Il rischio informatico è diventato una delle principali minacce per le aziende di tutto il mondo, in quanto gli effetti possono essere devastanti e causare danni finanziari, reputazionali e persino fisici. In questi contesti è chiaro come la cyber security assuma un ruolo di primaria importanza per ogni organizzazione.
Phil Venables, membro del Consiglio di Amministrazione e Responsabile della Sicurezza (Ciso) di Google Cloud, è un esperto in questo campo e il suo incarico lo porta a confrontarsi spesso con i dirigenti delle aziende di tutti i settori della cybersecurity e sui rischi tecnologici connessi. In questo contesto, riconoscendo come la cyber security sia un tema di primaria importanza per ogni organizzazione, egli ha ritenuto opportuno condividere la prospettiva di Google Cloud su come ogni CdA possa affrontare al meglio l’aspetto della sicurezza informatica, nonché le modalità per assumere un ruolo più proattivo in queste aree. In particolare, poichè la responsabilità di garantire che l'azienda sia efficacemente preparata ad affrontare le minacce informatiche è affidata ai CdA, questo significa che il Board deve essere sempre informato sulle ultime tendenze e sulle migliori pratiche in questa materia e deve lavorare a stretto contatto con il Ciso (Chief Information Security Officer) e altri leader aziendali per garantire che l'azienda sia adeguatamente protetta.
Ci sono tre principi fondamentali che il CdA dovrebbe adottare per gestire efficacemente il rischio informatico:
- essere istruiti: il consiglio di amministrazione deve garantire che il rischio informatico sia sempre inserito nelle discussioni operative e strategiche e nelle decisioni organizzative. Questo significa comprendere bene l'impatto che la sicurezza informatica ha sui framework di gestione del rischio e della resilienza. Inoltre, un CdA dovrebbe essere sempre aggiornato sulle principali minacce informatiche presenti e sulle tecnologie emergenti, le quali potrebbero rappresentare nuove minacce;
- essere coinvolti: il CdA deve lavorare in completa sinergia con il Ciso, altri leader aziendali e gli stakeholder chiave per comprendere le criticità e le esigenze di risorse, garantendo che il rischio informatico sia trattato come prioritario per tutti i dirigenti, non solo dagli “addetti ai lavori”. In stretta collaborazione con il Ciso, il CdA dovrebbe definire i ruoli e le responsabilità in materia di sicurezza informatica all'interno dell'azienda;
- essere informati: il CdA deve rimanere in contatto con le organizzazioni esterne, così da essere sempre informato sulle ultime tendenze e pratiche in materia di sicurezza informatica. Ciò potrebbe includere la partecipazione a conferenze e seminari, la collaborazione con altre aziende e l'adesione a gruppi di lavoro e organizzazioni di settore.
Nel 2022, Mandiant, azienda parte di Google Cloud, ha aiutato oltre 1800 clienti a recuperare dagli incidenti di sicurezza informatica più critici.
In secondo luogo, il tempo necessario per scoprire una compromissione e implementare le relative protezioni sta diventando sempre più breve, elemento quest’ultimo, fondamentale per l’innalzamento del livello di sicurezza informatica generale. Nella valutazione di queste tendenze, dovrebbero lavorare con il Ciso, per comprendere la connessione tra l'intelligence sulle minacce e la mitigazione del rischio e come portare i partner esterni di sicurezza informatica al tavolo per aiutare a tradurre l'intelligence di prima linea in informazioni utili. Ciò potrebbe includere la collaborazione con fornitori di servizi di sicurezza informatica, organizzazioni di intelligence sulle minacce e altre aziende del settore.
In sintesi, il Cda riveste un ruolo cruciale nella gestione del rischio informatico e attraverso principi fondamentali di consapevolezza, coinvolgimento e informazione può garantire che l'azienda sia adeguatamente protetta e preparata ad affrontare le minacce emergenti di cybersecurity e quelle relative alle tecnologie Ai.