Best practice

Risk management & Cybersecurity, una sfida anche per i CFO

Minacce sofisticate e organizzate con impatti strategici sul business richiedono un nuovo approccio alla sicurezza che coinvolge tutti i C-Level, e in particolare il Chief Financial Officer. Che deve inserire la sicurezza di dati e sistemi nella più ampia gestione del rischio aziendale, e decidere con il CIO le priorità degli asset da proteggere

Pubblicato il 14 Gen 2016

cfo-sicurezza-risk-160114114919

Tra i nuovi compiti del Chief FInancial Officer (CFO) nel business digitale c’è anche quello di occuparsi di cybersicurezza. Come emerge dallo studio di EY “Partnering for performance. Part 3: the CFO and the CIO”, basato su un sondaggio condotto tra 652 CFO di tutto il mondo (Italia compresa), il 66% dei CFO considera la cybersecurity alta priorità (“molto alta”, per il 27%).

Ma perché i CFO dovrebbero occuparsi oggi anche di sicurezza informatica? Perché le minacce sono più sofisticate, opera di vere organizzazioni criminali, a volte sponsorizzate da Stati, e possono causare pesanti danni materiali e di immagine che si ripercuotono sui risultati finanziari aziendali e sulla sua quotazione in borsa. Senza parlare del rischio di sottrazione di dati amministrativi, contabili e finanziari di rilevanza strategica.

Per questo la cybersicurezza deve far parte delle priorità di qualunque top executive, e in particolare del CFO. «Una volta la cybersicurezza era questione di un hacker che entrava nel sito, oggi riguarda il risk management nel senso più ampio in azienda. Devono occuparsene i C-Level, insieme al board», scrive EY.

Collaborare col CIO su quattro priorità

Una matura strategia di cybersicurezza poggia su quattro pilastri fondamentali, anche se il prerequisito è la collaborazione col CIO, perché la mancata comprensione da parte del CFO dei temi dell’IT impedisce al responsabile finanziario di incanalare gli investimenti nel modo più corretto. Già oggi il 35% dei CFO che mette la sicurezza in cima all’agenda ha una più stretta collaborazione con il CIO.

Ma tornando ai quattro pilastri fondamentali, la prima priorità per CFO e CIO per gestire la cybersicurezza è trattare il cyber-rischio come parte

della più ampia gestione del rischio d’impresa, non come uno specifico problema IT. La gestione del cyber-rischio deve entrare nella cultura aziendale, integrata nelle varie funzioni della governance. Alle minacce bisogna essere preparati con un sistema di prevenzione ma anche di detezione e risposta.

Secondo elemento è dare priorità agli asset che hanno bisogno di più protezione: ci sono proprietà che sono più appetibili per gli hacker (come i dati finanziari o i brevetti) e la cui violazione ha un impatto critico. Qui gli investimenti sono prioritari.

Modificare la cybersecurity insieme alla strategia aziendale è un altro elemento chiave. CFO e CIO devono considerare la cybersicurezza come una serie di processi che cambia costantemente perché l’organizzazione e le sue strategie cambiano e possono determinare nuove vulnerabilità, per esempio con il lancio di nuovi prodotti e servizi, operazioni di M&A o l’espansione in ecosistemi sempre più digitali.

Il quarto è la comprensione reciproca. A volte la barriera per un efficace approccio al cyber-rischio risiede proprio nella terminologia usata. «Per il CIO farsi capire dal board potrebbe essere solo un problema di comunicazione», ammonisce EY: i leader dell’IT tendono a spiegare i rischi con il gergo della tecnologia, ma i temi della cybersicurezza saranno più chiari se trattati davanti ai CFO con il linguaggio del business.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati