Brand safety: perché investire in un CISO esterno
16 Aprile 2021 in CISO as a Service
La forza di un’azienda risiede in molteplici fattori: la sua capacità produttiva, l’abilità di contenere i costi aumentando i ricavi e la reputazione di cui gode sul mercato. La brand safety, ovvero la salvaguardia della reputazione del brand, è oggi un’attività più fondamentale che mai, rientrante nella più generale attività di sicurezza dei dati e dei processi aziendali.
Considerata la sensibilità generale sul tema, dimostrare ai clienti di dedicare ogni attenzione alla sicurezza dei loro dati e dei prodotti, specie se si forniscono servizi digitali, garantisce una posizione di vantaggio indiscutibile sul mercato.
A tale scopo, sempre più aziende decidono di rivolgersi ad una figura professionale specializzata e altamente competente, che possa anche aiutare il management a pianificare una strategia di brand safety efficace: il Chief Information Security Officer, o CISO.
Qual è il ruolo del CISO nelle attività di brand safety
Abbiamo già detto definito la brand safety come l’insieme delle attività atte a proteggere l’immagine e la reputazione di un brand da qualsiasi influenza negativa. In questo campo, rientra anche l’azione del CISO, che si occupa in primo luogo di garantire la sicurezza delle informazioni aziendali e, quindi, anche degli aspetti reputazionali che sono connessi alla perdita o all’indebito utilizzo di quest’ultime. Una figura distinta e autonoma rispetto al Responsabile della sicurezza informatica, che riveste un ruolo più tecnico, connesso alla gestione degli incidenti informatici.
Ad esempio, nel processo di gestione di un data breach o di altri eventi negativi che possono comportare un danno per un brand, il CISO fornisce all’impresa il giusto supporto strategico, aiutandola a far fronte ai numerosi obblighi posti in capo al titolare ai sensi di legge, come:
- obblighi di notifica nei confronti di autorità di vigilanza come Banca d’Italia e IVASS;
- obblighi di notifica nei confronti del Garante Privacy e dell’interessato;
- attuazione di strategie di contenimento degli impatti del breach;
- definizione delle azioni di miglioramento per le misure di sicurezza dei dati e delle informazioni.
Nel caso in cui l’evento dannoso avvenga in una società quotata, il CISO si occupa anche di gestire i rapporti con l’Investor Relations Manager, di comune accordo con il management aziendale, al fine di rassicurare gli investitori e preservare il valore del brand sul mercato azionario.
Il CISO ha un ruolo fondamentale anche nel processo di formazione dei membri dell’azienda sui possibili rischi cui gli stessi possono andare incontro ogni giorno. Un attacco informatico, infatti, non è l’unico modo tramite cui è possibile danneggiare la reputazione e il patrimonio aziendale: si pensi alla CEO fraud, nella quale, ad esempio, ci si finge l’amministratore delegato per richiedere il pagamento di somme di denaro agli stessi dipendenti, o all’utilizzo di domini “gemelli” per clonare le pagine web aziendali e ingannare gli utenti. Tecniche di frode come queste, possono causare danni anche per decine di milioni di euro, ove ignorati o sottostimati.
Allo stesso modo, può accadere che vi sia una sottrazione dei dati di accesso al conto corrente aziendale o dei membri di vertice e che tale conto corrente venga utilizzato al fine di riciclare del denaro sporco, con durissime conseguenze per i soggetti coinvolti, sia in termini di danno all’immagine e di impatto sull’opinione pubblica, sia in termini di responsabilità penali.
In sintesi, agendo nell’ottica di proteggere le delicate informazioni aziendali, le attività del CISO rinforzano la strategia di brand safety. L’obiettivo finale, dunque, non è solo quello di limitare l’impatto dagli attacchi informatici, bensì quello di occuparsi del valore di mercato a tutto tondo sul mercato di un’organizzazione.
I vantaggi di un CISO esterno
In quanto figura professionale di alto livello, investire in un CISO interno può rappresentare un costo ingente per l’azienda. Per tale motivo, può essere maggiormente conveniente rivolgersi ad un CISO esterno, che sia in grado di mettere a disposizione del proprio cliente un intero staff di professionisti, come l’incident manager, il risk manager e il continuity manager; al pari di quanto accade per la figura del Data Protection Officer, ciò consente di diversificare le competenze e fornire un servizio migliore, specialmente nel caso in cui l’impresa non sia dotata, internamente, di professionalità di tale livello.