A volte bisogna prendere un grosso colpo prima di intraprendere iniziative di cybersecurity.
Tuttavia, il 60% delle PMI che subiscono una violazione della cybersecurity sono costrette a chiudere. Il che indica, soprattutto per te, che prevenire è meglio che curare.
Aiuta il consiglio di amministrazione a capire le minacce alla sicurezza che potrebbero riguardare la tua azienda. Non sprecare troppo tempo a presentare statistiche e tendenze generali. Aiutali invece a capire il collegamento tra quelle tendenze di sicurezza e le sfide specifiche per la tua azienda e il settore a cui appartiene. Più contesto sei in grado di fornire, più il consiglio lo troverà interessante.
Ad esempio, puoi parlare della maggior fonte di fatturato della tua azienda e descrivere in concreto come le minacce alla sicurezza come il ransomware potrebbero costituire una minaccia. Se la tua azienda conserva dati sensibili come record finanziari, puoi illustrare con esempi le implicazioni legali e le sanzioni che la tua azienda potrebbe subire se tali dati fossero resi pubblici.
Illustra come funziona un attacco e come può essere facile compromettere la sicurezza. Presenta esempi reali dei problemi che stai già affrontando nonché i rischi e gli effetti a lungo termine che tali problemi potrebbero causare.
Ai dirigenti piacciono le metriche e i numeri. Perciò, è importante che allinei le priorità della sicurezza agli obiettivi e alle scadenze della tua azienda. Conferma le priorità aziendali e dell’IT e mostra come la sicurezza consentirà di rispettarle.
Mostra anche il rovescio della medaglia: come un incidente di sicurezza potrebbe mettere a rischio i loro piani. Ad esempio, se stai per lanciare un nuovo prodotto, quale sarebbe il danno potenziale per l’azienda se la proprietà intellettuale venisse resa pubblica o distrutta?
In realtà, non serve un problema ipotetico. Se sei in grado di quantificare quanto stanno già costando all’azienda i problemi di sicurezza esistenti, hai un argomento ancora migliore a tuo favore.
È improbabile che otterrai tutto quello che ti serve da un’unica conversazione. Le tue comunicazioni devono essere semplici e frequenti. Stabilisci aggiornamenti regolari e fornisci spesso resoconti su metriche rilevanti. Non temere di ripeterti e prova a presentare la questione da prospettive diverse fino a quando il messaggio non verrà capito e otterrai i finanziamenti e il supporto che ti servono.
In molti casi, gli esperti della sicurezza faticano a parlare la stessa lingua del consiglio di amministrazione e a fargli capire perché debba dare priorità agli investimenti nella sicurezza. Quando si verifica un attacco informatico di dominio pubblico e i dirigenti vedono i molteplici effetti dei danni che causa, i motivi per investire diventano chiarissimi. Le conversazioni (e i cambiamenti) avvengono a un ritmo molto più sostenuto quando tutti capiscono il problema.
Ecco in che modo leggi come il Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel maggio 2018, possono contribuire a migliorare la sicurezza.
Le aziende che investono già in sicurezza potrebbero non doversi preoccupare molto, poiché probabilmente sono sulla strada giusta verso la conformità (dal punto di vista della sicurezza del GDPR). D'altro canto, per quanto concerne le aziende che hanno avuto difficoltà a ottenere i fondi da investire, il GDPR offre una grande opportunità affinché gli esperti della sicurezza e i massimi dirigenti si allineino. Nuove normative come questa stanno costringendo le aziende ad avere standard di base, il che fornirà il supporto per una maggiore innovazione tecnologica nel futuro.
La privacy dei dati e la sicurezza IT non costituiscono solo requisiti normativi, ma sono anche un’esigenza dei clienti. È sempre più frequente che i clienti domandino alle aziende come gestiscono i loro dati. C'è un rapporto di fiducia, si presuppone che l'azienda che riceve i dati ne avrà cura. La legge serve solo a garantire che le aziende stiano facendo tutto il possibile per onorare tale fiducia.
