Emily Wearmouth: Ciao e benvenuti al Security Visionaries Podcast, un luogo dove invitiamo leader della cybersecurity a venire a parlare con noi di argomenti interessanti. E oggi stiamo facendo proprio questo, discutendo del ruolo di un NED o direttore non esecutivo. Sono la vostra conduttrice Emily Wearmouth, quindi lasciate che vi presenti i miei ospiti. Richard Starnes è il CISO di Six Degrees ed è anche direttore non esecutivo del Cyber Resilience Centre di Londra, nonché governatore scolastico della Lenham School nel Kent nell'ambito del Cyber Governors Scheme. Ha lavorato sia negli Stati Uniti che nel Regno Unito e si unisce al nostro club d'élite di ospiti che ha ricoperto anche ruoli nelle forze dell'ordine, e a me piace sempre partecipare nel podcast. Ha ricevuto il premio ISC2 CEO ed è stato nominato uno dei primi 50 professionisti della sicurezza informatica, quindi benvenuti al podcast Richard.
Richard Starnes: Mille Grazie.
Emily Wearmouth: La mia seconda ospite è Homaira Akbari, presidente e CEO di AKnowledge Partners, una società di consulenza globale, che ha ricoperto ruoli dirigenziali in numerose grandi organizzazioni, tra cui Microsoft e Thales. Ma l'abbiamo invitata a unirsi a noi oggi perché ha una vasta esperienza nella leadership di consigli di amministrazione, avendo fatto parte di sei consigli di amministrazione di società quotate in borsa e di 15 di società private. Attualmente è amministratore non esecutivo del consiglio di amministrazione di Banco Santander e ricopre lo stesso ruolo anche per Landstar System. Come se non bastasse, è anche autrice di oltre 50 articoli scientifici pubblicati su riviste internazionali. Ha due brevetti e un dottorato di ricerca in fisica delle particelle, il che è davvero fantastico, quindi sono davvero contento che tu abbia potuto unirti a noi oggi. Grazie per essere qui Homaira.
Homaira Akbari: Bene, grazie, Emily.
Emily Wearmouth: Allora, mi tufferò subito nella domanda ovvia e comincerò col porla a te, Richard. Cos'è un amministratore non esecutivo?
Richard Starnes: Vorrei usare un'espressione inglese che è un po' come una domanda del tipo "quanto è lungo un pezzo di spago?", che varia molto a seconda del settore in cui si ricopre l'incarico di NED, delle dimensioni e di una miriade di altre cose. Quindi dipende.
Emily Wearmouth: [risate] Homaira, puoi aiutarci? Puoi affinare un po' il concetto? Quali sono alcune delle caratteristiche generali di un ruolo di amministratore non esecutivo?
Homaira Akbari: Sì, ogni azienda, sia privata che pubblica, dovrebbe avere una governance. Cosa significa governance? Si tratta di un gruppo di persone chiamato consiglio di amministrazione, che si assume la responsabilità fiduciaria, in particolare la responsabilità fiduciaria e il dovere di cura di governare tutti i principi per quella società, dagli statuti e dal ritmo dell'attività, dagli obiettivi della strategia, e ha davvero controlli ed equilibri anche rispetto alle normative e alla conformità.
Homaira Akbari: Quindi questo è il consiglio di amministrazione. E all'interno del consiglio di amministrazione c'è un gruppo di persone che, ad esempio, è l'amministratore delegato dell'azienda, che di solito diventerebbe un direttore dell'azienda, ma ovviamente è un dirigente. Nel Regno Unito capita spesso che il CFO, il direttore finanziario, sia anche un direttore, ma negli Stati Uniti e in molti altri paesi, di fatto, questa tendenza o pratica è stata abbandonata. Di solito solo l'amministratore delegato è il dirigente e potrebbero esserci ex dirigenti che fanno parte del consiglio di amministrazione. Ma quando c'è qualcuno che è indipendente dall'azienda, che non ha lavorato per l'azienda in passato, né l'ha consigliata in passato, o che è stato strettamente associato ad essa, almeno nel recente passato, a volte per cinque anni, ad esempio un revisore dei conti, un partner di importanti società di revisione, allora lo si chiamerebbe amministratore non esecutivo.
