7 sfide che i CFO devono affrontare

Insieme ai loro colleghi della C-suite, i CFO hanno trattato la sicurezza informatica e la privacy dei dati come priorità strategiche per diversi anni. Sempre più spesso le autorità di regolamentazione stanno adottando un approccio simile e i CFO devono prenderne atto ed essere pronti.

All’inizio di quest’anno, la Securities and Exchange Commission (SEC) degli Stati Uniti ha proposto emendamenti alle sue regole sulla gestione del rischio di sicurezza informatica, la strategia, la governance e la segnalazione degli incidenti da parte di società pubbliche soggette ai requisiti di segnalazione del Securities Exchange Act del 1934. Il punto di vista della SEC è che Le minacce e gli incidenti alla sicurezza informatica rappresentano una minaccia crescente e continua per le società pubbliche, gli investitori e i partecipanti al mercato. Come evidenziato dai riscontri ricevuti dalla commissione durante il periodo di commento conclusosi all’inizio di maggio, alcuni aspetti della proposta non sono privi di controversia e richiedono ulteriore chiarezza per i redattori. Sebbene le specifiche e la tempistica dell’attuale regola debbano ancora essere finalizzate, è una scommessa intelligente che i rapporti di miglioramento di qualche tipo siano imminenti. Pertanto, è opportuno che le aziende valutino le politiche, i processi e le procedure delle proprie infrastrutture di sicurezza informatica, nonché le competenze e i piani di continuità aziendale, di emergenza e di ripristino che hanno messo in atto.

Molti degli emendamenti della SEC, come attualmente proposto, coinvolgono attività e competenze che rientrano esattamente nella timoneria del CFO, comprese le determinazioni del fatto che gli incidenti di sicurezza informatica raggiungano un livello di “materialità”; segnalazione di attacchi informatici e relativi sforzi di riparazione agli investitori e ad altre parti interessate; e informative riguardanti le politiche di gestione del rischio, le procedure di gestione del rischio di terze parti, la supervisione del consiglio di amministrazione sui rischi di sicurezza informatica e il ruolo del management nella valutazione e nella gestione di tali rischi. Inoltre, dato che i documenti SEC sono in genere firmati dal CEO e dal CFO di una società, queste divulgazioni rientrano nella penna del CFO, oltre alla timoneria del CFO.

Il Chief Information Security Officer (CISO), il Chief Information Officer (CIO) e il Data Privacy Officer sono responsabili dello sviluppo e dell’esecuzione dei programmi di sicurezza delle informazioni e privacy dei dati dell’organizzazione. Tuttavia, il contributo e il coinvolgimento del CFO hanno un’influenza crescente sul valore apportato da questi sforzi e assicurano che queste capacità siano allineate con la strategia aziendale. L’esperienza e i punti di vista del CFO sono particolarmente necessari e preziosi poiché le organizzazioni affrontano i seguenti problemi e sfide relativi alla sicurezza informatica:

