La sicurezza informatica è una delle principali preoccupazioni dei responsabili aziendali. Secondo un recente sondaggio della National Association of Corporate Directors (NACD), il 42% dei quasi 500 leader intervistati indica i rischi legati alla sicurezza informatica tra le cinque questioni più urgenti che stanno affrontando, subito dopo il rallentamento economico.

I membri del consiglio di amministrazione sono consapevoli di rischi e minacce alla cyber sicurezza, ma non sempre ottengono le informazioni giuste dai loro responsabili della sicurezza”, afferma David Chinn, partner della società di consulenza McKinsey & Co.

Di conseguenza, “i responsabili della sicurezza informatica devono comunicare in modo sempre più efficace con i loro consigli di amministrazione per informarli sui rischi che corrono e sulle strategie per mitigarli”, suggerisce Gary Hayslip, Chief Information Security Officer (CISO) e membro del CdA della società di sicurezza Webroot.

I responsabili della sicurezza informatica possono intraprendere diverse azioni per comunicare efficacemente con il board. Qui vi presentiamo dodici consigli e best practice, suggeriti dagli esperti del settore, che spaziano dalla preparazione prima dell’incontro, alle informazioni giuste da comunicare, alle domande spinose da aspettarsi (e a cui farsi trovare pronti).

1. Prepararsi in modo accurato per l’incontro con il CdA

Nelle settimane che precedono la seduta del CdA i responsabili della sicurezza devono preparare relazioni scritte da distribuire ai membri del consiglio. I manager più esperti suggeriscono ai CISO (specialmente quelli con un tempo limitato prima delle riunioni) di preparare materiale approfondito, ma anche di prepararsi con una formazione specifica per confrontarsi con il consiglio di amministrazione.

Hayslip racconta che, in occasione della sua prima presentazione al CdA, si fece aiutare da un consulente esperto per affrontare la riunione. “Se devo riferire al consiglio e non ho mai parlato con i suoi membri, non so che tipo di domande faranno e cosa vorranno sapere”, spiega il CISO. “Quindi devo informarmi parlando con i colleghi e altri manager che normalmente partecipano al consiglio di amministrazione per capire chi c’è, quali domande verranno poste, come è meglio presentare i dati”.

2. Presentare una valutazione dei rischi a cui è esposta l’azienda

In base alla sua esperienza Hayslip ha imparato qualcosa su ciò che vogliono sapere i dirigenti, ovvero una valutazione sulla sicurezza informatica dell’azienda e sui punti deboli da migliorare.

Bisogna dire a che punto è l’azienda e dove dovrebbe essere. Condividete le informazioni su nuovi rischi e nuove opportunità di miglioramento, basandovi sulle informazioni distribuite precedentemente”, afferma. “Per i leader aziendali è importante sapere quali rischi di sicurezza corre l’azienda, quali sono i suoi punti deboli, le minacce a cui dare priorità e perché…e la collocazione rispetto ai competitor”.

3. Essere chiari sui rischi

Le valutazioni non devono minimizzare i rischi per l’azienda, secondo gli esperti, e i CISO devono presentare le informazioni rilevanti in modo semplice e accessibile.

Molte aziende hanno team dedicati per le minacce alla sicurezza, ai quali spetta anche il compito di fornire le informazioni opportune al consiglio di amministrazione”, afferma Chinn. “I membri del consiglio desiderano conoscere i rischi a cui è esposta l’azienda, l’impatto sul business, in che misura i loro investimenti sono stati sfruttati per produrre una significativa riduzione dei rischi”.

4. Anticipare le domande (difficili)

Il consiglio non è il posto giusto per le sorprese. Rob Clyde, presidente del consiglio di amministrazione dell’associazione di IT governance ISACA, consiglia ai CISO di anticipare le domande che sicuramente verranno poste, in particolare quelle a cui è più difficile rispondere, come per esempio “Quanto è efficace la nostra strategia di sicurezza?”.

Non sempre è facile rispondere a queste domande e, se non ci si prepara in anticipo, si corre il rischio di rispondere in modo inadeguato o confuso”, dice Clyde.

Clyde consiglia ai CISO di utilizzare un quadro della maturità sicurezza informatica, come quello offerto dall’Istituto CMMI di ISACA, per offrire una risposta articolata e pertinente alle domande spinose.

Sostiene inoltre che i responsabili della sicurezza non dovrebbero sorprendere il consiglio, gli altri dirigenti e il CEO con le loro risposte. Tali risposte, e più in generale il quadro sulla sicurezza dell’azienda, dovrebbero essere condivise in anticipo con i CEO: in questo modo saranno a conoscenza di tutte le informazioni che verranno presentate e non saranno colti alla sprovvista.

5. Essere onesti sui limiti della strategia aziendale

I manager esperti affermano che i CISO dovrebbero essere realistici quando rispondono a domande sui rischi e sulle strategie di sicurezza informatica, anche se temono che le loro risposte potrebbero farli sembrare inefficaci. “Alla domanda ‘siamo sicuri al 100%?’ non dovreste mai rispondere in modo affermativo”, dice Clyde, “o rispondere in modo impreciso dando rassicurazioni infondate“.

