Ryan Gillis, VP for Cybersecurity Strategy and Global Policy, e Mark Gosling, VP Internal Audit di Palo Alto, tratteggiano il rapporto tra security e compliance. Anche se la conformità riveste un ruolo importante, non dovrebbe sviare il focus dei manager dalla gestione dei rischi cyber. Ovviamente non ci troviamo di fronte a uno scenario e/o tra rischio e compliance. Le aziende di maggior successo sono quelle che comprendono la stretta relazione che esiste tra le due e agiscono di conseguenza in termini di budget, risorse e focus.
Compliance e sicurezza non si escludono l’un l’altra, anzi. Idealmente, la conformità può documentare e fornire delle metriche che riflettono l’approccio alla gestione dei rischi cyber di un’impresa. Se si prendono gli step necessari per salvaguardare i dati più critici in rete, negli ambienti cloud e sugli endpoint, e si istruiscono regolarmente i dipendenti sulle buone pratiche di sicurezza, l’organizzazione sarà ben posizionata per la compliance.
Ecco perché è importante ricordare che la conformità è il basamento degli sforzi di cyber sicurezza di un’azienda, non il soffitto. E i top manager dovrebbero aiutare le loro aziende a focalizzarsi sui macro temi – ridurre i rischi, incrementare le opportunità di business e impiegare le risorse in modo strategico e intelligente per garantire la vitalità, competitività e solidità finanziaria di lungo termine dell’organizzazione. In un’era di iper-conformità, non fatevi distrarre dall’obiettivo reale In tutto il mondo nascono continuamente nuove normative volte a indirizzare le sfide digitali, ma non bisogna focalizzarsi in modo miope sulle leggi piuttosto che sulla riduzione delle minacce, perché il rischio è quello di dimenticare le priorità di business.
Ricordiamoci inoltre che le nuove normative possono generare confusione, conflitti e inefficienze che potrebbero addirittura aumentare il rischio cyber, dirottando preziose risorse dall’identificazione e prevenzione di minacce verso attività di reporting e accounting. Essere ‘protetti’ non è uno stato finale ma richiede una valutazione continua di un panorama di minacce in costante evoluzione. Implicazioni per il top management Ne consegue che gli executive devono passare da un approccio passivo e distaccato a uno più proattivo e interessato; devono conoscere meglio come i loro responsabili della sicurezza identificano i rischi e mirare a diventare dei partner nell’aiutarli a ottimizzare i piani di difesa. Questo significa che anche i membri del board devono accelerare la loro competenza sui rischi cyber. Come decidono di farlo è indifferente ma un recente studio condotto dal NASDAQ ha evidenziato che il 91% dei membri del consiglio di amministrazione non è in grado di interpretare un rapporto di cybersecurity. E questo rappresenta un problema significativo.
Una delle cose che i top manager possono fare per garantire che le risorse di cybersecurity della propria organizzazione vengano impiegate nel modo più efficace possibile è quello di ricordare che un’attenzione costante e continua ad allineare la riduzione del rischio con le priorità di business favorirà notevolmente il raggiungimento degli obiettivi di compliance. I manager che aiutano i loro collaboratori a minimizzare le vulnerabilità e a bilanciare in modo corretto rischio e opportunità avranno un impatto significativo sul successo della propria azienda, ma solo se ricordano che la conformità è solo un sottoprodotto di tale sforzo, non l’obiettivo ultimo.