Emily Wearmouth: Richard, la distanza e la maggiore indipendenza dal team esecutivo implicano che non vengano pagati? Si tratta ancora di un rapporto commerciale? È ancora una sorta di impiego?
Richard Starnes: Penso che l'occupazione possa essere una distinzione interessante, ma alcune sono retribuite e altre no. Dipende dalla scheda stessa. Per le organizzazioni non profit più piccole o per i consigli di amministrazione professionali più piccoli, di solito non saranno retribuiti, sicuramente al livello di Homaira. E devo essere sincero, dopo aver ascoltato la tua introduzione, Homaira, mi sento un po' come se fossi vittima della sindrome dell'impostore.
Emily Wearmouth: È impressionante, non è vero?
Richard Starnes: Davvero impressionante. Cosa diavolo ci faccio qui? Ma questo tipo di posizioni sono ovviamente retribuite.
Homaira Akbari: Se posso aggiungere, prima di tutto, Richard, grazie mille. E sono molto felice di essere con voi in questa chiamata. E penso che i diversi background rendano il tutto molto interessante. Ma tu hai parlato di pubblicità, Emily. Non esiste in realtà alcun rapporto commerciale tra un NED o non dovrebbe esistere perché, di fatto, hanno una responsabilità fiduciaria nei confronti di tutti gli azionisti, anche quelli senza scopo di lucro. Come ha detto Richard, anche io sono un'organizzazione non-profit: non solo non vieni pagato, ma paghi davvero. Devi pagare perché non ha fini di lucro e ha bisogno di fondi. Ma indipendentemente dal fatto che si tratti di un'organizzazione a scopo di lucro o meno, hai di fatto una responsabilità fiduciaria nei confronti degli altri azionisti della società o di altri partecipanti, se preferisci, o membri.
Homaira Akbari: E quindi, quando hai menzionato la parola commerciale, direi che c'è una relazione commerciale. Ma sì, i consigli di amministrazione delle società a scopo di lucro sono generalmente retribuiti. E il motivo è che per farlo è necessario un bel po' di lavoro. E ancora, torniamo al fatto che hai il dovere di diligenza e la responsabilità fiduciaria. E se non si adempie a tali obblighi fiduciari, si è soggetti ad azioni legali da parte degli azionisti. Pertanto, in genere vieni pagato. La maggior parte dei consigli di amministrazione ti paga adeguatamente, ma non è redditizio, se vuoi.
Emily Wearmouth: Di recente sono andata a un evento e ho sentito un paio di NED chiacchierare ed entrambi erano d'accordo sul fatto che nessuno si impegna per soldi. Ci si imbatte in questo per molti motivi. E c'è un risarcimento, ma nessuno lo fa per i soldi. Ma ero piuttosto interessato, ne stavano parlando, e anche voi due ricoprite più ruoli contemporaneamente. Quindi qual è il tempo medio impiegato? C'è una media o varia?
Homaira Akbari: Sì. Varia a seconda della scheda. Ma in media, se parliamo di un consiglio di amministrazione pubblico, diciamo un consiglio di amministrazione a media capitalizzazione, con una capitalizzazione di mercato di 10 miliardi di dollari, e magari uso European, la società europea, che è a media capitalizzazione, di solito si riuniscono cinque volte all'anno, di cui quattro sono effettivamente riunioni del consiglio di amministrazione. E una volta all'anno è una strategia, se vogliamo. Quindi non creano un consiglio, ma una strategia. Visitano le filiali, visitano le operazioni. E per queste cinque volte, se vuoi, probabilmente, a seconda di dove vieni, viaggerai per due o tre giorni, riunioni comprese. Quindi si potrebbe dire che si è impegnati con un consiglio di amministrazione per circa 15-17 giorni di persona, e poi altri 10-15 giorni distribuiti virtualmente durante l'anno per chiamate virtuali e anche per la preparazione delle riunioni. Quindi, per una singola tavola, potresti considerare tra i 25 e i 30 giorni all'anno, il che è molto ma non molto.
