Un 35% de les pimes assegura que els seus alts directius no consideren els ciberatacs com un risc significatiu. Així ho ha rellevat Barracuda Network a través dels resultats d'un estudi-enquesta, en què ha quedat palès que les empreses no estan preparades per fer front als riscos de la ciberseguretat. De fet, segons afirma la companyia tecnològica, una quarta part d'aquestes empreses afirma que els líders no estan al dia de les amenaces a les quals s'enfronta l'organització; un elefant a l'habitació.
Per a Riaz Lakhani, CISO de Barracuda Networks, aquesta qüestió no és "un error de direcció", sinó que considera que és difícil interessar-se o preocupar-se per alguna cosa que no es comprèn del tot. Els CISO han de saber explicar històries i ser capaços d'influir en les persones de tots els nivells de l'organització i ajudar-les a entendre el que passa dins de la companyia.
Segons el CISO de la companyia, és difícil interessar-se o preocupar-se per alguna cosa que no es comprèn del tot
Per aquest motiu Lakhani ha compartit la guia Com parlar amb els directius de les empreses sobre els riscos de seguretat?, on esbossen les tres converses clau que tot CISO ha de mantenir, en funció del càrrec amb qui entaula la conversa.
- Amb el personal tècnic (com enginyers, desenvolupadors o investigadors de seguretat). Segons Lakhani, aquestes seran probablement "les persones a qui un CISO hagi de trucar un dia a les 02:00 am amb una petició urgent" i, per tant, serà fonamental construir una relació forta, posar-se en el seu paper i intentar entendre com es veu la seguretat des de la seva perspectiva.
- Amb alts directius. Amb aquest perfil seran necessàries les reunions periòdiques i programades amb les parts interessades de més alt nivell en àrees de risc crítiques com enginyeria, finances i legal per analitzar com s'està evolucionant en l'àmbit de les amenaces i la seguretat i el que això significa per al full de ruta del negoci, el risc i el compliment.
- Amb el consell d'administració. Segons Keri Pearlson, autora de A Tool to Help Boards Measure Cyber Resilience i directiva de Barracuda Networks, la conversa s'ha de centrar en els riscos prioritaris als quals s'enfronta l'empresa, per exemple, a través de la cadena de subministrament, i què passa si un atac té èxit. “El consell d'administració vol saber que el seu CISO ha pensat no només a mantenir allunyats els mals actors, sinó en com respondre i recuperar-se d'un incident perquè les operacions puguin continuar i no perdin l'empresa”, afirma Pearlson.