Tra i nuovi compiti del Chief FInancial Officer (CFO) nel business digitale c’è anche quello di occuparsi di cybersicurezza. Come emerge dallo studio di EY “Partnering for performance. Part 3: the CFO and the CIO”, basato su un sondaggio condotto tra 652 CFO di tutto il mondo (Italia compresa), il 66% dei CFO considera la cybersecurity alta priorità (“molto alta”, per il 27%).
Ma perché i CFO dovrebbero occuparsi oggi anche di sicurezza informatica? Perché le minacce sono più sofisticate, opera di vere organizzazioni criminali, a volte sponsorizzate da Stati, e possono causare pesanti danni materiali e di immagine che si ripercuotono sui risultati finanziari aziendali e sulla sua quotazione in borsa. Senza parlare del rischio di sottrazione di dati amministrativi, contabili e finanziari di rilevanza strategica.
Per questo la cybersicurezza deve far parte delle priorità di qualunque top executive, e in particolare del CFO. «Una volta la cybersicurezza era questione di un hacker che entrava nel sito, oggi riguarda il risk management nel senso più ampio in azienda. Devono occuparsene i C-Level, insieme al board», scrive EY.
Collaborare col CIO su quattro priorità
Una matura strategia di cybersicurezza poggia su quattro pilastri fondamentali, anche se il prerequisito è la collaborazione col CIO, perché la mancata comprensione da parte del CFO dei temi dell’IT impedisce al responsabile finanziario di incanalare gli investimenti nel modo più corretto. Già oggi il 35% dei CFO che mette la sicurezza in cima all’agenda ha una più stretta collaborazione con il CIO.
Ma tornando ai quattro pilastri fondamentali, la prima priorità per CFO e CIO per gestire la cybersicurezza è trattare il cyber-rischio come parte
della più ampia gestione del rischio d’impresa, non come uno specifico problema IT. La gestione del cyber-rischio deve entrare nella cultura aziendale, integrata nelle varie funzioni della governance. Alle minacce bisogna essere preparati con un sistema di prevenzione ma anche di detezione e risposta.
Secondo elemento è dare priorità agli asset che hanno bisogno di più protezione: ci sono proprietà che sono più appetibili per gli hacker (come i dati finanziari o i brevetti) e la cui violazione ha un impatto critico. Qui gli investimenti sono prioritari.
Modificare la cybersecurity insieme alla strategia aziendale è un altro elemento chiave. CFO e CIO devono considerare la cybersicurezza come una serie di processi che cambia costantemente perché l’organizzazione e le sue strategie cambiano e possono determinare nuove vulnerabilità, per esempio con il lancio di nuovi prodotti e servizi, operazioni di M&A o l’espansione in ecosistemi sempre più digitali.
Il quarto è la comprensione reciproca. A volte la barriera per un efficace approccio al cyber-rischio risiede proprio nella terminologia usata. «Per il CIO farsi capire dal board potrebbe essere solo un problema di comunicazione», ammonisce EY: i leader dell’IT tendono a spiegare i rischi con il gergo della tecnologia, ma i temi della cybersicurezza saranno più chiari se trattati davanti ai CFO con il linguaggio del business.
