Perché la sicurezza informatica dovrebbe essere una priorità a livello di consiglio di amministrazione di ogni azienda: la prospettiva di Serhii Mikhalap

Grazie al mondo interconnesso di oggi, la sicurezza informatica non è più un aspetto tecnico secondario. È un imperativo per i consigli di amministrazione. Con l'aumento della sofisticatezza delle minacce online e dei costi delle violazioni, le aziende si stanno rendendo conto che la sicurezza digitale deve essere integrata nella governance aziendale. Ma cosa significa che la sicurezza informatica sia una priorità a livello di consiglio di amministrazione e perché molte aziende sono ancora in ritardo?

L'esperto di sicurezza informatica Serhii Mikhalap ritiene che la risposta risieda nella mentalità. Con oltre nove anni di esperienza in prima linea, tra cui la guida di operazioni di difesa informatica a livello nazionale e la co-fondazione di una startup specializzata in sicurezza informatica, Mikhalap ha sperimentato in prima persona le conseguenze del considerare la sicurezza informatica come un esercizio di controllo piuttosto che come un pilastro strategico.

Mikhalap ha iniziato la sua carriera nel 2016 come analista presso il Centro Operativo per la Sicurezza Nazionale (SOC) dell'Ucraina. Incaricato di rispondere alle minacce persistenti avanzate (APT) contro le infrastrutture governative e private, ha sviluppato una comprensione approfondita del comportamento degli autori delle minacce.

"Non ci limitavamo a identificare il malware", ricorda Mikhalap. "Stavamo tracciando le motivazioni alla base, mappando gli obiettivi a lungo termine degli avversari e il modo in cui si infiltravano nelle catene di approvvigionamento".

Nel 2020 è passato al settore commerciale, lavorando inizialmente come incident responder e in seguito alla guida di team SOC presso un fornitore globale di sicurezza informatica. Il suo lavoro ha comportato la creazione di due SOC da zero, integrando automazione, triage basato su playbook e monitoraggio 24 ore su 24, 7 giorni su 7. Tra i clienti figuravano aziende fintech e di tecnologia dei pagamenti sottoposte a severi controlli normativi.

Nel 2024, Mikhalap ha co-fondato una startup di sicurezza come servizio rivolta a startup e PMI nei settori delle criptovalute, del settore bancario e delle tecnologie transazionali. Il suo team fornisce servizi di penetration testing, DFIR (analisi forense digitale e risposta agli incidenti), valutazioni del rischio e audit di sicurezza.

"La sicurezza informatica non riguarda solo la prevenzione. Riguarda risposta, recupero e fiducia. E questa fiducia inizia con la leadership", afferma.

L'impatto di Mikhalap non è passato inosservato. Nel 2022, gli è stato conferito il premio nazionale ucraino "Znak Yakosti" (Simbolo di Qualità) per la sua eccezionale professionalità nella sicurezza informatica. La commissione ha sottolineato il suo lavoro nella risposta agli incidenti, nella pianificazione strategica della difesa, nella formazione degli utenti e nell'informatica forense.

Nel 2023, è stato insignito del premio nazionale "Award for High Reputation", che premia il suo impegno verso pratiche commerciali etiche, responsabilità e qualità. Questi riconoscimenti sottolineano la sua credibilità come leader che unisce rigore tecnico e integrità.

Secondo Mikhalap, inserire la sicurezza informatica nell'agenda del consiglio di amministrazione non è facoltativo; è essenziale. "I consigli di amministrazione supervisionano il rischio strategico. E nel 2025, il rischio informatico è un rischio strategico", afferma.

Tuttavia, molti consigli di amministrazione non hanno le competenze necessarie per comprendere le vulnerabilità tecniche, e tanto meno per allineare la sicurezza agli obiettivi aziendali. Questo crea un divario pericoloso.

"La mancanza di alfabetizzazione informatica ai vertici porta a budget mal distribuiti, piani di risposta imprecisi e un'eccessiva dipendenza dai fornitori", avverte. "La sicurezza informatica deve essere trattata come la finanza o il settore legale, un ambito con metriche, linguaggio e responsabilità propri".