Emily Wearmouth: Giusto. È tanto. Sì. Sì. Non è certamente un lavoro a tempo pieno, ma credo che sia più di quanto pensassi, considerando il numero di consigli di amministrazione di cui fanno parte alcune persone; sembra davvero un lavoro che richiede molto tempo. Richard, qual è la tua esperienza? E sono piuttosto interessato a questo programma di governatori informatici, quindi ne parleremo più in dettaglio tra un momento, ma quando si valuta di essere coinvolti in questi ruoli in un'organizzazione più piccola, magari un'organizzazione no-profit, magari una scuola, qual è il tipo di impegno di tempo richiesto?
Richard Starnes: Direi che l'impegno in termini di tempo è di circa 15-20 giorni per consiglio. Non è un impegno così pesante, ma una delle cose di cui parlava Homaira è che, secondo me, si tratta di una situazione normale. Vorrei sottolineare un avvertimento riguardo ai diversi tipi di registi. Ci sono registi che a volte perdono la direzione di ciò che dovrebbero fare e cominciano a deviare dal ruolo di registi e a deviare verso quello di... Direi che un dirigente dovrebbe essere un po' più attivo di quanto dovrebbe essere negli aspetti operativi dell'azienda o nel consiglio di amministrazione. Questo è un tipo di avvertimento: direi che devi ricordare cosa stai facendo e perché lo stai facendo.
Emily Wearmouth: A questo proposito, questo è un podcast ascoltato da persone leader nella sicurezza informatica. Il motivo per cui stiamo avendo questa conversazione è che ho notato che molte persone, man mano che avanzano nella loro carriera, iniziano a vedere ruoli di direttore non esecutivo aggiunti ai CV e ai profili LinkedIn man mano che avanzano nella scalata della carriera. E volevo sapere qual è il tuo punto di vista sul perché ciò accada? Perché è interessante assumere questi ruoli quando si diventa una persona di alto livello nel campo della sicurezza informatica? Richard, cosa ti ha attirato?
Richard Starnes: Per me è stato... Sto iniziando ad entrare nella fase finale della mia carriera e sono sempre più consapevole di dover restituire qualcosa. Ho sempre dato qualcosa in cambio nel corso della mia carriera, ma credo che a questo punto della mia carriera e della mia vita sia mio dovere iniziare a dare di più alla professione e alla comunità. Ed è per questo che ho fatto parte di entrambi i consigli di amministrazione per farlo.
Emily Wearmouth: Sembra deliziosamente altruistico, ma sicuramente avere questi nomi sul CV comporta anche una sorta di vantaggio per la carriera. Homaira, cosa ne pensi? Cosa ti ha spinto a ricoprire questo tipo di ruoli?
Homaira Akbari: Beh, penso che ciò che ha descritto Richard sia assolutamente vero. In genere, e storicamente è sempre stato così... Far parte di un consiglio di amministrazione avviene principalmente quando si entra nella seconda metà o terza metà della propria carriera, se si è nella terza parte della propria carriera, ma anche perché è necessaria esperienza, e questo è molto importante, esperienza di governance, o esperienza dirigenziale, o essere CEO e gestire un'azienda e la proprietà di P&L, perché è necessario avere un'esperienza completa quando si è a bordo. Detto questo, circa 15 anni fa, o forse 15 o 20 anni fa, è iniziata una tendenza, che è iniziata prima in Europa e in particolare in Norvegia, dove si sono resi conto che molti consigli di amministrazione, se non tutti, erano composti in larga parte da uomini e volevano diversificare il genere.
