Mentre il business globale si evolve verso un nuovo modello di lavoro, in che modo i CEO possono aiutare, e addirittura agevolare i CISO e i CIO a intraprendere un percorso di leadership in quella che sta diventando la nuova normalità? I piani di continuità aziendale sono noti anche come disaster recovery plans.
In aggiunta, come evidenziato nel WEF’s latest Global Risks Reports for 2020, negli anni gli attacchi informatici sono diventati il rischio sistemico numero uno in molte aziende.
Cosa succede se la situazione di emergenza si protrae più a lungo, magari 18 mesi? Che cosa succede se ha un impatto su tutti i paesi del mondo e su ogni aspetto dell’attività aziendale? Cosa succede se il concetto di “normale” cambia e questo cambiamento diventa la base?
La nuova normalità per gli amministratori delegati
Nicolas Fischbach, Global CTO di Forcepoint, ci prova a dare qualche risposta a queste, ad altre domande e alle necessità che ha un CEO nel percorso di leadership verso nuova normalità. La realtà è che il mondo è diventato più connesso, mentre il perimetro aziendale è andato via via dissolvendosi, aumentando così la superficie di rischio. La maggior parte dei piani sviluppati fino ad oggi, non ha mai tenuto conto di un’interruzione a lungo termine, diffusa in tutta l’azienda o addirittura nel mondo intero, come ciò che stiamo affrontando ora con la pandemia di COVID-19.
Ma una volta messe in atto tutte le azioni di emergenza volte a tenere l’azienda in attività, qual è il passo successivo da compiere?
L’attuale situazione mondiale pone le aziende di fronte a una sfida senza precedenti, ma è anche un’opportunità per evolversi ed essere più forti di prima. La sicurezza, nella fase successiva a quella attuale, sarà un importante fattore di differenziazione competitiva: le imprese che non si impegneranno su questo fronte, non potranno che aspettarsi ulteriori perdite di produttività, dovute a tempi di inattività, sanzioni o attacchi informatici. Non bisogna, infatti, dimenticare che i criminali, in particolar modo i cyber criminali, approfittano e traggono vantaggio proprio dalla confusione.
Una strategia che diventa un percorso di leadership
Le aziende, invece, che terranno in alta considerazione un miglioramento della sicurezza, potranno realmente emergere, affermandosi e verranno riconosciute come imprese affidabili.
In questo panorama, il compito del CEO è quello di guardare oltre, per imporre la propria azienda in qualità di leader del settore, ma non può riuscire in questa impresa da solo. Il CEO deve intraprendere un percorso di leadership verso una nuova normalità.
Valutare i 10 principali rischi aziendali: la sicurezza IT e la protezione dei dati dovrebbero essere prioritarie in questo elenco.
Le misure di contenimento si stanno imponendo in tutto il mondo e le aziende, che ne hanno la possibilità, optano per far lavorare da casa i propri dipendenti. Negli ultimi anni, complice la diffusione su vasta scala della gig economy, sempre più persone hanno iniziato a lavorare da remoto, ma la diffusione di questa modalità di lavoro oggi non ha eguali.
È un dato di fatto che i dipendenti sono diventati il nuovo perimetro aziendale: centinaia di migliaia di persone che si connettono da remoto alla rete e lavorano con i dati trasferiti alle applicazioni SaaS appena implementate. A tutto questo, bisogna aggiungere la configurazione Internet domestica utilizzata, il possibile uso condiviso di un computer di famiglia e il phishing mirato. Appare chiaro che in questo contesto i cyber criminali possono introdursi facilmente. Ora più che mai, se non si è concentrati sulla sicurezza a livello umano, il rischio di una violazione è molto concreto. Sarà, quindi, necessario assicurarsi che la Cybersecurity e la protezione delle informazioni siano tra le priorità del team esecutivo.
La nuova normalità di CIO e CISO: flessibilità, minore burocrazia e fondi
Gruppi di lavoro diversi necessitano di strumenti o accessi differenti per svolgere efficacemente le proprie attività in smart working. Ad esempio, i team di assistenza clienti potrebbero aver bisogno di un monitor aggiuntivo, quelli finanziari di una copia locale di dati riservati, mentre gli sviluppatori che potrebbero aver fatto affidamento sui desktop Linux, in questo contesto devono trovare rapidamente un sostituto adatto all’uso da casa, poiché il jitter di rete sta rendendo le connessioni remote inefficaci.
