Perché la sicurezza informatica inizia nella C-suite

Ti sei perso una sessione di MetaBeat 2022? Vai alla libreria on-demand per tutte le nostre sessioni in primo piano qui.


Il numero medio di tentativi di attacco informatico per azienda è aumentato del 31% tra il 2020 e il 2021, secondo l’ultimo rapporto sullo stato della sicurezza informatica di Accenture. Con il 70% delle organizzazioni che include la sicurezza informatica come argomento di discussione in ogni riunione del consiglio di amministrazione e il 72% dei CEO afferma che solide strategie di sicurezza informatica sono fondamentali per la loro rendicontazione e la fiducia nei confronti delle principali parti interessate, è chiaro che la sicurezza è una delle principali preoccupazioni per i leader aziendali. La valutazione e la risposta al rischio informatico non sono più viste come separate dagli obiettivi aziendali principali, ma piuttosto come un elemento essenziale per mantenere in vita un’azienda.

Quindi, chi in un’azienda è responsabile della comprensione, dello sviluppo e dell’avvio di una solida strategia di sicurezza informatica? Ebbene, secondo lo stesso sondaggio su 260 dirigenti della C-suite intervistati a livello globale, il 98% ritiene che l’intera C-suite sia responsabile della gestione della sicurezza informatica: il lavoro non spetta a nessun singolo esperto, CRO o CISO.

Tuttavia, secondo uno studio di ricerca globale condotto da Trend Micro, che includeva le prospettive di oltre 5.000 professionisti IT in 26 paesi, solo la metà degli intervistati ha affermato di ritenere che i dirigenti della C-suite comprendano appieno le minacce alla sicurezza informatica e la gestione dei rischi. La realtà è che i dirigenti della C-suite e C-suite meno 1 non sono a conoscenza dei concetti fondamentali di sicurezza informatica come le architetture di sicurezza zero-trust. Di fronte alla gestione di incidenti enormi come la vulnerabilità Log4j di dicembre 2021, questo divario di competenze evidenzia un’enorme discrepanza tra competenza e responsabilità a livello dirigenziale.

Per proteggere un’azienda e i suoi dati interni e dei clienti sensibili, i leader esecutivi devono ora essere anche esperti di sicurezza informatica.

Evento

Summit Low-Code/No-Code

Unisciti ai principali dirigenti di oggi al Summit Low-Code/No-Code virtualmente il 9 novembre. Registrati per il tuo pass gratuito oggi.

Registrati qui

La responsabilità della C-suite

Un’azienda è forte solo quanto i suoi leader. Che si tratti di CEO, CFO, COO, CHRO o CMO, la sicurezza informatica dovrebbe essere una delle principali preoccupazioni per tutti noi. I manager di livello C e senior devono essere in grado di identificare potenziali minacce informatiche per la loro organizzazione e comprendere i rischi sistemici presenti all’interno del suo ecosistema digitale di fornitori, fornitori e clienti.

Eppure molte organizzazioni hanno lottato per tenere il passo con le trasformazioni digitali dei loro settori, lasciando notevoli lacune in termini di conoscenze, processi e tecnologie nel modo in cui gestiscono le minacce. Inoltre, il panorama mutevole delle normative di compliance nazionali e internazionali ha creato un ambiente in cui le aziende sono costantemente costrette ad evolversi, cercando di rimanere aggiornate e conformi ai requisiti di sicurezza informatica e di dati.

I leader aziendali che si potenziano nei principi fondamentali della moderna sicurezza informatica possono guidare una cultura organizzativa della sicurezza informatica e rafforzare i loro stack tecnologici, processi e team dall’alto verso il basso. CEO e CMO non devono diventare analisti della sicurezza delle informazioni, tester di penetrazione o hacker white-hat, ma devono dimostrare cinque competenze chiave che influiscono sul loro lavoro e sulla loro leadership:

  1. Sviluppare un linguaggio comune e comprendere i rischi e le best practice per la sicurezza informatica: comprendere la differenza tra VPN e funzionalità zero-trust è il primo passo per implementare la giusta strategia di sicurezza per la tua organizzazione. I leader aziendali dovrebbero familiarizzare con il linguaggio e i concetti fondamentali che i loro team utilizzeranno nelle discussioni sulla sicurezza informatica per garantire che possano partecipare efficacemente alle discussioni e guidare il processo decisionale in caso di problemi.
  2. Identificare potenziali minacce informatiche e rischi sistemici presenti all’interno del loro ecosistema digitale di fornitori, fornitori e clienti: la mappatura del panorama dei rischi, con l’aiuto di membri del team di esperti, è il primo passo per affrontare le vulnerabilità. I leader aziendali dovrebbero essere in grado di valutare se le aggiunte che desiderano apportare al loro stack tecnologico o i nuovi processi che desiderano implementare potrebbero creare rischi aggiuntivi nel loro ecosistema.
  3. Valutazione di come rispondere alle minacce informatiche a basso, medio e alto rischio: la progettazione e l’implementazione di un forte piano di risposta agli incidenti (IRP) garantisce che le organizzazioni siano pronte a rispondere quando si verifica un incidente, indipendentemente dalla gravità. I leader aziendali dovrebbero essere in grado di spiegare come le loro organizzazioni rileveranno, risponderanno e limiteranno le conseguenze di eventi informatici dannosi.
  4. Creare una cultura della sicurezza informatica in tutta l’organizzazione: ottenere il consenso dei dipendenti è un primo passo fondamentale per implementare una vera cultura della sicurezza informatica in qualsiasi organizzazione. Per avere successo, i leader aziendali devono sapere come progettare campagne di sensibilizzazione, piani di formazione e misure di responsabilità che incoraggino ogni dipendente ad assumersi la responsabilità delle misure di sicurezza e diventare sostenitori delle migliori pratiche di sicurezza informatica.
  5. Valutare i budget per la sicurezza informatica per la propria organizzazione: dare priorità agli investimenti in sicurezza informatica richiede una profonda comprensione sia del rischio che del potenziale ROI. I leader aziendali dovrebbero delineare i budget per la tecnologia e i talenti necessari per supportare l’implementazione di iniziative di sicurezza informatica e colmare le lacune che hanno identificato nei loro attuali processi di gestione del rischio aziendale.