Homaira Akbari: E di conseguenza hanno introdotto delle leggi in base alle quali ogni consiglio di amministrazione dovrebbe avere una percentuale di donne compresa tra il 30% e il 40%. Di conseguenza, molti consigli di amministrazione hanno iniziato a diversificare prima che la norma entrasse in vigore e avevano membri donne che forse era la prima volta che lo facevano, spesso in età più giovane e non necessariamente verso la seconda metà o terza parte della loro carriera. Quindi oggi, facendo un salto in avanti, se si osservano i consigli di amministrazione, questi sono notevolmente più diversificati, non solo per genere, ma anche per razza e anche per età. Quindi hai... E questo è diventato anche il tema della sicurezza informatica di cui parlavi prima, ma è diventato ancora più evidente quando la digitalizzazione è diventata realtà e tutti, ogni azienda, hanno capito che devono attuare una trasformazione digitale. Indovina un po? La maggior parte delle persone che sapevano come realizzare la trasformazione digitale rientrava nella fascia d'età più giovane. Quindi i consigli di amministrazione sono diventati più flessibili, ad esempio, arrivando ad avere membri del consiglio che avevano anche 35 anni o anche meno, mentre se si torna indietro di tre decenni, l'età media sarebbe stata molto, molto più alta, probabilmente verso la fine degli anni '50 o '60. Oggigiorno, l'età media sta diminuendo un po' ogni anno.
Homaira Akbari: Ma sono fermamente convinta che su una tavola ci sia tutto. È necessaria questa diversificazione sia in termini di età, sia in termini di tecnologia, sia in termini di esperienza, background, genere, razza... E penso che i consigli di amministrazione che lo hanno fatto, come la maggior parte dei consigli di amministrazione pubblici, ne abbiano davvero tratto beneficio.
Emily Wearmouth: Ho letto alcune ricerche di McKinsey che affermano... Nello specifico, sono stati presi in esame 100 consigli di amministrazione e si è scoperto che quelli con un team più diversificato avevano ottenuto risultati migliori in termini di profitti. Quindi sembra decisamente che questa sia la direzione giusta in cui muoversi per un consiglio di amministrazione.
Richard Starnes: Assolutamente, non potrei essere più d'accordo con te. Abbiamo convocato un comitato consultivo per il London Cyber Resiliency Centre e l'ho presieduto, analizzando in modo molto specifico la demografia di Londra e assicurandomi che corrispondesse a quella del comitato. E penso che ne abbiamo tratto grandi benefici. Il 40% del nostro comitato consultivo è composto da donne.
Emily Wearmouth: È davvero bello sentirlo.
Homaira Akbari: Fantastico. Congratulazioni.
Emily Wearmouth: Posso affermare quindi che se la trasformazione digitale fosse un fattore determinante per ottenere una maggiore diversità e forse una composizione più giovane nei consigli di amministrazione, potremmo considerare alcune delle sfide che le organizzazioni stanno attualmente affrontando e una di queste, che mi interessa in primo piano, è un panorama di minacce in rapida evoluzione. Ciò potrebbe significare che oggi una persona con esperienza in ambito informatico porta con sé un insieme di competenze molto più interessanti rispetto a 10 anni fa e potremmo quindi assistere a un aumento dei professionisti della sicurezza informatica che trovano queste posizioni nei consigli di amministrazione?
Homaira Akbari: La risposta è sì e no. [risate] In un certo senso, ovviamente se hai conoscenze di sicurezza informatica e se vuoi, potresti essere considerato un esperto di sicurezza informatica. Questo è positivo, ma da solo non basta.
Emily Wearmouth: Giusto.
Homaira Akbari: Anche se ciò aggiungerebbe un valore enorme alla tua candidatura, non è sufficiente. Perché, come ricorderete, i tavoli variano, le loro dimensioni variano da sette a quindici persone circa, e tutti sono importanti sui tavoli. E come abbiamo detto prima, ad esempio, se il consiglio di amministrazione è composto da 12 membri, forse tre o quattro sono dirigenti o ex dirigenti. Quindi ora hai solo sette o otto membri tra cui scegliere, e tutti quei sette e otto, se sei, ad esempio, un'azienda internazionale con una presenza in Brasile o in Cina, vuoi la rappresentanza di quelle aree geografiche perché è molto importante. Quindi non puoi semplicemente scegliere qualcuno solo perché è brasiliano e, ok, era un uomo d'affari in Brasile, quindi ho bisogno di qualcuno dal Brasile. Ciò che devi fare è che tutti devono avere diverse cose da offrire.
Emily Wearmouth: Giusto.
