Settimana dopo settimana, mese dopo mese, le cause legali contro i cyber azionisti fanno notizia. Capital One si accorda per 190 milioni di dollari. Una causa collettiva è stata presentata contro Ultimate Kronos Group per presunta negligenza riguardo a un attacco ransomware, identificando un sistema di cybersecurity scadente come il problema principale.
Queste due notizie degli ultimi mesi sottolineano i rischi che le aziende affrontano nella loro continua guerra contro le minacce informatiche. Le aziende che vengono violate continuano a lottare con impatti immediati ed evidenti: tempi di inattività, perdita di dati, perdita di entrate, colpi alla loro reputazione e multe normative. Ma ora la posta in gioco sta aumentando. Più incidenti informatici innescano regolarmente azioni legali collettive da parte di consumatori, investitori e altre parti colpite, sostenendo che le aziende – e gli stessi consigli di amministrazione – avrebbero dovuto agire più diligentemente per proteggere le informazioni sensibili.
Naturalmente, praticamente ogni azienda ha fatto qualche passo per migliorare le pratiche di sicurezza informatica negli ultimi anni. Violazioni di alto profilo a Target, Equifax, Marriott e altre aziende ben note hanno aumentato la consapevolezza e costretto i responsabili delle decisioni IT a rafforzare le reti aziendali e le politiche.
Ma le violazioni continuano ad arrivare, così come le cause legali. Il problema è che molte aziende non hanno ancora elevato la sicurezza informatica a una vera priorità per tutta l’organizzazione. Mentre questo si applica più alle PMI, è ancora un problema anche per alcune grandi imprese. La maggior parte si affida ancora ai manager IT di back-room per impostare e portare avanti le strategie di sicurezza. Molti non hanno coinvolto abbastanza i business leader nella strategia di cybersecurity o reso le minacce informatiche un punto fisso nell’agenda del consiglio di amministrazione.
È ora che lo facciano. Ecco quattro passi fondamentali che le aziende possono fare per dare priorità alla cybersecurity a livello di leadership.
Rafforzare le competenze informatiche del consiglio
Il consiglio deve assumere un ruolo attivo nella preparazione alla cybersecurity. Ma prima i direttori devono assicurarsi di essere all’altezza del compito.
Questo va oltre l’avere membri che conducono discussioni correttive con i leader IT e commerciali del personale. I membri del consiglio di amministrazione hanno bisogno di istruirsi per affrontare la continua sfida della cybersecurity.
I consigli possono iniziare valutando i livelli di abilità informatica dei loro membri e assumere uno o più membri con esperienza in questioni informatiche. Questi specialisti informatici possono guidare le sottocommissioni e impegnarsi più direttamente con i leader aziendali e informatici sulle strategie informatiche.
In secondo luogo, l’intero consiglio dovrebbe ricevere una formazione annuale o biennale per comprendere il panorama della cybersecurity in costante evoluzione. Un consiglio che è ben versato nelle questioni informatiche può affrontare meglio i rischi, le responsabilità e le questioni tecniche che informeranno le decisioni strategiche che dovranno prendere.
Creare un libero scambio di informazioni
Una volta che il consiglio di amministrazione è al passo con i tempi, spetta al management sviluppare un meccanismo che promuova una comunicazione coerente sui rischi informatici e sulle strategie. I manager dovrebbero riservare del tempo per un’intensa interazione sui piani, le procedure e le questioni in corso relative ai rischi di cybersecurity. È importante che il meccanismo includa le parti interessate da un’ampia varietà di dipartimenti – tutti, dal business all’IT allo staff legale alle risorse umane e al marketing. Mentre le tecnologie di cybersecurity saranno ancora controllate dall’IT, la strategia e l’implementazione attraversano tutti i dipartimenti e si estendono fino al consiglio di amministrazione.
Le interazioni dovrebbero diventare una parte costante delle responsabilità continue del consiglio, e i manager dovrebbero svolgere il ruolo di educatori e facilitatori.
Designare uno sponsor esecutivo
Mentre il coinvolgimento nella cybersecurity si estende a tutti i dipartimenti, è importante mettere la creazione di un piano di risposta nelle mani di un solo individuo. Questo individuo non deve sviluppare l’intero piano. Ma la persona in carica dovrebbe essere un leader che ha l’autorità di guidare il cambiamento e ottenere l’allineamento in tutta l’organizzazione. In teoria, il CIO, il CISO o il CSO dovrebbero essere ben posizionati per questo compito.
Ha più senso per un’organizzazione installare un business leader in questo ruolo – qualcuno il cui lavoro è collegato alle attività che generano entrate o alle operazioni piuttosto che alla tecnologia. La persona dovrebbe impegnarsi con i leader tecnologici, ma affrontare il compito con un focus sulla strategia aziendale. La tecnologia è fondamentale, ma i migliori piani di risposta sono inquadrati intorno a come le operazioni possono essere meglio preparate per una violazione e sostenute nel caso in cui si verifichi.
Assegnare i ruoli nell’organizzazione
Mentre il CSO e il CISO continueranno a impostare i programmi di sicurezza delle aziende, altri leader devono assumere ruoli attivi. I CFO devono garantire che un livello di sicurezza sia incorporato in tutti i processi finanziari dell’azienda. I direttori delle risorse umane devono esaminare più diligentemente i nuovi assunti e fungere da tramite per il comfort dei dipendenti con le pratiche di sicurezza. I responsabili delle vendite devono promuovere l’igiene della sicurezza, specialmente con gli agenti che viaggiano, il cui accesso virtuale li rende vettori primari per gli hacker.
Conclusione
Data l’odierna società litigiosa, le aziende non possono sperare di eliminare completamente le azioni legali informatiche. Ma possono assumere un ruolo attivo nel respingerle. Fare della cybersicurezza una questione di leadership – estendendola a tutta l’organizzazione, fino al consiglio di amministrazione – è un passo nella giusta direzione.
