Responsabilità cyber del management: affondare o restare a galla

di Rick Vanover - Vice President of Product Strategy Veeam®, leader mondiale nella resilienza dei dati con soluzioni di backup, ripristino, portabilità, sicurezza e intelligence

Per anni la protezione dei dati e la cybersecurity sono state considerate competenze esclusive dei team IT e di sicurezza. Con l’aumento e l’integrazione sempre più profonda della tecnologia nelle aziende e con violazioni informatiche ormai sempre più frequenti e pericolose, la sicurezza informatica è diventata una responsabilità condivisa da ogni membro dell’organizzazione. Le recenti normative in materia di cybersecurity, come la NIS2 e la DORA, riflettono questa evoluzione, imponendo alle aziende di assumersi una responsabilità diretta. In caso di violazione, la responsabilità non ricade infatti più esclusivamente sul CISO: l’intera C-suite è coinvolta e ne deve rispondere.

I dirigenti sono ora personalmente responsabili per la gestione e la formazione relative alla sicurezza informatica e possono incorrere in pesanti sanzioni in caso di inadempimento. Affidarsi totalmente a team interni o fornitori esterni, senza un coinvolgimento attivo e consapevole del management, è un rischio potenzialmente disastroso. Non si può però chiedere ai manager di essere esperti in cybersecurity e protezione dei dati. Tuttavia, con l’aumento delle minacce informatiche e l’inasprirsi delle normative, i leader aziendali devono non solo accettare il fatto che le violazioni sono ormai inevitabili, ma devono anche attivare delle misure proattive per rafforzare le difese e garantire il rispetto delle normative. Le normative sulla cybersecurity, in particolare la NIS2, hanno conferito alla C-suite un nuovo pacchetto di responsabilità. 

Per la prima volta, i dirigenti devono gestire in modo attivo e diretto i rischi legati alla sicurezza informatica e definire la strategia di protezione dell’organizzazione. Sono inoltre incaricati della gestione e mitigazione del rischio a livello aziendale, oltre che delle procedure di segnalazione degli incidenti. Se i vertici aziendali non adempiono, rischiano responsabilità personali e sanzioni fino a 7 milioni di sterline o al 1,4% del fatturato annuo globale dell’organizzazione (per le realtà più rilevanti), a seconda di quale importo risulti più elevato.

Cosa devono fare i manager?

I dirigenti di alto livello dovranno integrare la resilienza organizzativa e la preparazione alla gestione degli incidenti tra le loro priorità. Ciò implica non solo investire in sicurezza e formazione, ma anche esigere responsabilità da parte degli stakeholder interni. Regolamenti come NIS2 includono il top management nell’ambito della responsabilità non perché tutto debba ricadere su di loro, ma perché sono le figure con l’autorità necessaria per garantire che tutti i soggetti coinvolti lo siano davvero. 

Fornitori sotto osservazione

E se è vero che il cambiamento deve partire dall’interno, è altrettanto vero che spesso non può limitarsi a questo ma deve estendersi anche all’esterno, verso partner e fornitori strategici che condividono la responsabilità. Dalla supply chain ai fornitori di servizi IT e di sicurezza – inclusi quelli di backup-as-a-service (BaaS): ogni anello della catena di resilienza e recupero dei dati diventa cruciale. Secondo l’EY Global Third-Party Risk Management Survey, il 44% delle organizzazioni prevede di intensificare la collaborazione con fornitori terzi nei prossimi cinque anni. Una tendenza in continua crescita, che impone sempre maggiore attenzione verso i partner esterni e una dettagliata valutazione delle loro misure di resilienza e di risposta agli incidenti. In passato un semplice accordo contrattuale o una certificazione erano sufficienti; oggi, con l’avvento della responsabilità aziendale, servono molta più trasparenza e controlli. Che si traducono nella rinegoziazione degli accordi sul livello di servizio (SLA), come pure in verifiche più approfondite di ciascuna fase del processo per mettere in sicurezza l’intera catena della resilienza dei dati. Sebbene non sia possibile esternalizzare il rischio e la responsabilità ai fornitori terzi, i leader aziendali devono poter contare su una totale trasparenza da parte loro. Solo così, in caso di violazione, sarà possibile individuare rapidamente il punto di debolezza e intervenire prontamente, evitando sanzioni e danni reputazionali.

Bagno di realtà

Queste misure contribuiranno sicuramente a rafforzare la resilienza complessiva dei dati, ma eliminare completamente il rischio di una violazione è impossibile. D’altra parte, regolamenti come NIS2 e DORA non lo richiedono: l’obiettivo è ridurre il rischio e prepararsi a gestire gli incidenti quando – non se – si verificheranno. E per questo non bastano SLA, processi e tecnologie: senza test, la resilienza non è garantita. Serve una strategia di test continua e approfondita, che spinga le difese al limite – e non solo in scenari ideali. Una violazione può verificarsi in qualsiasi momento, quindi è fondamentale simulare incidenti nei momenti più critici, ad esempio quando i team di sicurezza sono già sotto pressione o quando alcune figure chiave non sono disponibili.

Non si impara a nuotare leggendo un manuale: bisogna tuffarsi. Ed è meglio farlo con un salvagente (durante un test) piuttosto che in un’emergenza reale.