Sei domande che ogni consiglio dovrebbe porre al proprio CISO

Per aiutare la propria organizzazione a operare in condizioni sicure e competitive, il Consiglio di amministrazione (CdA) deve sviluppare una maggiore consapevolezza e preparazione in tema di sicurezza informatica. Come membro del Consiglio di amministrazione, considera la possibilità di affidarti al Chief Information Security Officer (CISO) dell’azienda, affinché ti sostenga nello sviluppo di un approccio orientato alla sicurezza e ti consenta di essere sempre al corrente delle minacce emergenti e delle tendenze della cybersecurity. Inizia la discussione ponendo queste sei domande chiave al CISO.  

Chi è responsabile della sicurezza?

Una cultura della responsabilità che dia priorità alla sicurezza può giocare un ruolo importante nella riduzione del rischio informatico all’interno dell'organizzazione. Valuta se è noto a tutta l'organizzazione che la sicurezza rappresenta un imperativo per l'azienda. È presente un senso di responsabilità verso la sicurezza dell’azienda in ogni dipendente, indipendentemente dal ruolo? La leadership rafforza una cultura della sicurezza prendendo decisioni basate su di essa?

Quali minacce deve affrontare l'organizzazione?

In qualità di membro del consiglio di amministrazione, sei consapevole delle minacce odierne in materia di cybersecurity e di quali soluzioni abbia adottato l’azienda per difendersi da tali minacce? Se la risposta è negativa, potrebbe essere giunto il momento di avviare una più stretta collaborazione con il CISO. Se non lo sta già facendo, è opportuno chiedere al CISO di informare regolarmente il consiglio di amministrazione sulle priorità dell'organizzazione in materia di cybersicurezza. Il CISO deve essere pronto a discutere di queste priorità in termini di business, dando rilievo ai temi del rischio, della resilienza e della reputazione dell'organizzazione, piuttosto che ai particolari tecnici.

Chi ha accesso ai dati dell'azienda?

I dati sono la risorsa più preziosa di un'organizzazione. Se non sono adeguatamente protetti sempre e ovunque, i clienti e i dipendenti potrebbero essere esposti a rischi. Ecco perché è fondamentale per l'azienda monitorare e gestire le autorizzazioni di accesso, assicurando che il personale dipendente possa accedere solo ai dati essenziali per il proprio ruolo. La gestione degli accessi riduce il numero di persone che potrebbero rivelare i dati sensibili, mentre il monitoraggio degli accessi consente all'organo di sicurezza di rilevare le violazioni dei dati più rapidamente e con maggiore precisione.

Quali sono le risorse più preziose dell'organizzazione?

La gestione degli accessi con privilegi minimi dipende completamente dal modo in cui l'organizzazione classifica i propri dati. L'azienda dovrebbe valutare regolarmente le proprie risorse per garantire che i dati più sensibili siano classificati correttamente e riservati solo a coloro che dispongono delle autorizzazioni di sicurezza più elevate.

Di quali livelli di protezione dispone l'azienda?

Per essere efficace, la sicurezza deve essere un programma multiforme con diversi livelli di protezione. Si consideri il modo in cui l'organizzazione protegge l'infrastruttura, i dati, le applicazioni, le e-mail, gli edifici fisici e i data center, e persino i modelli di sviluppo e di addestramento dell'IA. Questi sono tutti livelli di sicurezza che possono aumentare la resilienza dell'azienda, se sono ben controllati, o esporla al rischio se non lo sono.

L'organizzazione è pronta a rispondere a un evento di sicurezza informatica?

I test regolari di risposta agli incidenti sono essenziali per garantire che tutti sappiano come reagire se dovesse verificarsi un evento reale. La tua organizzazione sarà preparata se ciò dovesse realmente accadere? I piani di risposta agli incidenti sono già in atto o devono ancora essere sviluppati? Il personale si è esercitato a sufficienza con il piano di risposta agli incidenti? Qual è il ruolo del consiglio in tali piani?

La sicurezza parte dall'alto

I consigli di amministrazione che interagiscono regolarmente con il CISO comprendono meglio i rischi e individuano le aree in cui investire nella sicurezza, consentendo all'azienda di operare con maggior affidabilità e di realizzare più rapidamente il proprio potenziale. Ma non tutti i CISO sanno come comunicare efficacemente con il consiglio. Scarica il pdf di questa risorsa per agevolare la tua prossima conversazione con il CISO.

Intraprendi il passo successivo

Scopri la nuova ricerca sulla sicurezza dell'IA generativa

Un sondaggio condotto su 200 dirigenti ha rilevato che solo il 24% dei progetti di IA generativa è protetto. Scopri perché in questo report di ricerca di IBM e AWS.

Scopri di più sull'evoluzione del ruolo del CISO

Ascolta Chris Betz, CISO presso AWS, su come i CISO stanno assumendo ruoli di leadership aziendale, ora che la sicurezza informatica è diventata una priorità strategica assoluta per la maggior parte delle organizzazioni.

Scopri nuovi approfondimenti sulla sicurezza dei dati

Scopri altre risorse e leadership di pensiero per i leader dei dati e della sicurezza su Executive Insights.

 

Richiedi un appuntamento

Hai bisogno di aiuto per sviluppare o espandere la tua strategia Zero Trust? Pianifica un incontro con un esperto di sicurezza AWS in uno dei nostri Executive Briefing Center.