Il mondo erratico e sempre più digitalizzato in cui viviamo non può prescindere dalla sicurezza, declinata nei vari ambiti, per far fronte alle sfide dell’era del business digitale che opera su una matrice complessa, dinamica e altamente frammentata di infrastrutture locali, cloud e ibride, applicazioni, dati, dispositivi mobili, IoT e sistemi convergenti IT/OT.
Ogni azienda deve, di fatto, proteggere il framework di tecnologie interconnesse che costituiscono la superficie di attacco moderna.
Pertanto, sebbene la conformità alle normative abbia ricoperto, sino ad oggi, un ruolo decisivo nelle decisioni in materia di sicurezza, le aziende hanno incominciato a dare priorità alle prospettive dei clienti e dei partner in base alle quali si determinano le strategie aziendali.
Tuttavia, nonostante i progressi e gli investimenti nel settore in materia di cyber security, c’è una massiccia distonia nel modo in cui le aziende comprendono e gestiscono il rischio informatico. Pertanto, il CISO (Chief Information Security Officer) moderno deve sostenere la sicurezza sia della tecnologia sia del business, convertendosi da esperto di tecnologia a leader della sicurezza allineata al business.
La sicurezza diventa una leva strategica, un elemento di differenziazione – anche a livello di mercato – sino a diventare un elemento imprescindibile per conquistare la fiducia dei clienti, garantire la proprietà intellettuale e proteggere il marchio.
È fondamentale, nella gestione della cyber security, stabilire metriche per misurare, in modo accurato ed obiettivo, i programmi di sicurezza e soddisfare le esigenze sia dei clienti in termini di rendicontazione trasparente, sia dei CDA e del Top Management in termini di investimenti efficienti.
Si tratta di implementare la cosiddetta Gestione delle Prestazioni di Sicurezza, ovvero definire la cyber security in modo più strategico, utilizzando metriche di prestazione proattive e basate sul rischio, considerando anche il fatto che le metriche di sicurezza informatica spesso mancano di un contesto di rischio aziendale.
