I Board sono sempre più chiamati ad un ruolo decisionale e gestionale di sostanza e di grande valore. È importante che i consiglieri di amministrazione abbiano un corretto bilanciamento di competenze e conoscenze su tante tematiche, che influenzano i risultati aziendali e configurano anche responsabilità legali come amministratori.
Il Board, in qualità di organo di indirizzo e supervisione, quanto è consapevole dell’importanza del governo dei sistemi informativi?
Dimensione troppo spesso poco considerata nei processi decisionali, ma che nel caso di passi falsi, rispetto alle scelte strategiche e al governo delle tecnologie, può comportare grandi rischi di danni reputazionali, oltre ad ovvi problemi operativi.
Il board ha un’importanza cruciale nella gestione della sicurezza informaticanelle aziende. In un’epoca in cui la tecnologia digitale permea ogni aspetto delle nostre vite e delle nostre attività commerciali, la sicurezza informatica è diventata un obiettivo imprescindibile per garantire la continuità e il successo delle organizzazioni.
Il board, in qualità di organo decisionale di alto livello, ha il compito di definire la strategia e le politiche aziendali, ma non può e non deve trascurare il tema della sicurezza informatica. In un contesto in cui le minacce cibernetiche sono sempre più sofisticate e diffuse, è fondamentale che le funzioni apicali d’impresa siano consapevoli dei rischi e delle implicazioni legate alla sicurezza informatica.
I punti chiave che dimostrano l’importanza del coinvolgimento attivo del board nella gestione della sicurezza informatica sono:
- la visione strategica: il board ha una visione a lungo termine dell’azienda e delle sue attività. La sicurezza informatica deve essere considerata una priorità strategica per proteggere l’organizzazione da potenziali violazioni e garantire la fiducia dei clienti e degli investitori;
- la leadership e la responsabilità: il board deve assumersi la leadership nella promozione di una cultura della sicurezza informatica all’interno dell’azienda. Deve stabilire le politiche, allocare le risorse necessarie e nominare figure responsabili della sicurezza informatica per garantire che le misure di protezione siano implementate in tutto l’ambiente aziendale;
- la conformità normativa: il board ha il compito di garantire che l’azienda rispetti le normative e le leggi in materia di sicurezza informatica. La mancata conformità può comportare sanzioni finanziarie e danneggiare gravemente la reputazione dell’azienda;
- la valutazione dei rischi: il board deve essere coinvolto nella valutazione dei rischi legati alla sicurezza informatica. Ciò implica l’identificazione e la valutazione dei punti deboli, la definizione di strategie di mitigazione dei rischi e l’implementazione di soluzioni di sicurezza appropriate.
- la comunicazione e la trasparenza: il board ha il compito di comunicare in modo chiaro e trasparente i rischi e le misure di sicurezza adottate all’interno dell’azienda. È importante che i membri del board siano in grado di comunicare efficacemente con tutti gli stakeholder, incluso il personale, per creare consapevolezza e promuovere una cultura della sicurezza informatica.
Argomenti come la verifica del piano strategico dei sistemi informativi, il presidio del portafoglio progetti, il monitoraggio delle prestazioni tecniche o la verifica delle scelte organizzative della funzione IT sono tipicamente delegati al management dell’azienda. In ogni caso gli amministratori dovrebbero adottare un approccio contingente al governo dei sistemi informativi, scegliendo gli aspetti salienti da presidiare in funzione delle caratteristiche dell’azienda in cui operano.
D’altro canto, raccomando a chi deve istruire la discussione in seno al CDA, di adottare uno stile di comunicazione meno specialistico e più orientato a fornire agli amministratori pochi elementi salienti su cui gli stessi siano in grado di orientarsi nell’esercizio del loro ruolo, facendo sempre percepire il risvolto aziendale – economico e non – collegato a scelte e decisioni che riguardano i sistemi informativi, le tecnologie ICT e la sicurezza ICT.
Articolo di Marco Cozzi pubblicato su LinkedIn