Sicurezza e CISO alla ricerca di risorse: come parlare la lingua di un CFO

Imparando a parlare la lingua del CFO, i CISO possono ottenere l'investimento di cui hanno bisogno per mettere in pratica le loro strategie difensive.

ciso

Ogni CISO sa che il panorama delle minacce informatiche sta diventando sempre più sofisticato, rendendo la missione di mantenere l’azienda sicura un compito apparentemente senza fine. Un recente sondaggio di Proofpoint ha rilevato che per più della metà dei CISO e dei CSO nel Regno Unito la loro organizzazione ha subito almeno un attacco informatico significativo nel 2020, con quasi due terzi che hanno espresso la preoccupazione che la loro organizzazione sia a rischio di un attacco nel 2021.

Tuttavia, la sfortunata realtà è che molti CISO lottano per ottenere le risorse di cui hanno bisogno per difendere la loro organizzazione. Lo stesso sondaggio ha rilevato che la metà degli intervistati ritiene che il proprio consiglio di amministrazione non presti sufficiente attenzione a fornire un’efficace sicurezza informatica. Imparando a parlare la lingua del CFO, i CISO possono ottenere l’investimento di cui hanno bisogno per mettere in pratica le loro strategie difensive.

Capire il CFO

I CFO sono naturalmente, principalmente interessati alle prestazioni finanziarie dell’organizzazione, alla protezione delle sue risorse e allo sviluppo della capacità dell’azienda di creare valore e aumentare i ricavi. La sicurezza e la conformità non sono qualcosa a cui il CFO dedica molto tempo, anche se riconosce che il costo di un incidente di sicurezza può essere devastante. Prendiamo ad esempio gli attacchi BEC (Business Email Compromise): l’FBI ha recentemente stimato le perdite dovute a tali attacchi a 26,5 miliardi di dollari negli ultimi tre anni.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Nonostante il comprovato rischio finanziario, le organizzazioni non dispongono di budget illimitati e i CFO devono essere estremamente attenti a come spendere i soldi per affrontare le sfide ei rischi aziendali, tra cui sicurezza e conformità.

Realizzare il business case

Prima di andare dal CFO per discutere di nuovi investimenti, è saggio allineare i vostri obiettivi di sicurezza informatica e la proposta di budget con gli obiettivi di business e conformità più ampi:

1: Evidenziare il divario di controllo

Il primo passo per realizzare il business case per gli investimenti nella sicurezza informatica è assicurarsi di definire in modo chiaro e conciso il problema. Descrivete il gap di controllo in termini non tecnici. Ad esempio, evidenziate come i sistemi gateway consentano il passaggio di e-mail dannose o come la vostra azienda non abbia la capacità di tenere traccia dei dati critici che si spostano tra sistemi cloud di terze parti.

Valutate la possibilità di utilizzare il confronto tra pari per dimostrare che società comparabili hanno affrontato la questione. Ciò garantisce che il CFO abbia visibilità su ciò che sarebbe difendibile se si verificasse un evento.

2: Quantificare il rischio associato e i livelli di impatto

Affrontate il divario di controllo ed evidenziate come ciò potrebbe provocare un incidente di sicurezza, utilizzando i modelli di rischio della tua azienda. Delineate le potenziali perdite che potrebbero derivare da una violazione e considerate l’utilizzo di una curva Value at Risk per allinearvi con altri modelli finanziari. Includete riferimenti alla perdita sia come percentuale del fatturato annuo, impatto operativo di un’interruzione del servizio, sia come questione di reputazione. Includete infine eventuali sanzioni normative o costi aggiuntivi derivanti da un maggiore controllo normativo e presentate le potenziali perdite insieme a recenti esempi dai media per evidenziare la potenziale realtà.

3: Descrivere la soluzione

Scegliete un linguaggio non tecnico nella descrizione della soluzione. Spiegate perché questa soluzione affronterà il rischio quando i controlli esistenti non lo fanno. Includete alcune alternative per dare al CFO una certa flessibilità di esplorazione, anche se ritenete che la soluzione sia chiara. Evidenziate inoltre le opportunità, come la capacità di semplificare il patrimonio tecnologico o di cercare una maggiore leva finanziaria per lo sconto o l’opportunità di promuovere l’efficienza attraverso l’automazione.

4: Evidenzia il valore

Assicuratevi che il vostro caso aziendale affronti i problemi di costi specifici e le ricompense per l’abilitazione aziendale. In primo luogo, delineate il costo del prodotto e i costi stimati associati alla sua distribuzione e alla sua implementazione, inclusi i costi di formazione e progetto.

Dimostrate come la soluzione può far risparmiare denaro in generale. Delineate la soluzione rispetto al rischio finanziario e dettagliate i costi irrecuperabili rispetto al “valore a rischio” rivisto su un periodo da tre a cinque anni. Delineate i potenziali risparmi derivanti dall’automazione, dal consolidamento o dalla disattivazione del prodotto e quindi ribadite la perdita annualizzata che potrà essere evitata. Infine, collegate la soluzione alle iniziative di abilitazione aziendale esistenti e considerate quali progetti trarranno vantaggio da questo investimento.

Avvicinarsi alla C-Suite

La “C” in CISO spesso manca dell’importanza della “C” in COO, CFO e CRO, ma ciò deve cambiare se l’industria della sicurezza vuole affrontare veramente le sfide che mettono in pericolo un’economia sempre più digitale. Il CFO è la persona più influente al tavolo dopo il CEO. I CISO devono costruire migliori relazioni di livello C e dimostrare una vera comprensione per la gestione, e non solo per la protezione, di un’azienda.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!