Diventare un CEO esperto di cybersecurity

Non molto tempo fa, gli amministratori delegati affidavano la cybersecurity ai loro chief information o security officer. Quei giorni sono finiti.
Gli attacchi informatici sono sempre più frequenti e dannosi. Il Cyentia Institute stima che il costo di una singola violazione ad alto impatto sia di 52 milioni di dollari. Secondo Cybercrimemagazine, nel 2024 gli attacchi informatici costeranno all’economia globale quasi 10.000 miliardi di dollari.
In risposta, le autorità di regolamentazione negli Stati Uniti e in Europa stanno imponendo nuovi obblighi ai CEO e ai consigli di amministrazione. Negli Stati Uniti, ad esempio, gli amministratori delegati hanno la responsabilità di garantire che le loro aziende divulghino tempestivamente gli incidenti rilevanti di cybersecurity e che dispongano di solidi processi per identificare, valutare e gestire tali rischi.
Negli ultimi anni, i partner della practice Risk and Compliance di BCG hanno collaborato con centinaia di clienti in materia di cybersecurity e rischio digitale, contribuendo a elevare l’argomento da tattico a strategico, da silo nell’IT a incorporato nell’azienda, da reattivo a fonte di differenziazione competitiva. Di recente hanno pubblicato The Cybersecure CEO, un manuale su come i leader dovrebbero pensare e prepararsi a questi nuovi rischi.
Questa crescente attenzione per i CEO si verifica mentre questi sono sotto pressione per la trasformazione digitale e per l’integrazione dell’IA e della GenAI nelle loro aziende, esponendo le loro organizzazioni a ulteriori rischi informatici e a soggetti malintenzionati.
Gli errori umani e organizzativi sono responsabili della maggior parte delle violazioni della sicurezza informatica. Inoltre, strumenti sempre più sofisticati ma facili da usare stanno rendendo il lavoro dei criminali molto più semplice. La GenAI consente agli infiltrati di creare rapidamente deepfake realistici di messaggi di testo, foto, siti web, documenti aziendali, video e persino conversazioni in tempo reale.
Non si tratta più di sapere se un attacco informatico avverrà, ma quando. Come possono gli amministratori delegati prepararsi a questo mondo più rischioso e regolamentato? The Cybersecure CEO propone delle domande che affrontano i passi che un CEO dovrebbe compiere:

·       Avete discussioni strategiche con il vostro consiglio di amministrazione? Dovreste almeno essere in grado di spiegare le maggiori minacce alla sicurezza informatica della vostra azienda e le principali vulnerabilità dei vostri sistemi più critici. Dovreste anche avere una chiara idea di cosa accadrebbe all’organizzazione in caso di un attacco grave.
·       Il vostro mix di spesa per la cybersecurity è corretto? Le aziende hanno tre obiettivi nella cybersecurity: prevenzione, risposta a una crisi e recupero. La maggior parte della spesa per la cybersecurity è destinata alla prevenzione. Secondo le stime di BCG, solo il 20% è dedicato alla risposta e al recupero dopo un attacco. Concentrandosi maggiormente sulla risposta e sul recupero, i CEO possono aiutare le loro aziende a ridurre al minimo l’impatto degli attacchi, che probabilmente avranno successo prima o poi, e a migliorare il loro ROI.

·       Quanto è sicura la vostra trasformazione digitale? Mentre le organizzazioni accelerano la digitalizzazione, i CEO devono assicurarsi che le nuove soluzioni IT e le piattaforme cloud siano sufficientemente sicure, ma non a costo di rimandare le nuove soluzioni digitali.
·       Avete le capacità, la cultura e i talenti per essere sicuri dal punto di vista informatico? È necessario garantire che tutte le funzioni aziendali, non solo l’IT e la gestione del rischio, siano attivamente coinvolte nella sicurezza informatica. I CEO possono contribuire a elevare la cybersecurity a capacità critica di cui tutti i dipendenti sono responsabili.
Mentre il lavoro degli hacker diventa più facile, le richieste ai leader aziendali aumentano. Investendo nel recupero e nella protezione, inserendo la sicurezza nelle trasformazioni digitali e creando una cultura della vigilanza, i CEO possono gestire il rischio informatico anziché esserne vittime.

Christoph Schweizer è Amministratore delegato di Boston Consulting Group.