La sicurezza entra nei board aziendali, ed entro il 2025 il 40% dei consigli di amministrazione disporrà di un comitato dedicato alla cybersecurity supervisionato da un membro qualificato all’interno del board. Oggi è così solo nel 10% delle realtà. E’ questo uno dei principali cambiamenti in atto nei consigli di amministrazione aziendali, secondo la ricerca di Gartner, Board of Directors Survey, condotta tramite un sondaggio online da maggio a giugno 2020, con 265 intervistati in area Usa, Emea e Apac appartenenti ai Cda aziendali o con un ruolo di rilievo all’interno degli stessi.
La crescita dei rischi, determinata dall’estensione del perimetro aziendale – anche per l’adozione del lavoro remoto che ha permesso durante il periodo di restrizioni di proseguire le attività – oggi eleva l’attenzione per la sicurezza informatica che viene considerata “la seconda più alta fonte di rischio per la sopravvivenza aziendale, dopo quello relativo alla conformità normativa“. E di fatto sono pochi gli amministratori che si sentono sicuri dagli attacchi informatici. “E’ proprio questo il motivo per cui – come spiega Sam Olyaei, direttore della ricerca – molti consigli di amministrazione stanno formando comitati dedicati che consentano la discussione di questioni di sicurezza informatica in un ambiente riservato, guidato da qualcuno ritenuto adeguatamente qualificato”.
Si tratta di cambiamenti anche nella governance e per quanto riguarda la supervisione, destinati ad avere un impatto anche nei rapporti tra il Cda e i Ciso, questi ultimi di sicuro soggetti ad un controllo maggiore, ma anche con una maggiore disponibilità di risorse economiche e di supporto da gestire, come evidenziano gli analisti di Gartner. I numeri dicono che, entro il 2024, il 60% dei Ciso sarà chiamato a lavorare in partnership sempre più stretta con i responsabili delle vendite, del marketing, i capi divisione.
Questo anche in relazione alla pervasività dell’IT, e quindi delle problematiche legate alla sicurezza, in ogni comparto aziendale. E’ un significativo cambio di prospettiva considerato come questa percentuale oggi sia inferiore al 20%. Di fatto, sicurezza fisica, sicurezza IT, e sicurezza della supply chain sono sempre più convergenti, in modo tanto più sensibile quanto più si parla di aziende ad alta intensità nel consumo di risorse come le utility, i produttori, le aziende che operano sulle reti di trasporto, con il cybercrime che mira in modo specifico proprio ai sistemi cyber/fisici.
Lo dimostrano anche gli attacchi più recenti e le ondate di ransomware che colpiscono i sistemi operativi delle aziende e le risorse informatiche che gestiscono la supply chain.
Per questi motivi, considerare ancora il tema della sicurezza IT aziendale come “a sé stante” in futuro rappresenterà un rischio non sostenibile; mentre si dovrà partire proprio dall’analisi dei fattori critici con una visione che tenga conto, insieme, della sicurezza IT e della sicurezza fisica, come facce della medesima medaglia.
Supporta questa visione un altro dato della ricerca Gartner, secondo cui entro il 2025 il 50% delle aziende “high intensity” riunirà i team di sicurezza informatica, fisica e della supply chain sotto la responsabilità di un unico chief security officer che riporta direttamente al Ceo.
Un ultimo dato della ricerca si rivela interessante e solleva una serie di considerazioni. Se con l’adozione del lavoro remoto di fatto si è esteso il perimetro aziendale, si è però estesa anche, e proprio per questo, la possibilità di ricercare le competenze necessarie al di fuori del territorio di riferimento.
Prima di Covid-19, il 61% delle aziende intervistate faticava a trovare ed assumere professionisti della sicurezza, ma già entro il 2022 il 30% dei team di sicurezza incrementerà il numero di dipendenti che lavorano permanentemente da remoto.
Spiega così l’evoluzione dello scenario Richard Addiscott, senior director research di Gartner: “Quando le organizzazioni sono passate al lavoro remoto in risposta alla pandemia, di fatto si è visto che alcune, se non tutte, le funzionalità di sicurezza potevano essere fornite anche da remoto, per esempio il monitoraggio / le operazioni di sicurezza, lo sviluppo delle policy, la governance e il reporting della sicurezza, ma anche la risposta agli incident è stata possibile tramite team dispersi”.
I team di sicurezza informatica possono lavorare da remoto e fornire comunque risultati validi ed efficaci. Sarà invece importante adattare i propri modelli operativi ed espandere la ricerca dei talenti per fare in modo di accedere alle competenze anche di candidati validi che risiedono al di fuori delle tradizionali aree geografiche di reclutamento.
© RIPRODUZIONE RISERVATA