Il Chief Financial Officer (di seguito CFO) è una figura strategica per ogni grande azienda. Il suo profilo e ruolo lo dotano di competenze trasversali e funzioni centrali. Dunque anche la cybersecurity è un fattore molto importante per loro. Ma come coinvolgere i CFO nella gestione della sicurezza digitale, non solo a livello economico?
PRIMA DI TUTTO: LA POLIZZA CYBER
Negli ultimi anni uno dei rischi che, nella percezione delle aziende e dei risk manager, ha registrato uno dei maggiori incrementi è il rischio informatico, meglio noto come “cyber risk”, secondo ormai solo al rischio pandemico.
In effetti il numero di eventi cyber e i costi conseguenti hanno registrato e stanno registrando una crescita esponenziale, ed interessano non solo grandi realtà aziendali ma anche piccole e medie imprese, fino a piccole realtà imprenditoriali, che sono in effetti le realtà maggiormente esposte.
Cyber Privacy, Cyber Security, Cyber Attack sono termini sempre di più ricorrenti nella vita quotidiana di imprenditori ed aziende.
Grande importanza riveste ovviamente un’attenta politica di sicurezza e prevenzione che deve essere attentamente pianificata ed implementata attraverso la propria struttura interna (o con l’aiuto di consulenti esterni) di Information Technology, ma la considerazione che non esistono assolutamente sistemi inviolabili suggerisce di valutare il trasferimento di almeno parte del rischio ai mercati assicurativi, con il fine di tutelare l’azienda dalle conseguenze finanziarie derivanti da un danno cyber.
È così che negli ultimi anni gli assicuratori, spinti da una sempre maggior domanda di tutela anche in tale ambito da parte di aziende, hanno elaborato e con il tempo implementato specifiche soluzioni assicurative che possono, almeno in parte, venire incontro alla nascente esigenza.
È nata così la polizza assicurativa “Cyber Risk”.
POI, PIÙ INFORMAZIONE PER I CFO
Il “CFO cyber security survey” di Kroll ha intervistato 180 CFO, CEO e altri dirigenti finanziari in tutto il mondo, coinvolti nella quantificazione dell’impatto finanziario degli attacchi informatici alle loro aziende e nella supervisione del budget o nella pianificazione della sicurezza delle informazioni.
I CFO nutrono molta fiducia nelle capacità delle aziende di scongiurare gli incidenti di sicurezza informatica, nonostante siano in qualche modo spesso inconsapevoli delle vulnerabilità informatiche che la loro azienda deve affrontare. Quasi l’87% dei dirigenti intervistati nella survey ha espresso questa fiducia, ma il 61% di loro dichiara di aver subito almeno tre incidenti informatici significativi nei 18 mesi precedenti. Inoltre, i CFO intervistati hanno ammesso di essere esclusi dalle comunicazioni interne sulla cybersecurity: 6 su 10 non sono stati regolarmente informati dal cyber team e quasi 4 su 10 non avevano mai ricevuto un tale aggiornamento.
I CFO hanno anche quotato economicamente il costo degli attacchi informatici che avevano subito nei 18 mesi precedenti: tra $ 10 milioni e $ 25 milioni per circa un terzo delle aziende che hanno subito un incidente di sicurezza significativo e più di $ 25 milioni per quasi il 16% delle aziende. È già questo un feed-back fondamentale: coinvolgere i CFO (non solo a livello economico) negli investimenti informatici, dalla pianificazione alle strategie di prevenzione e risposta.
L’eccessiva fiducia del CFO potrebbe essere la spia d’allarme per un problema più ampio: la mancanza di conoscenza del rischio informatico e delle sue conseguenze, che spesso gravano pesantemente sui budget. Briefing più regolari e un più stretto allineamento dei team finance e cybersecurity possono aumentare il livello di conoscenza sul rischio informatico.
Per entrare nel circuito della sicurezza informatica i CFO dovrebbero:
- partecipare alla pianificazione della sicurezza informatica a più livelli dell’azienda, inclusa la consulenza al consiglio di amministrazione e come parte dei comitati di controllo e rischio dell’azienda,
- essere pienamente coinvolti nella pianificazione della risposta alle crisi e agli incidenti per gli attacchi informatici
- partecipare a esercizi da tavolo in cui un team può attraversare una crisi di sicurezza informatica simulata per mappare come reagirebbe a un attacco reale,
- partecipare alle discussioni sulla governance e sul rischio informatico dell’azienda per acquisire una maggiore conoscenza dei punti di forza e di debolezza della sicurezza informatica delle loro aziende e per garantire che siano preparati e coinvolti rapidamente in caso di incidente informatico.
Infatti ci sono due statistiche molto eloquenti sui CFO che vengono inclusi di più nel Board e sui temi della sicurezza digitale – e questi dati sono quelli sugli intervistati nell’area EMEA:
- il 40% dei CFO intervistati è aggiornato, in sintesi, sulla cybersecurity – rispetto al 24% del campione globale,
- il 43% dei CFO intervistati hanno subito almeno 3 attacchi informatici nei 18 mesi precedenti – rispetto al 61% del campione globale.
Per conoscere in dettaglio la nostra consulenza strategica e i nostri servizi innovativi sulla cyber-security potete contattarci a info@pcabroker.com
Scoprire la nostra storia di innovazione e assistenza su misura del Cliente consultando la nostra presentazione: link di download
Siamo sempre a vostra disposizione per una valutazione preventiva del rischio della vostra azienda: basta contattarci.
Grazie per l’attenzione!