  1. Ransomware: I CFO svolgono un ruolo fondamentale nella quantificazione dei rischi associati al ransomware, nell’approvazione di finanziamenti – per risorse, consulenti per la sicurezza, ecc. – che consentono alle organizzazioni di rispondere a questi attacchi in modo rapido ed economico e nel rispondere alla spinosa domanda se pagare i criminali per sbloccare i sistemi aziendali e/o ripristinare i dati. I dirigenti finanziari esperti di cyber sollevano e affrontano in modo proattivo problemi di ransomware difficili durante le esercitazioni da tavolo. Valutano i rischi e i vantaggi della domanda “paga o non paga”, stabiliscono criteri decisionali e, per garantire che l’organizzazione sia preparata a tutte le opzioni, sviluppano e testano procedure di pagamento crittografico ben prima che si verifichi un attacco di riscatto.
  2. Assicurazione informatica: I premi delle assicurazioni informatiche continuano a salire mentre i limiti di copertura diminuiscono in un mercato che si sta rafforzando dal 2019 in risposta a un’ondata di incidenti ransomware e altre minacce informatiche. Un vettore che ha offerto $ 10 milioni per un limite di copertura specifico nel 2021 potrebbe aver dimezzato tale limite. Anche i processi di sottoscrizione e rinnovo sono diventati più impegnativi e onerosi poiché gli assicuratori intensificano il controllo sui controlli di sicurezza di un potenziale contraente. Queste condizioni rendono ancora più importante il contributo del CFO sul costo, la copertura e il valore delle polizze assicurative informatiche.
  3. Governo del consiglio: I consigli di amministrazione sono diventati significativamente più informati sui rischi per la sicurezza informatica, in particolare negli ultimi 24 mesi. Di conseguenza, molti membri del consiglio pongono domande più dettagliate sulla sicurezza informatica dell’organizzazione e sulle capacità di privacy dei dati. Abbiamo osservato che più board spostano la propria attenzione dal rilevamento e prevenzione alla resilienza. I direttori desiderano informazioni più dettagliate sugli investimenti e sui meccanismi che aiutano l’organizzazione a rispondere e a riprendersi dalle violazioni della sicurezza informatica in modo rapido ed efficace. I CFO dovrebbero contribuire attivamente a questo “Cosa facciamo quando succede?” conversazione in sala riunioni. Questa intuizione, oltre al ruolo crescente del CFO come fornitore di dati ai consigli di amministrazione, rafforza l’impatto del CFO sulla governance del consiglio.
  4. Conformità normativa: La recente proposta della SEC sulla gestione del rischio di sicurezza informatica mostra che le autorità di regolamentazione desiderano che gli investitori abbiano accesso tempestivo a più informazioni relative alle violazioni della sicurezza informatica e al costo di tali incidenti. Una volta che queste regole saranno finalizzate entro la fine dell’anno (e questa è un’area in cui molti commentatori hanno chiesto la necessità di chiarezza), i CFO dovranno probabilmente sviluppare soglie per determinare quando un incidente informatico dovrebbe essere considerato materiale. Sul fronte della privacy dei dati, più stati continuano a emanare regolamenti simili al California Consumer Privacy Act (CCPA) in assenza di una versione federale statunitense del Regolamento generale sulla protezione dei dati (GDPR) dell’UE. I team di sicurezza delle informazioni hanno bisogno dell’aiuto dei loro CFO e delle funzioni finanziarie per definire l’approccio più efficiente in termini di costi per conformarsi a questa “trapunta” spesso confusa di regole sulla privacy, bilanciando tali costi con il valore derivato dai dati che l’organizzazione raccoglie e utilizza.
  5. Collaborazione interna: Negli ultimi anni, le relazioni dei CFO con i CISO e i leader della privacy dei dati sono generalmente diventate molto più collaborative, il che è una buona notizia. Detto questo, i CISO e i leader della privacy tendono ancora a discutere le rispettive strategie in isolamento, senza allineare i propri obiettivi con la strategia aziendale. I CFO possono aiutare i loro colleghi incoraggiandoli a collegare chiaramente le loro attività agli obiettivi aziendali, soprattutto quando condividono le informazioni con il consiglio. Inoltre, i CFO che possiedono parte dell’agenda ESG possono aiutare i leader della privacy dei dati a inquadrare le loro attività e investimenti in modi che vanno oltre la conformità per affrontare, ad esempio, la responsabilità sociale. Infine, la protezione dei dati dei clienti solleva importanti questioni di governance, comprese quelle relative all’etica digitale, che i CFO possono aiutare i CISO e i leader della privacy dei dati a considerare: Utilizziamo e proteggiamo i dati dei clienti in modo trasparente e in armonia con ciò che i nostri clienti si aspettano da noi?
  6. Gestione del rischio di terze parti: L’esperienza del CFO nella gestione del rischio e, nella maggior parte dei casi, la proprietà della funzione di approvvigionamento possono aiutare le funzioni di sicurezza delle informazioni e privacy dei dati ad affrontare la formidabile e complicata sfida della gestione di terze parti (e, nel caso dei fornitori, di secondo e terzo livello). fornitori) rischi per la sicurezza informatica e la privacy dei dati. In particolare, i leader finanziari possono garantire ai team di approvvigionamento di bilanciare le priorità di determinazione dei prezzi e la diligenza nella gestione del rischio nelle loro decisioni di approvvigionamento. Dato che le valutazioni del rischio di terze parti possono richiedere molto tempo da eseguire, i CFO possono anche aiutare i team di approvvigionamento a classificare i fornitori in base a diversi livelli di rischio: i fornitori in una categoria ad alto rischio sarebbero sottoposti a valutazioni del rischio più complete rispetto a terze parti in un basso livello di rischio.
  7. Budget: I budget per la sicurezza delle informazioni e la privacy dei dati tendono ad aumentare a seguito di una violazione o di un quasi incidente. Al contrario, quando le organizzazioni evitano incidenti gravi nel tempo, i budget per la sicurezza informatica tendono a regredire alla media. Detto questo, molti CISO affermerebbero che è sempre difficile ottenere i finanziamenti di cui hanno bisogno per sostenere solide difese. Efficaci relazioni CFO-CISO affrontano questa sfida producendo utili benchmark di spesa del settore, valutando l’efficacia delle attuali allocazioni di investimento e quantificando i rischi per la sicurezza informatica sia in termini di affari che di dollari.

Negli ultimi anni, molti CISO sono stati felici di incontrare meno difficoltà nell’adempimento delle loro richieste di budget poiché la spesa aziendale complessiva è aumentata. Ciò potrebbe cambiare nel 2023, poiché le pressioni macroeconomiche e altre volatilità esterne potrebbero spingere più organizzazioni a stringere la cinghia. Se e quando ciò si verifica, il CFO, il CISO e il responsabile della privacy dei dati dovranno collaborare in modo ancora più efficace per garantire che la sicurezza dei dati e le priorità della privacy siano finanziate ed eseguite, anche nella fortunata assenza di una grave violazione della sicurezza.

.

Leave a Comment

Your email address will not be published. Required fields are marked *