La comunicazione tra i CISO e la direzione è indispensabile per legittimare, valorizzare e scandire l’approccio alla sicurezza all’interno di un’organizzazione. Tuttavia, le interazioni possono essere difficili da avviare e cadenzare, a causa della mancanza di disponibilità o di interesse da parte di alcuni team dirigenziali. Ecco alcuni consigli maturati sul campo per instaurare un vero dialogo sulla cybersicurezza.
Comex e cybersicurezza: è davvero una discussione a senso unico?
Le aspettative dei comitati esecutivi (Comex) variano da un ambiente all’altro. In alcuni settori, il rischio penale che incombe sui dirigenti rappresenta una leva, mentre in altri, più regolamentati, è soprattutto il rischio di non conformità e per l’immagine a rendere il top management propenso all’ascolto.
“Nel mondo bancario, le porte vengono aperte dall’alto dal regolatore, che impone alla governance di prendere in considerazione queste questioni”
Arnaud Martin • Direttore cybersicurezza Istituti finanziari
Partire su basi solide
Tuttavia, è inutile giocare sulla paura, poiché i Comex sono complessivamente sempre più consapevoli delle loro responsabilità in materia di cybersicurezza e alla ricerca di pareri informati sull’argomento.
“Occorre essere preparati su tutte le questioni, ma la sfida principale resta soprattutto quella di suscitare l’interesse del soggetto”, spiega Sébastien Blard. Prima del suo primo intervento al Comex, il CISO di un importante gruppo industriale francese ha incontrato ciascun membro individualmente, per esporgli le sfide principali e valutarne le conoscenze in merito a tali questioni. “Questo ci consente di non coglierli alla sprovvista, di posizionare le cyber-sfide rispetto alle sfide della professione e di trasmettere dei messaggi. Poiché il contesto è one-to-one, il mio intervento al Comex è dedicato alla discussione e al processo decisionale collettivo”, conclude.
Anche Arnaud Martin ha incentrato il proprio intervento su briefing individuali. A questi momenti di incontro diretto, si affianca un comitato strategico per la sicurezza informatica. Questo organo comprende tre membri permanenti del Comex (direttrice dei rischi, direttrice delle operazioni e ispezione generale) e si riunisce almeno tre volte l’anno per cadenzare il processo in corso. Precisa: “Questa anticamera del comitato esecutivo mi offre l’opportunità di trasmettere delle informazioni a queste ambasciatrici”.
Raccontare una storia
Ma in che modo si possono sfruttare al meglio questi trenta minuti, comprese le domande e le risposte, ottenuti in occasione del prossimo Comex? Per Sébastien Blard, è necessario avere qualcosa da raccontare. Consiglia di presentare diversi scenari, se possibile valorizzati in termini di investimento, in modo da definire collettivamente dove si posizionerà il cursore in materia di cybersicurezza.
“Spesso non mostriamo nemmeno le nostre slide, il dibattito prende il sopravvento. È l’occasione per presentare i risultati dei test indipendenti condotti sul dispositivo di sicurezza o per richiedere i fondi per effettuarli”
Sébastien Blard • CISO di un grande gruppo industriale francese
Nel caso dei comitati periodici, Arnaud Martin conta di comunicare degli indicatori, ma anche di fornire elementi ricavati dai feedback di terzi. “[I dirigenti] sono desiderosi di ottenere dati esterni o provenienti dal nostro CERT, che consentono loro di seguire meglio l’evoluzione della minaccia”.
Adottare l’atteggiamento più adatto
Talvolta, è complicato per il o la CISO collocare le proprie competenze all’interno dell’azienda. Anche i comitati esecutivi più consapevoli possono mostrarsi riluttanti ad adottare misure di cyber-protezione che abbiano un impatto eccessivo sull’esperienza utente. “È difficile quando si inizia a trattare la classificazione dei dati”, ammette, ad esempio, Arnaud Martin. Un motivo in più per essere assertivi, secondo Stéphane Blard: “Occorre andare al nocciolo della questione, senza giustificarsi. Il CISO rimane un esperto che deve rimettere i rischi in prospettiva senza troppi termini tecnici”. Tuttavia, la nomina di uno sponsor per la cybersicurezza tra i membri del comitato esecutivo lo aiuterà nella sua missione.
Conclusione
Questi spazi di discussione periodici sono indispensabili all’avvento della cybersicurezza by design all’interno dell’azienda. Del resto, è con un esempio di grande maturità che la Cassa depositi ha terminato il proprio intervento: “non si avvia alcun progetto di sicurezza informatica senza un’analisi del cyber-rischio!”.
Com’è andato il suo ultimo colloquio con Comex?