6. Non spaventare il CdA

I CISO sono consapevoli del crescente volume e della crescente sofisticazione degli attacchi alla cibersicurezza, quindi non sorprende che cerchino di condividere tali informazioni con i loro superiori, spiegando le risorse di cui hanno bisogno per contrastare le minacce.

Non si tratta di elencare tutte le minacce che incombono sull’azienda e dipingere uno scenario catastrofico”, sottolinea Hayslip. “Il clima di paura, incertezza e dubbio non funziona”.

L’approccio corretto è condividere le informazioni rilevanti, che consentono ai manager di prendere decisioni informate su dove posizionare al meglio i loro investimenti in sicurezza per mitigare i rischi.

7. Cercare (e ottenere) supporto

James Carder, CISO della società di soluzioni di sicurezza LogRhythm, ha coltivato la sua collaborazione con un membro del consiglio che aveva un background tecnico e lo ha scelto come “mentore” per aiutarlo a preparare le riunioni del consiglio, rivedere il materiale da presentare e ottenere supporto per le sue strategie di sicurezza.

Consiglia agli altri CISO di fare lo stesso.

Conquistatevi un sostenitore nel board. Vi darà un feedback prima che affrontiate il consiglio, suggerendo quali argomentazioni sono importanti e quali saranno in sintonia con il resto dei membri”, dice Carder. “La stessa persona potrà sostenere e portare avanti le vostre strategie anche quando non siete direttamente coinvolti nelle riunioni”.

8. Andare dritti al punto

Confrontarsi con il consiglio di amministrazione significa parlare con manager e uomini d’affari per i quali “il tempo è denaro”.

Non create suspance per la battuta finale: arrivate subito al punto”, suggerisce Clyde. “E se c’è qualcosa su cui il consiglio deve intervenire – per esempio, valutare l’acquisto di un’assicurazione sulla sicurezza informatica o capire una politica sul pagamento di un riscatto in caso di attacco ransomware – entrate subito nel merito della questione”.

9. Evitare il gergo tecnico

Carder racconta di aver aver presentato una relazione molto dettagliata al consiglio di amministrazione, cosa che si è rivelata un errore, perchè i membri del consiglio lo hanno interrotto più volte per chiedere spiegazioni sui termini usati e i concetti che stava descrivendo.

Supponevo che conoscessero una certa terminologia relativa alla sicurezza“, spiega, “ma mi sono reso conto che stavo entrando in dettagli troppo tecnici e del tutto inefficaci per presentare lo scenario della sicurezza aziendale”.

Il suo consiglio, quindi, è di evitare le informazioni troppo tecniche. Non è importante fornire dettagli sugli ultimi exploit o sulle più recenti tecnologie di prevenzione della perdita di dati o sui prodotti di rilevamento delle intrusioni. E’ importante invece focalizzare la conversazione su punti di alto livello e presentare le informazioni su rischi e sicurezza in termini di business.

10. Presentare il valore di business

Molti CISO hanno difficoltà a calcolare il ROI aziendale dei loro investimenti per la sicurezza, che è un aspetto particolarmente rilevante per il CdA.

Per affrontare la questione Hayslip cerca di spiegare l’impatto del suo lavoro “sui team che ‘producono soldi’, come li stiamo aiutando a fare quello che fanno”.

Cita l’esempio di un’azienda in cui ha lavorato, dove ogni mese c’erano 50 macchine offline a causa di malware. Hayslip ha investito in tecnologie per ridurre quella media mensile, e per ottenere i fondi dal consiglio non si è concentrato sul costo delle nuove tecnologie, ma piuttosto sul valore che l’investimento avrebbe generato grazie alla riduzione dei tempi di fermi e dei costi di riparazione.

Questo è il tipo di storia di valore di cui devi parlare, oltre al fatto che stai riducendo i rischi”, dice.

11. Misurare il successo

I CISO dovrebbero chiedersi se trasmettono adeguatamente le informazioni ai loro board“, afferma Chinn, “sapendo che l’efficacia della loro comunicazione si misura con il supporto e i finanziamenti che otterranno per la loro strategia di sicurezza”.

Chinn cita l’esempio di un CISO che giudica il suo successo dalle reazioni dei membri del consiglio quando avviene una violazione dei dati aziendali.

Dice di sapere che sta facendo un buon lavoro quando i membri del consiglio di amministrazione fanno domande intelligenti o non fanno alcuna domanda dopo la notizia di una violazione, perché ciò dimostra che si fidano di lui come CISO”, dice Chinn.

12. Cogliere le opportunità

I CISO dovrebbero presentarsi al CdA al suo completo”, afferma Clyde, sottolineando che molti CISO non si relazionano solo con commissioni di controllo e di rischio. “E dovrebbero prendere l’iniziativa di entrare nell’agenda dei consigli, se non ci sono”.

Inoltre, partecipare ai consigli dovrebbe essere un’occasione per i CISO di sostenere l’importanza di un forte programma di cybersicurezza, per educare sui punti di forza, di debolezza e le strategie del team di sicurezza informatica. L’ISACA raccomanda che i CISO si incontrino con i loro consigli almeno una volta all’anno.

Si tratta di creare un rapporto fiducia”, conclude Hayslip. “Il consiglio di amministrazione può vedere i progressi fatti e riconoscere che non solo conoscete il vostro lavoro, ma che capite il business, e state allineando il vostro programma di sicurezza per supportarlo”.