Uno studio di Kaspersky ha rivelato che in Italia un dirigente C-level su tre (34%) è in difficoltà a discutere dell’adozione di nuove soluzioni di sicurezza con i colleghi che si occupano dell’IT o della sicurezza informatica. Questi ultimi, tuttavia, ritengono che l’aumento del budget per la cybersecurity sia l’argomento più difficile da discutere con i dirigenti non IT.

Secondo il sondaggio, la maggior parte dei lavoratori IT afferma che il motivo principale per cui il loro budget per la cybersecurity è stato ridotto è che il top management non vede alcun motivo per investire in quest’area. Lo studio rivela inoltre che mentre quasi un terzo dei top manager (29%) pensa che i dipendenti della sicurezza informatica dovrebbero comunicare meglio i rischi IT alle aziende, solo il 9% degli addetti alla cybersecurity ammette di avere qualche difficoltà a spiegare qualsiasi aspetto del proprio lavoro a colleghi e dirigenti non informatici.

I dipendenti IT e non IT divergono anche su temi più complicati. Secondo infatti i dirigenti C-level, i tre argomenti più difficili da trattare con il personale IT sono l’adozione di nuove soluzioni di sicurezza (36%), le modifiche alle policy di cybersecurity (25%) e la valutazione delle prestazioni del team di sicurezza IT (27%). Per quanto riguarda gli addetti all’IT i tre temi più difficili di cui discutere con i dirigenti non IT sono la necessità di aumentare il budget destinato alla sicurezza IT (41,8%), la sensibilizzazione dei dipendenti alla cybersecurity (43,2%) e l’espansione del team di sicurezza IT (34,3%).

Per quanto riguarda gli aspetti comuni, la maggior parte degli intervistati concorda sul fatto che i modi più efficaci per favorire il confronto sui temi della sicurezza informatica siano rappresentati dalla scelta di esempi di vita reale e dal supporto di report e numeri. Oltre a questi argomenti, i dirigenti C-level hanno anche affermato che fare riferimento a opinioni di esperti (29%) consentirebbe loro di migliorare la comprensione del personale addetto alla sicurezza informatica. I team IT, invece, ritengono che le testimonianze sulle minacce (43,8%) li aiutino a comunicare meglio con i dirigenti.

spesa per la sicurezza

“Si può ipotizzare che i dirigenti non IT facciano fatica a confrontarsi in merito all’adozione di nuove soluzioni di cybersecurity a causa dell’abbondanza di termini e concetti tecnici complessi spesso utilizzati dal personale di sicurezza IT. Questi ultimi, tuttavia, hanno difficoltà a parlare di aumento dei budget, poiché i dirigenti C-level si aspettano che utilizzino strategie di business per giustificare le loro attività. Oggi, in un contesto economico difficile e in un panorama delle minacce complicato, la comprensione reciproca tra le persone che si occupano di sicurezza aziendale e informatica è più importante che mai per la continuità aziendale. Per evitare ulteriori rischi di cybersecurity, è fondamentale che entrambi i team utilizzino un linguaggio comune basato su numeri, contatti sicuri e argomenti comprensibili” ha commentato Ivan Vassunov, VP, Corporate Products di Kaspersky.

Per rendere più trasparente la comunicazione tra sicurezza IT e funzioni aziendali, Kaspersky consiglia nel report di:

  • Allocare gli investimenti in cybersecurity in strumenti di comprovata efficacia e presentare i nuovi concetti di sicurezza (tra cui SASE, XDR e Zero Trust) al consiglio di amministrazione come progetti di investimento o addirittura business case con ROI calcolato. Ad esempio, nei casi di implementazione di XDR e SASE è importante comunicare che queste tecnologie consentono di ridurre il carico del team di sicurezza IT, migliorando allo stesso tempo la postura della cybersecurity aziendale grazie alla centralizzazione e all’automazione dei processi.
  • Utilizzare risorse come l’IT Security Calculator e i report basati sulle osservazioni degli esperti che contengono informazioni strutturate sulle minacce e sulle misure di sicurezza più rilevanti per il vostro settore e le dimensioni della vostra azienda, con lo scopo di verificare la probabilità dei rischi e le misure di protezione necessarie.
  • Acquisire ulteriori conoscenze per comprendere meglio i professionisti di altri settori. Mentre i corsi di formazione consentono di acquisire le nozioni di base del business, i dirigenti non IT hanno l’opportunità di immedesimarsi in un CISO per acquisire conoscenze sulle sfide più rilevanti della sicurezza informatica.