, accanto alla capacità di identificare e rilevare le minacce, difendersi, rispondervi e riprendersi da un incidente.
La sicurezza si basa, quindi, su un gioco di squadra. Tuttavia, secondo i risultati dell’ultimo CIO Report di Barracuda Networks, principale fornitore di soluzioni di sicurezza cloud-first, spesso i dirigenti delle aziende faticano a comprendere i rischi informatici. Poco più di un terzo (35%) delle piccole imprese intervistate nella ricerca internazionale ritiene che i vertici aziendali non percepiscano i cyberattacchi come un pericolo significativo, sebbene un quarto dello stesso campione ammetta che i dirigenti non vengono aggiornati frequentemente sulle minacce che incombono sulle organizzazioni.
“Per i dirigenti può essere complicato comprendere i rischi informatici a cui una realtà come la loro è esposta”, spiega Riaz Lakhani, Chief Information Security Officer di Barracuda Networks. “Non si tratta di incapacità da parte del management, perché non è facile preoccuparsi di qualcosa che non si conosce o capisce appieno. Per questo motivo, i CISO devono essere dei bravi divulgatori, capaci di coinvolgere le persone che popolano i diversi livelli dell’organizzazione nei temi delle politiche di sicurezza e della risposta agli incidenti. Il tempo dedicato all’ascolto e alla conoscenza dei principali stakeholder dell’azienda, infatti, è uno dei migliori investimenti che si possano fare”.
A questo proposito, gli esperti di Barracuda hanno delineato tre consigli per i CISO per affrontare il tema della cybersecurity in azienda, sensibilizzare diverse figure in merito e rafforzare così la postura di sicurezza dell’intera organizzazione.
- Costruire relazioni solide con i profili tecnici. Ingegneri, sviluppatori e ricercatori di sicurezza sono le persone a cui i CISO possono doversi rivolgere per richieste urgenti in caso di eventi informatici imprevisti. Per questo motivo, è fondamentale instaurare legami solidi e intavolare conversazioni con loro per capire il loro punto di vista sulla sicurezza e sulle misure di protezione.
- Programmare incontri regolari con i senior manager e i consigli d’amministrazione. Le riunioni periodiche con i responsabili delle aree critiche di rischio – come il reparto ingegneristico, finanziario e legale – e con i consigli d’amministrazione sono occasioni chiave da pianificare per esaminare l’evoluzione del panorama delle cyber minacce. Per far sì che tali incontri siano fruttuosi, è fondamentale imparare a conoscere i diversi membri e trovare la chiave comunicativa più adatta a catturare il loro interesse su questi temi. A tal fine, diventa ancora più importante assicurarsi di esporre concetti legati alla sicurezza in modo chiaro e comprensibile, tenendo sempre in considerazione che molte persone possono non avere background tecnologici.
- Svolgere esercitazioni tabletop periodiche sulle minacce più diffuse. Un buon modo per mantenere alta l’attenzione di dirigenti e responsabili sul mutevole scenario della cybersecurity consiste nell’effettuare regolarmente esercitazioni che riproducano un attacco o una violazione della sicurezza informatica. Tali simulazioni aiutano a chiarire le cause e le dinamiche degli incidenti, al netto dei danni, dell’impatto e dei costi reali. Questi mock test possono essere uno strumento utile per riunire team IT, di sicurezza e manager di diverse aree per lavorare in sinergia e valutare eventuali piani d’azione da attuare in situazioni di emergenza.
“I dirigenti e i consigli d’amministrazione hanno un grande interrogativo da porsi: come possiamo essere resilienti in un mondo in cui gli incidenti informatici sono comuni, imprevedibili e potenzialmente distruttivi?”, conclude Keri Pearlson, membro del CdA di Barracuda Networks. “Il dialogo deve essere incentrato sui rischi prioritari che ogni azienda deve affrontare, ad esempio nella catena di fornitura, e sulle possibili conseguenze di un attacco informatico andato a buon fine. I consigli d’amministrazione devono essere coinvolti e sapere che il CISO ha valutato non solo le modalità per tenere lontani gli hacker, ma anche quelle per rispondere e riprendersi da un incidente, in modo che le operazioni possano continuare e l’azienda non ne risulti danneggiata”.
