Il rischio è ineluttabile. Basta guardarsi intorno per vedere la grande quantità di ostacoli tecnologici, economici e competitivi che i CIO devono non solo gestire, ma anche oltrepassare.
Un sondaggio di PwC Global Risk [in inglese] ha rilevato che il 75% dei leader che si occupano di risk management afferma che le pressioni finanziarie limitano la loro capacità di investire nella tecnologia avanzata necessaria per valutare e monitorare i rischi stessi. Tuttavia, non riuscire ad affrontarli con successo con un programma di gestione del rischio [in inglese] efficace, significa andare incontro a un disastro.
Per capire se un’azienda sta facendo tutto il possibile per proteggersi dalle minacce interne ed esterne, le seguenti sette regole di base possono essere di aiuto.
Regola 1: partire da un livello di propensione al rischio accettabile
Una volta che il CIO comprende la propensione al rischio della propria impresa, tutto il resto – strategia, innovazione, selezione della tecnologia – può allinearsi senza problemi, riflette Paola Saibene, principal consultant della società di consulenza aziendale Resultant.
Tuttavia, stabilire la propensione al rischio, ossia il livello di rischio accettabile in una situazione specifica, è impegnativo, in quanto molte aziende lo comprendono intuitivamente, ma non lo definiscono, o comunicano esplicitamente in modo strutturato, osserva Saibene.
[Vedi anche: 5 rischi IT verso i quali i CIO dovrebbero essere paranoici] [in inglese]
“In effetti, i Chief Information Officer spesso confondono la gestione del rischio con la compliance o la cybersecurity, quando invece si ha a che fare con un contesto molto più ampio”, spiega, consigliando ai leader IT di designare un responsabile del risk management che possa fungere da miglior alleato del CIO, aiutandolo a navigare tra le varie problematiche, ad accelerare le iniziative strategiche e a fornire indicazioni su dove possa essere necessaria la cautela rispetto a tutti quei casi in cui è possibile privilegiare la velocità.
La gestione del rischio è uno degli aspetti più incompresi ma preziosi della leadership, osserva Saibene. Quando i CIO abbracciano questa tipologia di framework [in inglese], possono identificare in modo proattivo i rischi legati all’IT, proporre strategie di mitigazione e collaborare efficacemente con i responsabili del comparto. “Questo non solo rafforza il coinvolgimento dei dirigenti, ma accelera anche i progressi”, aggiunge.
Regola 2: fare l’inventario delle applicazioni
La regola di gestione del rischio più critica per qualsiasi Chief Information Officer è mantenere un inventario completo e costantemente aggiornato dell’intero portafoglio di applicazioni dell’azienda, identificando e mitigando in modo proattivo i rischi per la sicurezza prima che possano concretizzarsi, consiglia Howard Grimes, CEO del Cybersecurity Manufacturing Innovation Institute, una rete di istituti di ricerca statunitensi che si concentrano sullo sviluppo di tecnologie manifatturiere attraverso partnership pubblico-private.
Può sembrare semplice, ma molti CIO non riescono a seguire questa disciplina fondamentale, osserva Grimes. “I rischi emergono spesso quando l’impresa trascura una gestione rigorosa del portafoglio di applicazioni, in particolare con la rapida adozione di nuovi strumenti guidati dall’intelligenza artificiale che, se non controllati, possono esporre inavvertitamente la proprietà intellettuale dell’azienda”.
In mancanza di una revisione e di una razionalizzazione strutturata delle applicazioni, le società diventano vulnerabili alle inefficienze operative, ai fallimenti della conformità e all’aumento esponenziale dei rischi informatici, avverte Grimes. “I CIO dovrebbero adottare un approccio proattivo e preventivo, gestendo le applicazioni aziendali in modo olistico per prevenire le lacune nella sicurezza prima del loro emergere”.
Una delle principali preoccupazioni di oggi è la rapida adozione di strumenti AI-based che, pur promuovendo l’efficienza, comportano anche dei rischi per la proprietà intellettuale aziendale [in inglese], afferma Grimes. “Le aziende devono implementare meccanismi per proteggerla e per evitare che i dati sensibili vengano inseriti nei motori di AI pubblici”, sottolinea. “In molti casi, si dovrebbe optare per modelli di AI chiusi e proprietari, non connessi a Internet, per garantire che i dati critici rimangano al sicuro all’interno del perimetro aziendale”.
Grimes aggiunge: “I CIO devono razionalizzare ogni applicazione, risorsa e asset all’interno della loro impresa, assicurandosi che vengano eliminati gli strumenti ridondanti o inutili, che le lacune nella sicurezza vengano affrontate in modo proattivo e che i dipendenti non introducano applicazioni non autorizzate nell’ecosistema IT”.
Anche l’espansione dell’uso di un’applicazione al di là del suo scopo originale deve essere valutata con attenzione, consiglia, poiché può introdurre rischi di sicurezza imprevisti. “Inoltre, senza una razionalizzazione frequente e proattiva delle applicazioni, il cosiddetto “app creep” può portare a inefficienze, a un aumento del rischio informatico e a inutili oneri per i team di assistenza IT”, tiene a precisare.
Regola 3: essere proattivi
Ogni CIO deve adottare un approccio proattivo alla cybersecurity, raccomanda Jonathan Selby, tech practice lead della società di consulenza per il risk management Founder Shield. Il manager suggerisce di creare una cultura orientata alla sicurezza attraverso la formazione dei dipendenti [in inglese], di regolamentare gli aggiornamenti dei sistemi e l’implementazione di misure di sicurezza complete, compreso un piano di risposta agli incidenti [in inglese].
