Kaspersky, in Italia il 26% dei dirigenti C-level non comprende i termini di base della cybersecurity

redazione

Circa un dirigente d’azienda su quattro preferisce evitare di segnalare di non aver capito quando si parla di cybersecurity. Un recente studio di Kaspersky rivela inoltre che, in Italia, un manager C-level su dieci non ha mai sentito parlare di minacce come Botnet, APT e Zero-Day exploit. La stessa percentuale sembra non conoscere concetti di sicurezza informatica come DecSecOps, SOC e Pentesting.

Secondo uno studio di PwC, nonostante la cybersecurity sia un tema centrale in ogni azienda, più della metà dei dirigenti non è sicura che la spesa per la cybersecurity sia destinata ad affrontare i rischi più significativi. Kaspersky ha condotto una ricerca per aiutare i responsabili IT e i dirigenti italiani a trovare un accordo comune e a scoprire la causa delle loro incomprensioni.

Il sondaggio condotto da Kaspersky indica che i C-suite a volte faticano a capire i loro colleghi della sicurezza IT e non sono sempre disposti a dimostrare la loro incomprensione. Il 19% dei dirigenti non IT dichiara di non sentirsi a proprio agio nel segnalare di non aver capito qualcosa durante una riunione con i responsabili IT e della sicurezza informatica. Nonostante la maggior parte nasconda la propria confusione perché preferisce chiarire tutto dopo la riunione o scoprirlo da solo, il 26,32% dei dirigenti non solleva ulteriori domande perché crede che i colleghi dell’IT non siano in grado di fornire spiegazioni chiare. Inoltre, il 26,32% si sente in imbarazzo nel rivelare di non aver capito l’argomento e il 21,05% non vuole apparire ignorante di fronte ai colleghi informatici.

Sebbene tutti i top manager intervistati discutano regolarmente di questioni relative alla sicurezza con gli IT security manager, poco meno di un intervistato su dieci non ha mai sentito parlare di minacce come Botnet (7%), APT (7%) e Zero-Day exploit (7%). Allo stesso tempo, Spyware, Malware, Trojan e Phishing sembrano essere più familiari per i top manager.

In Italia, meno di un top manager su dieci ammette di non aver mai sentito citare i termini di cybersecurity come DecSecOps (9%), SOC (9%) e Pentesting (6%).

“Il top management non IT non deve per forza essere esperto nella terminologia e nei concetti più complessi della cybersecurity e i responsabili della sicurezza IT dovrebbero ricordarselo quando parlano durante il consiglio di amministrazione. Per una collaborazione efficace, i CISO dovrebbero riuscire a focalizzare l’attenzione dei dirigenti C-level sui dettagli significativi e spiegare chiaramente cosa sta facendo esattamente l’azienda per ridurre al minimo i rischi di cybersecurity. Oltre a fornire metriche chiare agli stakeholder, questo approccio deve offrire soluzioni anziché problemi, ha commentato Sergey Zhuykov, Solution Architect di Kaspersky.

Per facilitare la comunicazione tra la sicurezza informatica e le funzioni aziendali, Kaspersky consiglia di:

  • Considerare la sicurezza informatica come un elemento trainante per la crescita e l’innovazione dell’azienda. Per raggiungere questo obiettivo, il team di sicurezza informatica deve abbandonare le tattiche proibitive e spiegare piuttosto come l’azienda possa raggiungere i propri obiettivi mitigando i rischi di cybersecurity.
  • I CISO devono impegnarsi attivamente nelle attività operative e costruire relazioni con gli stakeholder dell’azienda. Sebbene meno del 20% dei CISO abbia stabilito rapporti con i responsabili commerciali, finanziari e di marketing, per loro è difficile rimanere aggiornati sulle esigenze dell’azienda.
  • Nelle comunicazioni con il consiglio di amministrazione, è necessario utilizzare argomentazioni basate su una valutazione delle minacce effettuata da parte di esperti, sullo stato di attacco della vostra azienda e sulle best practice.
  • Spiegare al consiglio di amministrazione quali sono le principali responsabilità del team di sicurezza informatica. Se possibile, offrire loro l’opportunità di immedesimarsi in un CISO per avere un’idea delle sfide più importanti per la sicurezza informatica.
  • per la cybersecurity in strumenti efficaci e che garantiscono un ROI. Gli strumenti che riducono il livello di falsi positivi, il tempo di rilevamento degli attacchi e quello dedicato a per ciascun caso e altre metriche sono importanti per tutti i team di sicurezza informatica.