Sostiene che i CISO o esperti esterni debbano tenere briefing regolari a livello di consiglio di amministrazione, concentrandosi su:

• Obblighi di conformità
• Prontezza nella risposta agli incidenti
• Priorità di investimento per la resilienza
• Panorama attuale delle minacce e tendenze
• Asset critici per l'azienda e la loro esposizione

Mikhalap ritiene che inquadrando la sicurezza informatica in termini di continuità aziendale e rischio reputazionale, i consigli di amministrazione possano comprenderne meglio il valore.

Un tema ricorrente nel lavoro di Mikhalap è il costo nascosto dell'inazione. "Una violazione non costa solo denaro. Erode la fiducia. Smaschera negligenze. Può far fallire un'IPO o un'operazione di fusione e acquisizione".

Nei settori regolamentati, le conseguenze sono ancora più gravi. Multe, azioni legali e divieti normativi sono tutti sul tavolo. "Ma il problema più grande è lo svantaggio competitivo. Se i tuoi rivali investono in resilienza e tu no, ti ritroverai a dover recuperare terreno una volta che il danno sarà fatto".

Mikhalap sottolinea che il coinvolgimento del consiglio di amministrazione dovrebbe andare di pari passo con il cambiamento culturale. La sicurezza non può avere successo se isolata.

"Dobbiamo sfatare il mito secondo cui la sicurezza informatica è un problema dell'IT. È responsabilità di tutti. Dalle risorse umane alla finanza, ai team di prodotto, ogni funzione deve comprendere il proprio ruolo nella gestione del rischio informatico."

A supporto di ciò, la sua azienda offre moduli di formazione personalizzati che allineano le pratiche di sicurezza ai ruoli lavorativi. Aiutano inoltre le aziende a simulare attacchi per testare il processo decisionale dei dirigenti sotto pressione.

"Quando i leader affrontano uno scenario simulato di violazione, capiscono la posta in gioco. Si rendono conto che non si tratta solo di firewall. Riguarda danni alla reputazione, rischi legali e la sopravvivenza dell'azienda."

Mikhalap evidenzia alcune pratiche che i consigli di amministrazione più lungimiranti stanno adottando:

• Il rischio informatico come parte della gestione dei rischi aziendali (ERM): integrazione della sicurezza in dashboard dei rischi più ampie.
• Formazione del consiglio direttivo: organizzazione di workshop o sessioni di inserimento per i nuovi membri.
• Valutazioni indipendenti: assunzione di esperti terzi per condurre revisioni della maturità.
• Pianificazione degli scenari: esecuzione di esercitazioni pratiche per team esecutivi e direttori.
• Allineamento del budget: garantire che gli investimenti in sicurezza siano commisurati all'impronta digitale dell'azienda e all'esposizione alle minacce.

Osserva che i consigli di amministrazione non devono necessariamente diventare esperti di sicurezza informatica. Devono però porsi le domande giuste e aspettarsi risposte chiare e attuabili.

Guardando al 2025 e oltre, Mikhalap vede una crescente urgenza per le aziende di integrare la strategia informatica nella pianificazione a lungo termine. Con l'aumento di scala e complessità di ransomware, attacchi basati sull'intelligenza artificiale e violazioni della supply chain, sostiene che le priorità dei consigli di amministrazione debbano evolversi di conseguenza.

"La sicurezza informatica non riguarda più la difesa del perimetro di rete. Riguarda la gestione del rischio digitale in tutta l'azienda. Riguarda la resilienza. E inizia con una leadership che capisca cosa è realmente in gioco."

Per Serhii Mikhalap, il messaggio è semplice: la sicurezza informatica è un tema che rientra nelle competenze del consiglio di amministrazione. Non solo durante una crisi, ma come parte integrante della supervisione di routine.

"Se non si affronta la questione della sicurezza informatica a livello di consiglio di amministrazione, si rende l'organizzazione vulnerabile, sia dal punto di vista tecnico che reputazionale", afferma. "La sicurezza informatica è ormai un fattore abilitante per il business. I consigli di amministrazione che la affronteranno correttamente guideranno con fiducia. Quelli che non la affronteranno resteranno indietro".

(Immagine di Cliff Hang da Pixabay)