La cybersecurity è oggi una guerra su più fronti, rileva Selby. “Non possiamo più permetterci il lusso di sottovalutare gli attacchi”. I leader devono riconoscere l’interdipendenza di un solido piano di gestione del rischio nel quale ogni livello svolge un ruolo vitale. “Il lavoro più massiccio non può essere affidato soltanto una polizza di responsabilità civile informatica, né è sufficiente una formazione dei dipendenti di alto livello a costituire la sua armatura”.
La regola numero 1 per minimizzare il rischio è iniziare dall’alto verso il basso, consiglia Selby. “Non c’è bisogno di intervenire sulla copertura della responsabilità civile informatica o sul piano di risposta”, dice. La cybersecurity deve essere un impegno di tutti. “Ogni membro del team svolge un ruolo fondamentale nella protezione dei beni digitali dell’azienda”.
Regola 4: formalizzare la gestione del rischio in tutta l’azienda
I CIO e i loro dipartimenti si occupano già di gestione del rischio ogni giorno, quindi perché non formalizzare il processo e integrarlo nel resto dell’azienda, chiede Will Klotz, consulente senior per la sicurezza del rischio presso GuidePoint Security, una società di servizi di cybersecurity. “La cosa migliore è rendere, intenzionalmente, il risk management una parte della gestione quotidiana, delle decisioni e delle operazioni”, suggerisce.
Esprimendo il rischio in termini comprensibili a tutta l’azienda, si può dare ai progetti un’adeguata priorità ai progetti e alle discussioni più significative con gli stakeholder meno tecnici, il tutto costruendo fiducia in tutta l’organizzazione, dice Klotz.
Regola 5: essere realisti
Molte aziende hanno strategie di risk management irrealistiche, che non affrontano i casi reali o il modo in cui questi rischi si realizzano, afferma Brian Soby, CTO e co-fondatore del fornitore di servizi di sicurezza SaaS AppOmni.
Soby raccomanda di testare l’attuale programma di gestione del rischio dell’azienda rispetto agli incidenti del mondo reale. “Vediamo violazioni quotidiane, se non settimanali”, osserva. Per ognuno di questi incidenti, occorre considerare le circostanze della violazione o dell’attacco e applicarle all’azienda azienda, consiglia Soby.
Soby ritiene che ci sia un grossolano disallineamento tra le tipologie di minacce e di rischi che le imprese pensano di dover mitigare e quelli che, effettivamente, affrontano. “Le imprese devono valutare i loro programmi di risk management rispetto alla realtà, e il modo più semplice per farlo è, semplicemente, confrontare il programma dell’azienda con gli incidenti reali, per vedere quale sarebbe stato il risultato”.
Soby consiglia di osservare gli approcci che altre imprese stanno adottando per mitigare il rischio, utilizzando la formazione sulla sicurezza e i controlli tecnici. “Confrontateli con le violazioni reali”.
Regola 6: dare importanza alla resilienza
Un’azienda dovrebbe concentrarsi sulla resilienza e sulla creazione di sistemi in grado di riprendersi rapidamente da qualsiasi interruzione, dichiara Greg Sullivan, socio fondatore della società di cybersecurity e di gestione del rischio CIOSO Global, ed ex CIO di Carnival Corp. “I sistemi resilienti affrontano simultaneamente più vettori di minacce e si allineano alle priorità aziendali”, precisa. “Questo approccio crea anche un quadro misurabile con metriche RTO [recovery time objective] e RPO [recovery point objective]”.
Sullivan sostiene che i CIO spesso commettono l’errore di investire eccessivamente in misure difensive e preventive, trascurando le capacità di resilienza e di recupero [in inglese]. “Questo crea uno squilibrio e un falso senso di sicurezza”, avverte. “È fondamentale che tutti gli stakeholder partecipino al ripristino e seguano procedure ben studiate e comunicate”.
Ogni azienda ha bisogno di un piano di disaster recovery [in inglese] e di business continuity [in inglese] aggiornato, consiglia Sullivan. “Questi piani aiutano a costruire la resilienza, concentrandosi sul ripristino dei sistemi e su una strategia operativa per mantenere le funzioni aziendali mission-critical”, spiega. “La cosa più importante è che questo piano debba essere testato e perfezionato regolarmente”.
Regola 7: allineare la gestione del rischio IT agli obiettivi aziendali
L’IT non dovrebbe mai esistere in modo isolato: deve supportare direttamente gli obiettivi aziendali, proteggendo, al contempo, dalle minacce tecnologiche rilevanti, chiarisce John Bruce, CISO dell’azienda globale di cybersecurity Quorum Cyber.
Un forte allineamento IT-business assicura che gli investimenti IT forniscano un valore aziendale anziché soltanto capacità tecniche, aggiunge Bruce. “Quando gli obiettivi IT e aziendali sono sincronizzati, le imprese prendono decisioni più intelligenti sui rischi, allocano le risorse in modo più efficace e ottengono il consenso dei dirigenti”, riconsce. “Questo approccio trasforma la tecnologia da un centro di costo in un fattore di supporto al business”.
Bruce raccomanda di stabilire una struttura formale di governance del rischio che includa il supporto dei dirigenti. “Sviluppando registri dei rischi che colleghino quelli tecnologici agli impatti aziendali e utilizzando metriche focalizzate sul business che i dirigenti possano comprendere, il CIO può istituire un comitato dei rischi interfunzionale con gli stakeholder aziendali per intraprendere revisioni regolari dei rischi”, conclude.
Leave a Reply