Nonostante il crescente numeri di incidenti di sicurezza e violazioni dei dati principali, molti professionisti dei settori più vari esprimono l'opinione che il loro governo, la loro azienda o organizzazione no-profit non considerino la sicurezza informatica una priorità.
I senior manager stanno mettendo le aziende a rischio di attacchi informatici e violazioni dei dati perché non comprendono i problemi di sicurezza informatica e, in alcuni casi, non vogliono nemmeno conoscere i pericoli.
Secondo una ricerca della società di sicurezza informatica Trend Micro, solo la metà dei responsabili delle decisioni IT ritiene che il consiglio di amministrazione comprenda i rischi informatici a causa della visione manageriale che inquadra la sicurezza informatica come un ostacolo al raggiungimento degli obiettivi.
Tuttavia, c'è anche una minoranza significativa che attivamente non sta neppure cercando di conoscere la sicurezza informatica. Secondo la ricerca, il 26% non si impegna abbastanza per conoscere i rischi informatici, mentre il 20% semplicemente non vuole capire i rischi informatici che la propria organizzazione sta affrontando.
Il problema alla base
Questa mancanza di comprensione sta causando tensioni tra i team di sicurezza delle informazioni e la sala del consiglio, a tal punto che l'82% dei responsabili delle decisioni IT afferma di essersi sentito costretto a minimizzare la gravità dei rischi informatici.
Quasi un terzo di queste persone afferma che si tratta di una pressione costante, indicando che molte sale riunioni preferirebbero nascondere la testa sotto la sabbia invece di affrontare i problemi di sicurezza informatica.
Ma anche quando i consigli di amministrazione e i dirigenti sono preoccupati per gli attacchi informatici e si confrontano con i leader della sicurezza informatica su problemi, dettagliare i rischi e come gestirli può comunque rivelarsi complicato, soprattutto se i dirigenti iniziano con una scarsa comprensione tecnica dei problemi.
È quindi fondamentale che i team di sicurezza delle informazioni scompongano le cose per i dirigenti, spiegando regolarmente i problemi e, soprattutto, in modi che i senior manager siano in grado di comprendere.
I leader IT dovrebbero comunicare con il proprio consiglio di amministrazione in modo tale da poter capire dove si trova il rischio dell'organizzazione e come gestirlo al meglio.
I passaggi che possono essere adottati per aiutare questo processo includono la formalizzazione della sicurezza informatica con documentazione e metriche e l'incoraggiamento a discussioni sui rischi aziendali in merito ai problemi. Si raccomanda inoltre che il CISO riferisca direttamente al CEO per esporlo direttamente ai problemi di sicurezza informatica, aiutando quindi a guidare le discussioni sulla sicurezza informatica.