" " La gestione della cyber security aziendale: il ruolo del CdA (seconda parte) - DiliTrust

La gestione della cyber security aziendale: il ruolo del CdA (seconda parte)

La criminalità informatica è una minaccia crescente. Per attenuare il problema è necessario che il CdA introduca una serie di procedure dedicate alla cyber security, a partire dallo stabilire il corretto approccio da seguire, disporre di informazioni sempre aggiornate e supervisionare la gestione del rischio informatico. Per leggere la prima parte di questa serie, in cui approfondiamo i 5 aspetti chiave che il CDA deve considerare per migliorare il livello di sicurezza informatica, clicca qui.

La gestione della cyber security aziendale: il ruolo del CdA (seconda parte)

PREPARARE IL CDA AD AUMENTARE IL LIVELLO DI SICUREZZA INFORMATICA

Secondo un’indagine di Spencer Stuart  condotta fra i membri dei comitati di revisione, “solo il 21% dei membri del CdA ritiene che la propria azienda abbia il rischio informatico sotto controllo”, mentre “il 66% dei dirigenti IT senior riferisce al consiglio di amministrazione solo occasionalmente“.

Sebbene sia ormai noto che il CdA deve gestire le conseguenze di un attacco informatico, è tuttavia ancora molto frequente che i board non dispongano di informazioni di base ma critiche. Al fine di orientare il consiglio di amministrazione verso un livello più elevato di sicurezza informatica, EY nel suo Centre for Board Matters del 2019, ha osservato come “una delle cose più importanti che un consiglio di amministrazione può fare è stabilire il corretto approccio e allinearsi con il management sull’adeguata propensione al rischio in materia di cyber security“. E` pertanto molto importante che nelle discussioni sulla gestione del rischio e sulla strategia, i board siano aggiornati e  abbiano accesso alle informazioni più recenti.

I membri del CdA devono necessariamente mettere in atto un sistema di reporting e di training del management, in particolare dei gruppi di lavoro che si occupano della cyber security. In un’epoca di cambiamenti tecnologici senza precedenti, la gestione del rischio digitale è una responsabilità collettiva.

4 MODI IN CUI IL CDA PUò AUMENTARE LA PROPRIA CONOSCENZA IN MATERIA DI CYBER SECURITY 

  • Discutere in modo approfondito il livello di rischio dell’azienda: PwC raccomanda di analizzare i seguenti punti chiave: la strategia informatica dell’azienda, i tipi di minacce informatiche che l’azienda deve affrontare, i più importanti asset digitali all’interno dell’azienda, i risultati del più recente risk assessment e le eventuali azioni di prevenzione pianificate.
  1. Partecipare ad eventi esterni: La partecipazione a conferenze dedicate al controllo del rischio informatico può aiutare a conoscere i nuovi sviluppi e le pratiche migliori da adottare all’interno del CDA.
  1. Discutere regolarmente con il management: Anche se non si tratta di un’idea innovativa, è fondamentale che i consigli di amministrazione interagiscano con il management circa le proprie conoscenze in materia di cyber security.
  1. Confronto regolare con terze parti: PwC nota che, per migliorare realmente la propria conoscenza in materia di sicurezza informatica, i consigli di amministrazione dovrebbero consultare anche opinioni esterne al fine di migliorare la propria conoscenza in materia. Ad esempio, dei consulenti esterni potrebbero aggiornare il consiglio di amministrazione con valutazioni periodiche sui rischi per la sicurezza informatica dell’organizzazione. Secondo un’indagine governativa britannica sulle violazioni informatiche pubblicata quest’anno, “nel corso dell’ultimo anno tre imprese su cinque (59%) hanno cercato attivamente informazioni o linee guida sulla cyber security al di fuori della propria azienda”.

Revisione del piano di risposta agli incidenti

Un’attività essenziale che i consigli di amministrazione devono intraprendere è la revisione del piano di risposta da adottare nell’eventualità di una violazione. Questo piano dovrebbe indicare chiaramente chi sono i principali responsabili delle decisioni e quali azioni devono essere intraprese.

domande chiave PER DEFINIRE LE PROCEDURE DEL Board

Ecco alcune domande chiave da porsi per definire la procedura che deve essere seguita dal CdA:

  • Quali sono gli asset di maggior valore all’interno dell’impresa?
  • Esiste un sistema di gestione del rischio a livello aziendale? (e, nel caso, sono allocate sufficienti risorse e budget?)
  • Quali sono le potenziali vulnerabilità all’interno dell’azienda in termini di rete? (ad esempio, l’accesso di terze parti).
  • Come vengono identificati in tempo reale gli attacchi informatici?
  • Qual è il piano di risposta dell’azienda in caso di un attacco informatico? Con quale frequenza viene testato il piano di risposta?
  • Quali rapporti ha l’azienda con terze parti per rispondere efficacemente a una violazione? Come si possono sviluppare ulteriormente queste relazioni?
  • Il consiglio di amministrazione ha preso parte a delle simulazioni di un incidente informatico? Se la risposta è no, è necessario organizzarle e ripeterle con regolarità, incoraggiando le principali parti interessate a prendervi parte.
  • Considerare la creazione di un team interno responsabile di rispondere in tempi rapidi in caso di incidente informatico.

PROCEDURE DI COMUNICAZIONE

Un altro elemento critico dopo un attacco informatico è la comunicazione alle parti interessate. Il consiglio di amministrazione deve disporre di un piano di comunicazione che specifichi quando e come i clienti devono essere informati, così come il personale e gli organismi esterni. Il consiglio di amministrazione deve anche supervisionare il piano circa le tempistiche di notifica alla polizia. Nei casi più gravi si raccomanda inoltre che il consiglio di amministrazione si rivolga ad un forensic digital team per esaminare le prove della violazione. Pertanto, il CDA deve anche determinare se questo team riferirà alla direzione o al consiglio di amministrazione.

SICUREZZA, NON COMPROMESSI

Un passo fondamentale che i Board devono compiere per garantire una maggiore sicurezza consiste nel proteggere le informazioni altamente riservate di cui dispongono. Adottando una soluzione di SMART CDA, come DiliTrust Exec, i membri del board possono essere certi che i loro dati (memorizzati localmente su server in Europa, Medio Oriente e Canada), sono conformi al GDPR e certificati ISO 27001. Per ulteriori informazioni sulla sicurezza di DiliTrust Exec, contatta oggi stesso un membro del nostro team.

Per leggere la prima parte della nostra serie di articoli dedicati alla cyber security e al ruolo del CDA clicca qui.