Homaira Akbari: Non basta una sola attitudine, quindi la sicurezza informatica da sola non è sufficiente. Ciò che ho visto, e che consiglio a molti CISO, molti dei quali sono effettivamente interessati a far parte dei consigli di amministrazione, è di ampliare le proprie conoscenze, la propria carriera, non solo di essere responsabili della sicurezza informatica per tutta la vita, ma di fare anche altre cose. E abbiamo visto CISO che ci sono riusciti. E abbiamo un esempio molto significativo in Banco Santander, dove il nostro CISO, che era lì da sette anni, è diventato responsabile del conto profitti e perdite e responsabile della trasformazione per il settore retail e commerciale, una posizione davvero molto importante nell'azienda.
Homaira Akbari: E questi esempi sono molto positivi. Sono rari e decisamente troppo pochi, ma stanno iniziando ad accadere. Lo stesso vale per il CIO o per qualsiasi altro, ad esempio se sei responsabile dell'intelligenza artificiale o responsabile dei dati e hai l'ambizione di diventare membro del consiglio di amministrazione, devi capire che devi diversificare te stesso, diversificare la tua carriera ed essere una persona completa. Perché è ciò di cui il consiglio ha bisogno. In ogni board ora creiamo una matrice di scala e nella matrice di scala diciamo: ok, quali sono le cose di cui abbiamo bisogno per il board e quali stai portando sul tavolo? E se selezioni solo 2 su 15, non è abbastanza.
Emily Wearmouth: Richard, c'è qualcosa su cui hai lavorato consapevolmente e che hai ampliato partendo dalla tua esperienza e dalle tue credenziali per offrire più valore ai consigli di amministrazione di cui ti occupi?
Richard Starnes: In realtà non ho mai ricoperto il ruolo di CISO in un consiglio di amministrazione. Farò un passo indietro e risponderò alla tua domanda iniziale. A volte, a mio avviso, la domanda posta dai CISO è stata mal posta: un CISO dovrebbe far parte del consiglio di amministrazione? E la mia risposta generale è no. Il motivo è che non puoi far parte di un consiglio di amministrazione a causa di una funzione specifica che svolgi. Bisogna essere molto più diversificati in quello che si fa e le proprie esperienze sono una cosa. L'altra questione è: i CISO dovrebbero riferire al consiglio di amministrazione? Credo che dovrebbe essere così. E quando dico "report", intendo che dovrebbero poter avere resoconti su ciò che stanno facendo. In caso contrario, il consiglio di amministrazione avrà una sorta di struttura in cui saranno presenti comitati per la gestione dei rischi o per la sicurezza, composti da un membro del consiglio stesso. E sicuramente dovrebbero farne parte. Ma secondo me non si diventa CISO solo perché lo CISO .
Emily Wearmouth: Sì. E immagino che in un certo senso si arrivi a correggere i propri compiti, non è vero? Se sei sia il CISO che il consiglio che controlla il lavoro del CISO, c'è comunque un potenziale piccolo conflitto.
Richard Starnes: In genere consiglio che i consigli di amministrazione abbiano un esperto in sicurezza informatica e/o rischi per la sicurezza informatica, oltre al CISO, perché qualcuno deve controllare i compiti.
Emily Wearmouth: Sì. Sembra che abbia senso. Homaira, ci sono... Che si tratti della tua esperienza personale o di persone che hai visto entrare in alcuni dei consigli di amministrazione in cui fai parte, ci sono persone che provengono da un background specifico nella cybersecurity? Forse in un'organizzazione molto diversa dal consiglio di amministrazione in cui vogliono far parte. E hai qualche idea su quali competenze abbiano aggiunto alle loro credenziali in cybersecurity per giustificare il loro posto nel consiglio di amministrazione di quell'azienda? Dovrebbero correre a cercare competenze finanziarie, per esempio?
Homaira Akbari: Sì. Devo dire che ci sono stati casi in cui il pezzo più importante della carriera di quella persona è stato far parte dell'ecosistema della sicurezza informatica. Ma, ripeto, come ho già detto, sono molto più ampi di così. E spesso, tra l'altro, anche per chiunque voglia diventare membro del consiglio di amministrazione, se si vogliono acquisire le competenze necessarie, si può iniziare con consigli di amministrazione più piccoli e in particolare con consigli di amministrazione privati, non pubblici e finanziati da venture capital. E in quei consigli di amministrazione, ad esempio, se l'azienda è finanziata da venture capital ed è un'azienda informatica, avresti l'opportunità, anche come CISO, di far parte del consiglio.