Tutto questo richiede strumenti di sicurezza differenti rispetto a quelli che sono stati utilizzati fino ad ora. Se lavorare da casa significa un maggiore utilizzo di applicazioni cloud per condividere file e dati critici, il team di sicurezza dovrà implementare un broker di sicurezza per l’accesso al cloud per ottenere visibilità su come i dipendenti utilizzano le applicazioni e i dispositivi su cui si trovano. Spesso tutto questo viene combinato a una soluzione di prevenzione della perdita di dati per la protezione delle informazioni.
Il CEO chiede meno burocrazia
Mentre i CEO sono concentrati nella gestione più strategica, in un percorso di leadership che porti verso una nuova normalità, in questa situazione è fondamentale tagliare la burocrazia per garantire sia al CISO che al CIO la flessibilità e i fondi necessari per dotare rapidamente l’azienda delle soluzioni adatte. Che spesso si concretizzano nell’offrire sicurezza per il cloud, nel cloud. Di fatto, questa evoluzione necessaria diventa un’evidente opportunità per accelerare il percorso di trasformazione digitale probabilmente già intrapreso da tempo.
Inoltre, poiché i team si mobilitano rapidamente per affrontare nuove criticità in termini di sicurezza, è anche importante tenere sotto controllo le vulnerabilità della catena di approvvigionamento. Soprattutto perché i team potrebbero richiedere l’onboarding rapido dei servizi da parte di nuovi fornitori, che possono introdurre ancora più rischi e complessità aggiuntiva per i team operativi già impegnati. In questa fase, quindi, sarà necessario scegliere partner affidabili a lungo termine.
La nuova strategia flessibile
Per le soluzioni di sicurezza informatica, è sempre consigliabile prediligere quelle che forniscono una strategia, una piattaforma e delle soluzioni globali che siano flessibili per adattarsi rapidamente all’evoluzione del business aziendale. Se la necessità, invece, è quella di trovare un nuovo fornitore, è importante che il team legale acceleri il più possibile le verifiche di due diligence, contratto, certificazione e conformità.
Il ruolo di CEO comporta una responsabilità senza eguali, come impostare la strategia, la direzione e la cultura aziendale. Quello che per il CEO è essenziale, lo è anche per tutta l’azienda. Una volta superata la prima fase di emergenza, è bene assicurarsi che le attività inerenti alla sicurezza siano tra le priorità aziendali. Se non esiste ancora, è necessario creare una linea diretta con il CIO e il CISO per richiedere report e una dashborad regolare che metta in evidenza la sicurezza, la prontezza della protezione dei dati, lo stato e il potenziale impatto sul business – passato e futuro. Non si tratta solo della gestione del rischio, ma di riconoscere che queste funzioni sono fondamentale per il successo dell’azienda.
I CEO devono collaborare con CIO e CISO perchè sono a capo della strategia
È, inoltre, un buon momento per aggiornare ed espandere il piano di continuità aziendale per includere ciò che è stato appreso durante questo periodo e affrontare i nuovi metodi di lavoro.
Dare ascolto ai quei professionisti della sicurezza che sono sempre aggiornati e ben informati. E portare le loro competenze al consiglio di amministrazione per aiutare l’azienda a intraprendere le strade migliori per far crescere efficacemente il percorso aziendale.
Sfruttare la sicurezza informatica come driver di crescita e affermazione.
Mentre tutti stanno facendo del proprio meglio per affrontare una situazione commerciale mai vissuta fino ad oggi, l’obiettivo primario di ogni azienda dovrebbe essere quello di “riemergere” più forte e protetta di prima.
I CEO dovrebbero collaborare costantemente con i loro CIO e CISO per comprendere i rischi potenziali e le opportunità, assicurandosi così che la sicurezza informatica non sia solo il mezzo necessario ad evitare il disastro, ma che diventi un fattore chiave per la strategia aziendale complessiva.