La sicurezza informatica come garanzia di efficienza e operatività delle imprese Industria 4.0. Il ruolo dei CISO

 La sicurezza informatica come garanzia di efficienza e operatività delle imprese Industria 4.0. Il ruolo dei CISO

Come si vede dalla tabella che precede, elaborata nell’ambito della 9° edizione dell’Allianz Risk Barometer 2020, nel corrente anno il rischio informatico ha superato l’interruzione delle attività nella classifica dei rischi maggiormente sentiti tra le aziende di tutto il mondo, ponendosi al vertice delle maggiori preoccupazioni delle imprese a livello globale.

La business interruption viene immediatamente dopo.

In Italia la classifica vede invece ancora al primo posto l’interruzione di attività (anche della supply chain) e al secondo, appunto i rischi informatici, ovvero il crimine informatico la violazione dei dati ed i guasti IT.

Poiché, nonostante il forte timore di incidenti informatici, le imprese, comprese quelle italiane, proseguono nell’implementazione dell’intelligenza artificiale, per gli evidenti benefici in termini di aumento di produttività ed efficienza da una parte e riduzione dei costi dall’altra, occorre allora supportarle nella corretta comprensione del rischio informatico, affinchè possano assumere le decisioni necessarie alla sua mitigazione.

Le tecnologie infatti devono esser conseguenza delle decisioni imprenditoriali, non le possono sostituire né precedere: solo così si potrà raggiungere l’obiettivo della sicurezza nella innovazione.

Ma per poter assumere le decisioni dovrà esser dotato delle competenze e conoscenze necessarie.

Il profilo della competenza manageriale è dunque essenziale, così come lo è quello della formazione del personale.

Ma:

I vertici aziendali trattano il rischio tutto il tempo, capiscono il rischio finanziario ed il rischio di impresa. Sanno cosa cosa fare con i rischi convenzionali.

Ma col cyber risk sono fuori del loro elemento. Ed allora:

Contribuire a creare amministratori delegati e consigli di amministrazione impegnati con la cybersecurity, non solo coinvolti, con la sicurezza informatica nel settore porta a una gestione del rischio più efficace, alla risposta alle minacce e alla difesa informatica globale.

I CISO, chief information security officer, ovvero i responsabili della sicurezza informatica svolgono un ruolo vitale per rendere la sicurezza informatica rilevante per il top management.

I CISO possono utilizzare tre pratiche come principi guida per aiutare ad assicurare quella business relevance che crea amministratori delegati e consigli di amministrazione davvero impegnati e coinvolti nelle problematiche informatiche:

  1. identificare il quadro strategico della sicurezza informatica nel settore. Sviluppare una narrazione strategica sulla sicurezza informatica che individui quattro componenti chiave:
  • Quali sono le minacce per le nostre linee di business più importanti e come stanno cambiando?
  • Che cosa stiamo facendo e quanto è efficace?
  • Quali sono le opzioni strategiche e le iniziative in tutta la nostra attività e cosa stiamo facendo per gestire i rischi che rappresentano?
  • Quali sono i rischi rimanenti e cosa dobbiamo fare per risolverli?
  1. Utilizzare il linguaggio del business impact in tutte le comunicazioni sulla sicurezza informatica:
  2. affrontare i problemi tecnici ed elevarli a questioni e linguaggio di livello apicale, ovvero di competenza del board;
  3. disegnare connessioni più chiare dell’impatto sul business delle metriche informatiche e delle iniziative
  4. Costruire una “Muscle Memory”, una memoria procedurale per la risposta alle minacce a livello di CEO e di board. Tener presente che un CEO e un consiglio di amministrazione coinvolti sono un CEO e un consiglio preparati. Potrebbe non esserci modo migliore per stabilire la business relevance della sicurezza informatica se non quello di coinvolgere il CEO nelle esperienze pratiche, con simulazioni ed esercitazioni sulle situazioni di cyber crisis.

Queste pratiche consentono e coltivano leader informati, istruiti e  coinvolti e perciò pienamente preparati a prendere le giuste decisioni in merito alla gestione del rischio e agli investimenti in merito alle minacce informatiche.

Tutto ciò costa?

Sì, ma senza dubbio sono decisamente più i elevati i rischi ed i costi dei danni informatici.

Un’azienda vulnerabile sotto il profilo della sicurezza informatica è costantemente soggetta ai rischi.

I danni informatici sono, come noto molteplici:

  • Furti estorsioni truffe
  • Furti di informazioni aziendali
  • Hackeraggi
  • Blocco della produzione
  • Danno alla reputazione
  • Sanzioni amministrative
  • Perdita di quote di mercato perché non si è in regola e/o perché non si innova

L’industria 4.0 crea vulnerabilità sempre maggiori in ragione del maggior numero di servizi e impianti informatici (cloud, IOT, apps, macchine, etc).

Ma chi vuole prodotti o servizi vulnerabili?

È ragionevole ritenere che sempre più in futuro i mercati preferiranno e poi pretenderanno standards di produzione e fornitura, che garantiscano la sicurezza informatica di beni e servizi.

Le imprese non hanno dunque più tempo, devono investire sulla sicurezza informatica e sulle competenze per potersi garantire l’efficienza e la crescita futura.

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.