I board aziendali hanno drasticamente aumentato il loro focus, quindi le misurazioni periodiche, sui cyber-risk negli ultimi 18 mesi. Il trend è ben descritto da questa ricerca di MCKINSEY&COMPANY che riassumiamo nei sui numeri principali (l'articolo completo è visibile qui).
Molti consigli di amministrazione hanno lavorato per integrare la sicurezza informatica nella reportistica che ricevono periodicamente e nelle agende dei meeting periodici. Il 95% dei consigli di amministrazione osservati valuta e discute lo stato del cyber risk aziendale almeno 2 volte all'anno.
Negli ultimi anni c'è stato un notevole cambiamento nella consapevolezza del consiglio di amministrazione della sicurezza informatica: ad esempio, una precedente ricerca McKinsey, del 2017, suggeriva che solo il 25% di tutte le aziende forniva ai propri consigli aggiornamenti sulla tecnologia dell'informazione e sulla sicurezza più di una volta all'anno.
Le aziende reclutano sempre più esperti del settore cyber da inserire nel board. Il 65% di loro, ad esempio, ha almeno una persona con esperienza in sicurezza informatica, rischio tecnologico o entrambi. Questi direttori includono dirigenti senior delle principali società tecnologiche e dirigenti con esperienza nel settore della difesa o dell'intelligence.
Il 65% delle aziende ha integrato nei report periodici operativi dell'azienda le metriche e le info inerenti lo stato del della sicurezza informatica. Le aziende più avanzate utilizzano indicatori di rischio o di prestazione rilevanti per loro e indicano il loro livello di resilienza ed esposizione al rischio. Alcune aziende si concentrano su metriche tecniche, come i rilevamenti di malware.
Comments