RSA, la divisione di sicurezza di EMC, ha pubblicato una ricerca che studia il rapporto fra le priorità dei CEO e la strategia per la sicurezza delle informazioni e come la distanza fra queste due realtà possa influire negativamente sul profilo di rischio e il successo di business.
Bridging the CISO-CEO Divide è il quinto rapporto della serie Security for Business Innovation di RSA che offre un’analisi approfondita su come ottenere il supporto del CEO nell’implementazione di una strategia di sicurezza.
Oltre a queste indicazioni, la ricerca offre raccomandazioni su che cosa i CISO non devono fare, passando in rassegna alcuni metodi per perdere le simpatie del proprio CEO.
Il contributo più importante della ricerca è però quello di stimolare i CEO mostrando loro come il mancato supporto alla strategia di sicurezza potrebbe mettere involontariamente a rischio la loro azienda.
Il rapporto è basato su conversazioni approfondite con il Security for Business Innovation Council, i cui membri sono top executive della sicurezza nelle principali società di tutto il mondo, oltre a Michael Capellas, chairman e CEO di First Data.
“Oggi si comprende l’importanza di allineare gli investimenti in sicurezza con le strategie aziendali”, ha dichiarato Art Coviello, Executive Vice President di EMC Corporation e Presidente di RSA, la divisione di sicurezza di EMC.
“Tuttavia, nonostante questi progressi, la maggior parte dei responsabili della sicurezza deve faticare per convincere il CEO che la sicurezza deve essere un componente centrale della strategia di business dell’azienda.
È tempo di risolvere questo problema e perché ciò accada, CEO e CISO devono modificare il modo di pensare, agire e gestire le aziende”.
L’appello della ricerca
Bridging the CISO-CEO Gap richiama l’attenzione sul fatto che molte delle iniziative intraprese dalle aziende per superare la crisi economica – come l’adozione di nuove tecnologie e modelli di business globali per aumentare l’efficienza – sono tanto innovative quanto rischiose.
Mai prima d’ora i responsabili della sicurezza informatica si sono trovati in una posizione così forte per aiutare le proprie aziende ad affrontare i rischi nel modo migliore.
Tuttavia, prima devono ottenere la fiducia e il supporto dei propri CEO. E questi ultimi devono riconoscere che il superamento della crisi e il successo nel lungo termine dipendono dalla loro capacità di gestire i rischi.
Le raccomandazioni principali per aiutare i professionisti della sicurezza a ottenere il supporto dei CEO includono:
• Individuare dei “supporter della sicurezza” fra i collaboratori del CEO: convincere chi influisce e chi interagisce regolarmente con il CEO (il consiglio di amministrazione e gli executive C-level).
• Creare una struttura organizzativa chiara: deve essere articolata, socializzata e istituzionalizzata in tutta l’azienda di modo che il personale possa comprendere il ruolo della sicurezza, proprio come conosce quello di altri dipartimenti più radicati come la contabilità e il finance.
• Rendere il rischio reale: per aiutare il CEO a comprendere i rischi, è necessario renderli reali. I CISO dovrebbero quantificare i rischi quanto più possibile: invece di spiegazioni vaghe, dovrebbero descrivere scenari realistici con cifre aggiornate sulle probabilità, l’impatto e le perdite finanziarie inserendole nel contesto aziendale – posizione di mercato, settore verticale di riferimento e normative correlate.
“La premessa è la comprensione del rischio”, ha commentato Michael Capellas, Chairman e CEO di First Data. “È da qui che si deve partire. Parliamo di rischio.
Si parla di rischio associato al business aziendale. Se si ricopre la posizione di CISO, ma non si è in grado di parlare in modo efficace delle misure e dei livelli di rischio, allora è probabile che non si riuscirà nell’intento di colmare la distanza tra gli obiettivi del CEO e quelli della sicurezza”.
Il report inoltre è un appello ai CEO, sottolinea infatti l’esigenza di comprendere quanto i loro atteggiamenti e le loro azioni impattino sugli sforzi di protezione delle informazioni aziendali.
A questo proposito, il Council evidenzia alcuni dei modi in cui i CEO possono inconsapevolmente mettere a rischio la propria azienda:
• Creazione di un clima sfavorevole al vertice: se la direzione adotta un atteggiamento apatico verso la protezione delle informazioni, tutta l’azienda si comporterà di conseguenza. Il CEO può trasferire il giusto messaggio comunicando in modo proattivo l’importanza strategica della sicurezza e stabilendo responsabilità condivise per la protezione dei dati aziendali.
• Considerazione della sicurezza solo come un problema tecnologico o di conformità: la sicurezza informativa deve essere vista come un problema di gestione del rischio. Quando il CEO non valuta correttamente l’ampio contesto che riguarda la sicurezza espone l’azienda a rischi di ogni sorta.
• Assegnazione delle responsabilità organizzative in modo erroneo: se la responsabilità della sicurezza informativa non è assegnata a una persona con un adeguato livello di seniority, non verrà considerata seriamente. Un ruolo che influisce direttamente sul brand, la reputazione e gli asset informativi dell’azienda dovrebbe essere ricoperto da un leader della sicurezza come un CISO o una figura equivalente.
I CISO e i CEO possono misurare i loro progressi di allineamento strategico fra sicurezza e business attraverso un questionario interattivo che si compone di dieci domande, semplicemente visitanto il sito RSA www.rsa.com/node.asp?id=3653