La sicurezza informatica può essere più di un semplice costo che si aggiunge a tanti altri. Può effettivamente essere vista come il fattore abilitante grazie al quale la tua azienda cresce e prospera. Affinché questo accada – e per avere argomentazioni a favore degli investimenti nella sicurezza informatica da sottoporre al consiglio di amministrazione – deve essere vero quanto segue:
Investire nella sicurezza consentirà alla nostra organizzazione di acquisire più valore dal proprio modello di business.
Fino a poco tempo fa, simili tentativi di far passare la protezione del brand come fattore abilitante del business erano piuttosto goffi: ci si concentrava sulla semplificazione della sicurezza o sulla sua introduzione nell’IT in una fase iniziale del ciclo di vita per ridurre costi e complessità. Il problema è che con questo approccio la sicurezza passa come una sorta di polizza assicurativa – non garantisce quindi la capacità di resistere all’ecosistema di minacce in evoluzione e agli attori delle minacce che in esso operano.
Nel 2018, le fondamenta alla base del business sono cambiate a tal punto che la sicurezza è diventata essenziale per consentire la crescita e il successo. Osservando la relazione tra sicurezza e vendite, produttività, processo decisionale C-Level, IT e marketing, cosa sappiamo del ruolo che la sicurezza deve svolgere?
1) Una forte sicurezza ti permetterà di essere vincente con i clienti e di fidelizzarli
In diversi settori B2B e B2C, dalla finanza al farmaceutico, dal recruitment alla vendita al dettaglio, avere una strategia di sicurezza affidabile e dimostrabile è un requisito essenziale per i nuovi clienti che devono fare affari con voi. Ciò è stato spesso ipotizzato, ma è stato recentemente dimostrato in un sondaggio condotto da Vodafone, in cui il 90% delle aziende afferma che una robusta sicurezza informatica aiuterebbe la loro reputazione sul mercato, ad attrarre nuovi clienti e migliorare la fedeltà di quelli già acquisiti.
In parole povere, una migliore sicurezza porta a un aumento delle vendite e a una maggiore fidelizzazione dei clienti.
2) Un programma di rilevamento e risposta allenterà i controlli preventivi restrittivi, aumenterà la produttività e ridurrà lo shadow IT
Questo è un problema perenne per il settore della sicurezza informatica e in particolare per i CISO. Le loro imprese impiegano persone smart che sono in grado di creare innovazione rapidamente, ma che sono spesso limitate nella loro azione da controlli restrittivi da parte del team di sicurezza. “Certo, puoi provare quel software, ma dovremo prima controllarlo” oppure “la collaborazione è una grande idea – ma puoi aspettare fino a quando non avremo testato la piattaforma prima di andare avanti”?
Poiché la stragrande maggioranza dei budget per la sicurezza è storicamente allocata per i controlli preventivi, non sorprende che ciò abbia portato a una cultura dello shadow IT in cui i dipendenti smart e innovativi semplicemente ignorano i sistemi aziendali e vanno avanti da soli (senza controllo), il che – ovviamente – aumenta il rischio per la sicurezza.
Considerati i problemi relativi all’efficacia dei controlli preventivi e che gli attaccanti solitamente riescono a trovare un modo per aggirarli, Gartner prevede uno spostamento del 60% del budget dalla “prevenzione” al “rilevamento e risposta”. Questa è un’opportunità d’oro per le divisioni di sicurezza per allentare effettivamente il loro atteggiamento restrittivo e supportare l’azienda in termini di flessibilità e innovazione, sicuri che in caso di violazione questa verrà individuata e mitigata prima che si produca un impatto.
3) Una robusta sicurezza darà fiducia all’azienda quando dovrà espandersi in nuovi territori o mercati
Quando le aziende cercano di trarre vantaggio dal fatto di essere dei first-mover, o dal lanciare un nuovo prodotto o dall’entrare in un nuovo territorio, un processo decisionale rapido e sicuro da parte del team dirigenziale può creare o distruggere il progetto di partenza. Avere un atteggiamento di sicurezza che consenta all’azienda di resistere ai nuovi interessi degli attori delle minacce, sposta la “sicurezza” da “debolezza e minaccia” a “forza e opportunità” durante l’analisi SWOT a livello di board e consentirà all’azienda di eliminare i rischi di alcune delle sue decisioni più progressiste.
Cosa significa in pratica? Che un’impresa sostenuta da un atteggiamento di sicurezza maturo sarà in grado di superare la concorrenza. Questa è una sorta di polizza assicurativa.
4) La sicurezza moderna dipende da una grande quantità di dati che possono portare ad abilitare un business più ampio
La sicurezza consisteva nell’applicare policy, firme e controlli, ma una sicurezza efficace, in particolare nel mondo del rilevamento degli attacchi, dipende ora dalla completa visibilità di tutto ciò che accade in una infrastruttura IT al fine di rilevare incognite sconosciute, attacchi mirati e attività dannose che utilizzano funzionalità IT legittime.
In effetti, i team di sicurezza a volte hanno una visione migliore dell’IT rispetto al team IT. Questa intuizione può essere utilizzata per l’ottimizzazione della rete sintonizzando le prestazioni delle risorse esistenti, ma anche rilevando l’utilizzo dello shadow IT in un modo che l’IT centrale non può fare. La sicurezza può effettivamente fornire all’azienda una visione anticipata di quali potrebbero essere i suoi futuri requisiti IT a medio-lungo termine in base al suo utilizzo dello shadow IT, che normalmente è il risultato di uno staff innovativo che fa cose innovative.
5) Una violazione della sicurezza ben gestita può effettivamente aumentare la brand equity
Si presume sempre che una violazione della sicurezza si traduca in pubblicità negativa e perdita di fiducia dei consumatori, seguita da abbandono del cliente o difficoltà nell’acquisire nuovo business.
Ma deve sempre essere così? Cosa succede se una violazione della sicurezza ben gestita potesse effettivamente riflettersi in modo positivo su un’azienda? Gli esempi in cui ciò è accaduto sono ancora pochi, ma vale la pena considerare le conseguenze dell’incidente di Cloudflare. Si trattava di un’azienda soggetta a una violazione significativa che avrebbe potuto provocare danni irreversibili alla società e alle sue entrate. Tuttavia, poiché la violazione è stata gestita e comunicata ai clienti e al pubblico con piena trasparenza – insieme ai piani di mitigazione resi pubblici e all’azione rapida – invece di essere soggetta a danni a lungo termine, Cloudflare è stata in grado di aggiungere i valori di onestà, adattabilità e ‘del fare bene le cose difficili” alla sua brand equity.
La sicurezza non sarà mai efficace al 100% e questi esempi dimostrano che la società sta iniziando ad accettare questo fatto, anche rispondendo positivamente a una violazione se gestita nel modo giusto.
Questo significa che possiamo vedere la sicurezza come un centro di profitto?
Forse non ancora del tutto, ma è chiaro che i tempi sono cambiati. Come settore e come funzione, la sicurezza dovrebbe iniziare a pensare al modo di essere molto più creativa nel modo in cui comunica il suo valore al resto dell’azienda. I cinque punti sopra mostrano che la sicurezza può generare un ritorno positivo genuino, consentendo all’azienda di essere percepita come migliore in ciò che fa, di innovare più velocemente e può persino portare a un vantaggio in un mercato competitivo.
Categorie