Mentre la Securities and Exchange Commission statunitense ha pubblicato linee guida per una migliore governance della sicurezza informatica per anni gli enti pubblici li hanno per lo più ignorati. E anche se i requisiti possono essere difficili da soddisfare, le aziende che hanno compiuto questo sforzo hanno creato quasi quattro volte il loro valore per gli azionisti rispetto a quelle che non lo hanno fatto.

Questa è la conclusione di un nuovo sondaggio condotto congiuntamente da Bitsight e Diligent Institute, intitolato "Sicurezza informatica, audit e consiglio di amministrazione.” L’indagine ha analizzato in profondità più di 4,000 aziende di medie e grandi dimensioni in tutto il mondo, indagando le competenze dei direttori insieme al background dei membri dei comitati di controllo e di rischio specializzati. Hanno misurato le competenze in materia di sicurezza informatica rispetto a 23 diversi fattori di rischio, come la presenza di infezioni botnet, server che ospitano malware, certificati di crittografia obsoleti per comunicazioni Web ed e-mail e porte di rete aperte su server pubblici.

“I consigli di amministrazione che esercitano la supervisione informatica attraverso comitati specializzati con un membro esperto di cyber invece di affidarsi all’intero consiglio hanno maggiori probabilità di migliorare le loro posizioni di sicurezza generali e le prestazioni finanziarie”, afferma Ladi Adefala, consulente di sicurezza informatica e CEO di Omega315, che concorda con le conclusioni del rapporto. Ha lavorato su questo tema per un'azienda Fortune 500 e ha scoperto che “il consiglio non disponeva di un comitato dedicato che dedicasse il tempo ad approfondire argomenti informatici. Inoltre non avevano abbastanza membri e quindi non possono permettersi di avere comitati specializzati per il cyber”, dice. Parte della sua attività di consulenza consiste nell'aiutare a creare tali comitati, ciò che lui chiama fornire lezioni di cybercivismo.

Risorse umane a parte, la scarsa governance della sicurezza informatica non è una vera novità: le aziende pubbliche hanno dedicato per anni poca attenzione alla sicurezza informatica. Ad esempio, esperto di sicurezza David Froud scrive su questo argomento almeno dal 2017. Ma la novità è vedere quanto sia difficile valutare la conoscenza informatica e costruire una governance duratura.

Secondo il rapporto Bitsight, avere comitati del consiglio separati focalizzati sul rischio specializzato e sulla conformità agli audit produce i migliori risultati. Gli autori hanno scritto: “Questi comitati sono in una posizione migliore per approfondire questioni specifiche di sicurezza informatica e possono sviluppare rapporti più forti con i dirigenti incaricati delle operazioni quotidiane di sicurezza informatica. Ciò, a sua volta, può portare a migliori politiche, budget e altre decisioni relative alla sicurezza informatica da prendere a livello di consiglio di amministrazione”.

L’indagine ha rilevato un’ampia gamma di esperienze informatiche tra le aziende legate ai servizi sanitari e finanziari – che si sono classificate al primo posto – rispetto alle aziende industriali, che si sono classificate all’ultimo posto.

Ciò che è significativo è che la stragrande maggioranza delle aziende ha fatto un pessimo lavoro nell’integrare tali specialisti nei propri consigli di amministrazione e nei comitati. Il rapporto ha rilevato che il 5% degli intervistati (e il 12% delle società S&P 500) aveva questi specialisti nei propri consigli di amministrazione. Ma il semplice fatto di avere un CISO o un CTO nel consiglio di amministrazione non è garanzia di prestazioni di sicurezza informatica. “Questi esperti devono essere integrati nelle strutture esistenti” e nelle misure di protezione, ha osservato Bitsight.

Nel rapporto non viene menzionato un altro punto debole della governance: la costruzione di una resilienza informatica duratura. Questo è stato oggetto di un altro sondaggio, condotto dal Cybersecurity presso il MIT Sloan Research Consortium e pubblicato sulla Harvard Business Review l'anno scorso. Il team del MIT ha intervistato 600 membri del consiglio e ha riscontrato che le loro interazioni con i CISO sono carenti. Meno della metà degli intervistati ha contatti regolari con i propri CISO, per lo più limitati alle presentazioni fatte alle riunioni del consiglio e poco altro.

In molti casi, queste presentazioni si limitano ai meccanismi delle misure protettive, ad esempio la frequenza con cui vengono condotte esercitazioni della squadra rossa o corsi di sensibilizzazione al phishing. Keri Pearlson, direttore esecutivo del consorzio del MIT e coautore (insieme a Lucia Milică, Global Resident CISO presso Proofpoint) dell'articolo di HBR, traccia un'analogia con il mondo medico: “Quando siamo esposti a un'infezione, o non Se non ci ammaliamo, o se ci ammaliamo, abbiamo delle cose nel nostro corpo che entrano automaticamente in azione per farci tornare a stare meglio.

Ciò che serve, aggiunge, è che “i consigli di amministrazione discutano dei rischi indotti dalla sicurezza informatica della propria organizzazione e valutino i piani per gestire tali rischi”.

Come riassume Adefala, “Il modo più convincente è sfruttare la sicurezza informatica come risorsa strategica per la creazione di entrate o l’agilità operativa, piuttosto che come una necessità operativa”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value