I consigli per instaurare una collaborazione efficace con il comitato di cybersecurity del consiglio di amministrazione delle aziende pubbliche.
Negli ultimi anni, la governance della cybersecurity a livello di consiglio di amministrazione ha acquisito una rilevanza crescente. Le nuove normative del United States Securities and Exchange Commission (SEC) adottate nel luglio 2023 mirano a estendere i requisiti di comunicazione in materia di cybersecurity per le aziende quotate in borsa. Questo implica che le competenze di cybersecurity tra i membri del consiglio sono ora considerate fondamentali e devono essere chiaramente comunicate al mercato.
Il comitato di cybersecurity del consiglio di amministrazione
In passato, la sicurezza informatica era vista come una funzione esclusiva degli specialisti tecnici a cui destinare risorse aggiuntive in risposta a un panorama di minacce sempre più ostile. Tuttavia, la cybersecurity non era tra le priorità del consiglio, come lo erano finanza, revisione contabile o compensi esecutivi. Questo approccio è cambiato radicalmente; i consigli di amministrazione includono ora direttori con competenze in ambito IT e richiedono una maggiore comunicazione da parte del team di sicurezza, solitamente per il tramite del CISO (Chief Information Security Officer).
Mandato del comitato di cybersecurity
Il comitato di cybersecurity ha il compito di comprendere l’operato e le necessità del team IT di sicurezza dell’azienda. La sua creazione viene solitamente approvata dal consiglio e dal CEO, e la sua funzione viene delineata in un documento aziendale che esplicita le responsabilità, la frequenza dei report e i tipi di informazioni da esaminare. Il CISO deve collaborare alla formulazione del mandato per evitare conflitti e inefficienze, garantendo così una relazione proficua.
Il comitato si concentra su compiti specifici in modo tracciabile e auditabile. Gli argomenti da trattare nelle riunioni del consiglio sono numerosi e il tempo è limitato; perciò, le comunicazioni devono essere concise ed efficaci.
Collaborare con il comitato di cybersecurity
Il CISO e il comitato devono concordare sui metodi più efficienti per ottenere le informazioni necessarie. Un approccio proattivo del CISO, che proponga un quadro di riferimento per le relazioni, facilita la partnership e riduce l’impegno richiesto al team di sicurezza.
Il ruolo del consiglio è quello di gestire i rischi per conto degli azionisti, non di amministrare direttamente il team IT di sicurezza. Pertanto, le comunicazioni devono essere mirate e facilmente comprensibili.
Contesto
Il rischio di cybersecurity e la pianificazione devono essere presentati in modo simile ai rischi finanziari e aziendali. Una roadmap della sicurezza per almeno tre anni, con progressi monitorati nel tempo, è essenziale per fornire un contesto chiaro.
Dati Oggettivi
Le raccomandazioni del team IT devono essere supportate da dati oggettivi. Indicatori chiave di performance (KPI) dovrebbero essere concordati e visualizzati nel tempo per evidenziare le tendenze. Strumenti come il Secure Score in Microsoft Defender possono monitorare ambienti ibridi e on-premises.
Questi strumenti aiutano a valutare e comunicare in modo oggettivo la postura di sicurezza e conformità dell’azienda.
Allineamento con il mandato del comitato
Comunicarci con il comitato significa insegnare a un gruppo diversificato la cui competenza principale potrebbe non essere l’IT. È importante allineare i nostri argomenti al mandato del comitato e conoscere bene le regole di procedura del consiglio per evitare richieste ad hoc non produttive.
Confidenzialità
I materiali forniti al comitato di cybersecurity richiedono riservatezza. Devono essere protetti secondo le politiche aziendali, poiché i membri del consiglio non sono dipendenti e potrebbero non avere accesso alla rete aziendale. La distribuzione dei documenti deve essere limitata ai membri del comitato, alla dirigenza e all’ufficio del CISO.
La formazione di un comitato di cybersecurity significa maggiore visibilità per il team IT con il consiglio, offrendo un’opportunità per ottenere le risorse necessarie a proteggere l’azienda. Una collaborazione produttiva con il comitato può contribuire a proteggere e aggiungere valore all’azienda.
- Working with a cybersecurity committee of the board
- SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
- SEC cyber risk management rule—a security and compliance opportunity
- IT security: An opportunity to raise corporate governance scores
- Secure Score in Microsoft Defender