I leader aziendali che padroneggiano queste abilità saranno in grado di condurre con sicurezza conversazioni sulla sicurezza informatica con le parti interessate interne ed esterne e, in definitiva, portare avanti le loro organizzazioni, assicurandosi che soddisfino le aspettative del consiglio di amministrazione per la responsabilità della sicurezza informatica.

Trasformare il più ampio ecosistema di sicurezza informatica

Nessuna organizzazione o ruolo è sicuro quando si tratta di attacchi informatici: dalle piccole imprese alle grandi aziende tecnologiche e dalla C-suite ai dipendenti di livello base, i criminali informatici non conoscono limiti. Sebbene la C-suite lavori per creare una cultura organizzativa della sicurezza informatica, ha bisogno del supporto di professionisti esperti e in effetti di ogni dipendente dell’organizzazione per guidare un vero progresso. Trasformando il talento in ogni ruolo, a partire dalle prime fasi del ciclo di vita dei dipendenti fino all’onboarding, puoi garantire che ogni dipendente abbia un livello base di conoscenza della sicurezza informatica e abbia un solido piano in atto per evitare le minacce informatiche. E quando rafforzerai l’intera organizzazione, diventerai anche un bersaglio molto meno desiderabile per gli aggressori.

Con l’elevata richiesta di ruoli tecnici in particolare, le organizzazioni di tutto il mondo stanno affrontando una forte concorrenza per un pool limitato di talenti di alto livello. È un divario che si allarga ogni giorno; secondo Cybersecurity Ventures, entro il 2025 ci saranno 3,5 milioni di posti di lavoro nel settore della sicurezza informatica non occupati a livello globale, con un aumento del 350% in otto anni. E solo il 3% dei laureati negli Stati Uniti ha competenze relative alla sicurezza informatica. Semplicemente non ci sono abbastanza praticanti per soddisfare la domanda. Di recente ho parlato con un CISO presso un’importante entità di servizi finanziari. Hanno espresso che l’azienda è in una guerra totale per i talenti della sicurezza informatica. Semplicemente non possono assumere le competenze di cui hanno bisogno, quindi devono produrle internamente formando i dipendenti esistenti.

Posso garantire che questa azienda non è l’unica ad affrontare questa battaglia. In questo ambiente competitivo, è più importante che mai che le aziende cerchino di riqualificare i dipendenti attuali o di assumere con l’intento di formare, piuttosto che presumere che saranno in grado di ricoprire ogni ruolo con un candidato esterno altamente qualificato.

Con sufficiente passione, intelligenza e impegno, uno qualsiasi dei tuoi dipendenti può diventare un esperto di sicurezza informatica, se fornisci loro il miglioramento delle competenze di cui hanno bisogno per avere successo. Perseguire iniziative di trasformazione dei talenti che enfatizzano l’apprendimento pratico e pratico consentirà ai tuoi dipendenti di sviluppare competenze in ruoli richiesti come la sicurezza informatica, aumentando in definitiva il coinvolgimento, i tassi di fidelizzazione e la sicurezza generale della tua azienda. Un vantaggio per tutti, davvero.

Mentre la forza di una strategia di sicurezza informatica inizia nella C-suite, una vera strategia di trasformazione dei talenti va oltre la formazione per mettere in pratica il pensiero critico e le abilità del mondo reale a tutti i livelli. Migliorando le competenze dei dipendenti a tutti i livelli dell’organizzazione, puoi essere sicuro della tua capacità di rispondere alla prossima grande vulnerabilità.

Sebastian Thrun è un presidente e cofondatore di Udacity e un imprenditore, educatore e scienziato informatico tedesco-americano. In precedenza, è stato Google VP and Fellow e professore di informatica alla Stanford University e alla Carnegie Mellon University.

DataDecisionMakers

Benvenuto nella comunità VentureBeat!

DataDecisionMakers è il luogo in cui gli esperti, compresi i tecnici che lavorano sui dati, possono condividere approfondimenti e innovazioni relative ai dati.

Se vuoi leggere idee all’avanguardia e informazioni aggiornate, best practice e il futuro dei dati e della tecnologia dei dati, unisciti a noi su DataDecisionMakers.

Potresti anche considerare di contribuire con un tuo articolo!

Leggi di più da DataDecisionMakers

Leave a Comment

Your email address will not be published. Required fields are marked *