I suggerimenti di Qualys sulla gestione del budget da parte del CISO

redazione

Il ruolo di un CISO consiste nel garantire la protezione informatica e digitale dell’azienda, dei suoi dipendenti e dei propri dati. Questo implica una corretta gestione del budget per sostenere le attività aziendali. Secondo Gartner, entro il 2023, il 30% dell’efficacia di questa figura professionale sarà valutata sulla sua capacità di creare valore per il business. Di conseguenza, qualsiasi programma di cybersecurity deve allinearsi con il piano aziendale, proteggere le fonti di reddito esistenti e controllare quelle future generate dai nuovi prodotti o da nuove acquisizioni. 

Sviluppare le relazioni con gli altri dipartimenti

È importante che le decisioni di budget del CISO siano collegate al modo in cui il business genera entrate o soddisfa altri obiettivi aziendali come l’efficienza operativa. In questo modo, il manager della sicurezza informatica e digitale si presenta come un partner di business e la cybersecurity come il motore di sviluppo dello stesso. Inoltre, il CISO dovrebbe spiegare i rischi della cybersecurity in base all’impatto sul business e trovare soluzioni per minimizzare i potenziali problemi nel tempo. 

L’adozione di un approccio basato sul rischio permette così di creare un terreno comune con i dipendenti, attraverso lo sviluppo di solide relazioni con i diversi ruoli aziendali all’interno di un’organizzazione. Questo confronto collaborativo permette di individuare i modi in cui la sicurezza può aiutare, motivando la spesa di budget con i risultati attesi.    

Sapere quali sono i propri asset e risorse IT

Una corretta allocazione del budget richiede ai CISO l’individuazione delle risorse prioritarie dell’azienda. Questo avviene attraverso una valutazione preventiva dei rischi e l’implementazione di soluzioni in grado di offrire una panoramica dettagliata degli assets IT a disposizione, al fine di poter garantire una protezione adeguata.

I risultati di questa valutazione incideranno sulla pianificazione del budget e supporteranno le raccomandazioni del CISO. Ad esempio, ci sono ancora aziende sprovviste di precisi inventari degli assets IT, di una formazione specifica anti-phishing, di clausole contrattuali di indennità di cybersecurity con i partner commerciali e di un piano di gestione delle crisi. 

Il budget deve anche prevedere stanziamenti dedicati alla formazione sulla sicurezza e allo sviluppo della cultura aziendale. Nello specifico, cultura della sicurezza significa far sì che tutti i dipendenti siano consapevoli della postura di sicurezza e di rischio dell’azienda, tale da adottare un comportamento sicuro. 

Integrare le competenze dei dipendenti con l’automazione

Ogni CISO dovrebbe investire in persone qualificate, sviluppando le competenze dei dipendenti che già conoscono l’azienda e il suo business e promuovendo una cultura che li fidelizzi. In aggiunta, l’implementazione dell’automazione potrebbe rendere il team più efficace ed efficiente, riducendo lo stress e fornendo una migliore sicurezza. 

Definire il budget in modo diverso 

Considerando la complessità della situazione attuale, si prevede che i budget per la cybersecurity rimarranno, nel migliore dei casi, stabili. Per questo motivo è importante consolidare i rapporti con i propri fornitori per massimizzarne i benefici. Un altro aspetto che può influenzare il budget sono le nuove soluzioni integrate lanciate dai vendor sul mercato al fine di consolidare e semplificare la proliferazione di soluzioni verticali. Queste possono incidere positivamente sui costi, portando le aziende a registrare risparmi significativi. Ad esempio, si può passare a una revisione del budget più breve, su base trimestrale, per individuare con più chiarezza gli sforzi e le risorse necessarie. Questa soluzione consente anche al CISO di individuare velocemente un vendor che non offre abbastanza valore all’organizzazione. 

Dato che i dirigenti e i consiglieri d’amministrazione si aspettano “value for money”, è fondamentale che i CISO allineino il business al giusto livello d’investimento in sicurezza considerando, anche in prospettiva, la propensione al rischio del business. 

Monitorare la propria attività di cybersecurity

Tutti i budget devono essere rivisti nel tempo e tutti i team di cybersecurity dovrebbero riferire i loro risultati al team di leadership esecutivo. Pertanto, è utile implementare parametri significativi che mostrino l’apporto delle operazioni di cybersecurity alla creazione di valore per il business, evidenziando anche i rischi di sicurezza. 

In sintesi, i CISO sono chiamati a svolgere una valutazione approfondita della postura di sicurezza esistente e a stabilire come questa possa contribuire agli obiettivi e alle priorità del business, gestendo così in modo accurato il budget per la cybersecurity. 

Di Giuseppe Brizio, Chief Information Security Officer EMEA di Qualys