TREND

Risk management, il CFO nuovo baluardo della sicurezza aziendale

I Chief Financial Officer sono destinati a giocare un ruolo essenziale nel determinare, oltre che supportare economicamente, le strategie di difesa informatica necessarie ad affrontare i nuovi scenari di rischio

Pubblicato il 18 Ott 2022

Nuovo ruolo CFO

Oggi, per fortuna, la gestione del rischio di sicurezza informatica è quasi universalmente considerata parte integrante e fondamentale dell’Operational Risk Management. Come riporta Gartner, l’88% dei consigli di amministrazione approccia la cybersecurity più come un rischio aziendale a tutto tondo che come un aspetto meramente tecnologico.

Le minacce informatiche, del resto, coinvolgono l’intera architettura organizzativa di base e impattano in modo considerevole ciascuna delle componenti dell’impresa, dalle persone ai processi, passando per i sistemi delle terze parti e, ovviamente, dalla sfera tecnologica, sempre più essenziale per garantire la continuità operativa aziendale.

L’importanza di quantificare correttamente il rischio (non solo quello informatico)

Con una superficie d’attacco in costante aumento, la quantificazione del rischio IT è dunque essenziale e va operata su due livelli: il primo è quello macro, rispetto al quale si impone la necessità di affrontare il potenziale impatto finanziario di un attacco o di un incidente informatico sull’azienda; il secondo è quello che riguarda le risorse e le applicazioni, che prevede la valutazione delle potenziali perdite dovute alla mancanza di consapevolezza dei collaboratori o alle decisioni più o meno corrette di investire sui prodotti e servizi di sicurezza informatica.

Utilizzando queste informazioni, diventa possibile convertire il rischio informatico da bit e byte a euro e centesimi, consentendo a tutte le parti interessate di prendere decisioni informate anche su altri aspetti delle attività di business, negoziare premi assicurativi informatici più favorevoli per l’azienda, comprendere il vero ROI sulle risorse investite in sicurezza.

Si può quindi dire che la quantificazione del rischio informatico diventa il minimo comune denominatore di gran parte degli strati su cui si snodano i processi decisionali, rappresentando la perdita di valore economica per ciascuna delle scelte che non tengono adeguatamente conto delle minacce sul piano IT.

Il nuovo ruolo del CFO

Ma a chi spetta il compito di tradurre gli aspetti tecnici in parametri economici? Per molti appare ormai chiaro che il Chief Financial Officer rappresenti il punto di raccordo tra le due istanze.

La sfida più grande che deve affrontare il CFO è quella di individuare gli strumenti corretti per convertire il rischio informatico in rischio finanziario agli occhi dei decisori non tecnici, con l’obiettivo di aiutarli ad apprezzare la priorità della sicurezza informatica nel garantire la continuità aziendale. Il vero “eroe improbabile” per il team di sicurezza informatica durante i periodi di recessione sarà, quindi, una persona con un portafoglio solido, che conosce e comprende l’impatto del rischio: finanziario, umano, operativo o informatico.

L’agenda del CFO è in altre parole destinata a diventare un tassello cruciale nel complesso mosaico della sicurezza informatica aziendale: nello scenario attuale, i team di cybersecurity devono poter contare su un’ampia disponibilità di risorse finanziare per poter garantire all’organizzazione una posizione di rischio accettabile, che si traduce a sua volta in maggiore fiducia dei clienti e, più in generale, del mercato.

Stiamo sperimentando collettivamente gli effetti collaterali di un conflitto geopolitico dirompente che sta influenzando il ciclo inflazionistico. Le economie mondiali continueranno a essere colpite dalle conseguenze della crisi, ma le aziende hanno ampie opportunità di reindirizzare e distribuire le proprie risorse, pur se limitate. E oggigiorno l’unica funzione su cui le organizzazioni non possono permettersi di negoziare è proprio la sicurezza informatica.

CFO al cuore delle strategie di Risk Management

Il CFO può svolgere un ruolo fondamentale nel determinare la salute informatica di un business, a patto di essere in grado di fornire risposte coerenti e complete a una serie di domande critiche. Qual è l’impatto finanziario di un potenziale attacco informatico? Come ridurre il rischio informatico? Dove dovrebbero essere indirizzati gli investimenti? Qual è il loro ritorno sul piano della sicurezza? L’attuale copertura assicurativa informatica è sufficiente?

Rispondere a queste domande vuol dire essenzialmente supportare il team coordinato dal CISO e assisterlo nelle attività utili a rappresentare il rischio informatico nei termini e nei contesti comprensibili dal top management. Finora questo è stato un enorme ostacolo nel dimostrare il valore della cybersecurity alla leadership aziendale, ma le cose devono inevitabilmente cambiare. Mai prima d’ora la necessità di misurare, gestire e mitigare il rischio informatico in un contesto aziendale è stata un punto chiave nell’agenda del consiglio di amministrazione, e l’esperienza nella misurazione dei rischi finanziari rende i CFO preziosi stakeholder nel prendere decisioni informate sulla sicurezza informatica per accettare, mitigare e trasferire anche il cyber risk.

Nuovo ruolo del CFO, team convergenti per costruire la resilienza informatica

Del resto, le linee guida recentemente proposte dalla Securities and Exchange Commission degli Stati Uniti e diversi dispositivi approvati in seno all’Unione europea, indicano chiaramente la necessità di mantenere o addirittura aumentare gli investimenti in sicurezza informatica. A differenza di altri ambiti tecnologici, infatti, la cybersecurity dipende anche da un elemento esterno: gli attori delle minacce. Non sorprende, quindi che diversi esperti ritengano che la spesa per la sicurezza informatica rimarrà una delle massime priorità delle aziende, anche se i mercati entreranno in recessione. Dato che una recessione economica non implica alcuna riduzione della superficie di attacco di un’organizzazione, è essenziale un reindirizzamento delle risorse al CISO. Il CFO avrà il compito non solo di spiegare e giustificare la portata di questi investimenti, ma anche identificare gli interlocutori che possano comprendere le sfumature della gestione del rischio nel nuovo scenario e aiutare a farli convergere su un piano profondo, per instaurare e migliorare a tutti i livelli la fiducia negli asset digitali dell’organizzazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4