Senza il consenso del Management Team di un’azienda, molti responsabili IT hanno un po' le mani legate. Fortunatamente, i CEO in generale sono diventati più consapevoli in tema di cybersecurity rispetto al passato. Anche se, in alcuni casi, non hanno ancora capito perché gli esperti di sicurezza IT hanno bisogno di più supporto finanziario. Quindi cosa è possibile fare a riguardo?
Molti punti di vista sono stati portati avanti da riviste specializzate in sicurezza informatica, che recentemente hanno ospitato webinar su “Come ottenere budget dal C-Level per mitigare l'aumento delle minacce” incluso un panel di discussione sulla attuale situazione riguardo gli investimenti in sicurezza informatica delle aziende. Come lo scenario di sicurezza informatica si è modificato dall’inizio della pandemia e la crescita delle minacce ha incrementato i fondi delle aziende in tutto il mondo?
Metà delle aziende sono state vittime di attacchi informatici o violazioni della sicurezza nel 2020.
207 giorni è la media del tempo necessario per individuare le violazioni nel 2020.
Fonte: IBM Cost of Data Breach Study 2020
Molte aziende non erano preparate a mettere in sicurezza i dispositivi personali quando i lavoratori di tutto il mondo sono stati obbligati a lavorare da remoto, molte non lo sono ancora. Mixando l’utilizzo dei dispositivi per uso personale e di business, ogni dispositivo rappresenta una delle più grandi sfide alla sicurezza per le piccole medie imprese, per esempio, dovute alle difficoltà di separazione dei dati aziendali sensibili dall'ambiente di posta elettronica personale di un dipendente. Così, le politiche BYOD richiedono la creazione di un intero processo di sicurezza informatica per identificare e proteggere un dispositivo personale, senza intromettersi nei dati privati (come posizione GPS o foto), un processo che può richiedere mesi o addirittura anni per essere costruito.
Sebbene la spesa in cybersecurity stia crescendo, secondo quanto riferito, la mancanza di misure di sicurezza BYOD è solo uno degli esempi che dimostrano che il processo e i programmi mostrano ampi margini di miglioramento. Questo include sia la formazione in sicurezza informatica che la costruzione di una cultura aziendale consapevole. Queste migliorie potrebbero richiedere sia investimenti che coinvolgimento dei vertici aziendali. Perciò come convincere il CEO?
1) Capire l’ambiente in cui lavori
Le linee guida per investire nella sicurezza informatica variano in qualità di esperti IT designati; ad esempio, dal passaggio alla forza lavoro remota, alla prevalenza di ransomware, a pratiche di sicurezza scadenti in un'azienda, è necessario identificare esattamente chi si sta cercando di persuadere e influenzare. Potrebbe essere necessario spiegare l’importanza di ottenere un buy-in interno, affrontare i rischi locali per l'azienda e spiegare come si prevede di gestire il rischio. Allo stesso tempo, è necessario capire qual è la chiave per mantenere in sicurezza e sotto controllo le operazioni aziendali della tua azienda. Per fare ciò, potrebbe esserti utile coinvolgere diversi team per scoprire quali sono le loro priorità.
2) Condividere informazioni o altamente tecniche o troppo semplificate sui rischi informatici
I tuoi superiori dovrebbero essere a conoscenza dell'attuale situazione di sicurezza presente in azienda ma, in ogni caso, spesso hanno bisogno di essere istruiti durante questa discussione. Ognuno in azienda deve comprendere la propria responsabilità personale, partendo dai vertici. I leader aziendali attualmente seguono le notizie e si informano sui rischi informatici ma potrebbero non avere la capacità di tradurli in priorità aziendali e misure concrete. Potrebbero quindi farti domande dirette come ad esempio "Siamo preparati per un attacco ransomware?" Pertanto, spetta principalmente a te, in qualità di responsabile della sicurezza, articolare al meglio i problemi di sicurezza e aiutare il tuo CEO a comprendere la probabilità dei rischi reali per l'azienda e le relative conseguenze.
3) Astenersi dai messaggi negativi
Quando si parla di sicurezza informatica, i responsabili IT spesso si limitano a fare esempi terrificanti e descrivere gli scenari peggiori. Come ha affermato Daniel Chromek, ESET CISO in una recente intervista, queste tattiche spesso falliscono poiché le persone si sentiranno semplicemente sopraffatte e acquisiranno una mentalità disfattista. E questo vale non solo quando stai cercando di sensibilizzare il tuo team sulle minacce informatiche, ma anche quando parli con il tuo capo delle precauzioni necessarie da adottare.