Homaira Akbari: E questo ti dà, quell'inizio ti dà il gusto e le funzioni, le funzioni elevate e tu procedi con l'apprendimento. Quindi lo consiglierei sicuramente. Ma ancora una volta, per le aziende pubbliche, la situazione sta diventando molto competitiva e bisogna avere la matrice delle 15 competenze e il background richiesti, il background e l'esperienza. Probabilmente dovrai spuntare i punti da 10 a 12 per poter far parte di quella società pubblica. E a parte la razza, il genere e la diversità di esperienze e background, sei mai stato un CEO? Hai avuto la responsabilità del conto profitti e perdite? E o ce l'hai o non ce l'hai. Se non lo hai, non puoi spuntarli. Quindi ci sono alcune domande difficili a cui devi rispondere e ci vuole tempo per arrivarci, ed è per questo che originariamente, o anni fa, la maggior parte dei membri del consiglio erano persone molto più anziane, perché avevano appena fatto molte cose diverse nel corso della loro carriera e avrebbero potuto spuntare quelle responsabilità o la matrice delle competenze.
Richard Starnes: Nel Regno Unito abbiamo dei governatori. Per certi aspetti sono simili ai consigli scolastici degli Stati Uniti, ma non per tutti. Può essere chiamato programma del governatore o consiglio del governatore, ma si tratta di una posizione di tipo non esecutivo. E questo è un buon posto per imparare come funzionano i consigli di amministrazione e identificare i membri che sono lì da un po' e ottenere da loro un certo livello di input e tutoraggio per imparare come funzionano tutti questi processi, come funziona la governance se non lo sai già e dare questo tipo di contributi. Il Cyber Governors Program sta affrontando alcune sfide, in particolare in materia di sicurezza informatica nel Regno Unito. E stanno cercando di coinvolgere in questi consigli di amministrazione persone con esperienza in sicurezza informatica e informatica, per aiutare le scuole ad affrontare queste problematiche. Ma questo è un buon modo per ottenere qualcosa dal punto di vista dell'esperienza del consiglio di amministrazione e del consiglio di amministrazione che acquisisce la tua esperienza dal punto di vista IT e tu ottieni qualcosa e restituisci qualcosa allo stesso tempo.
Emily Wearmouth: Sembra un modo brillante per iniziare a spuntare alcuni dei requisiti di cui ha parlato Homaira e dimostrare di avere esperienza in determinati tipi di ruoli più ampi. Ma volevo anche capire come si fa a trovare questo tipo di ruoli. Qualche settimana fa la mia attenzione è stata attirata da un sito web che assomiglia un po' a una bacheca di annunci di lavoro, ma per ruoli di amministratore non esecutivo. E ho dato un'occhiata lì e ho trovato elencate alcune cose affascinanti. È questo il modo principale in cui i consigli di amministrazione trovano New direttori non esecutivi oppure è più un pacato colpetto sulla spalla da parte di qualcuno che conosce qualcuno? In che modo questi ruoli identificano realmente i candidati e come i candidati trovano i ruoli?
Homaira Akbari: Certo. Le possibilità sono molteplici. Ad esempio, esiste qualcosa chiamato BoardProspects. Penso che potresti andare su boardprospects.com... Ci sono... Conosco alcune reti che sono tutte femminili. A volte per entrare in queste reti è necessario far parte di un consiglio di amministrazione. Penso che in ogni Paese ci siano istituti di direzione. Negli Stati Uniti, ad esempio, si chiama National Association for Corporate Directors. Puoi diventare membro anche se non sei un direttore aziendale, partecipare ai loro eventi e iniziare a incontrare persone. Quindi ci sono diverse situazioni di questo tipo.
Homaira Akbari: Anche nel campo della sicurezza informatica esistono numerose reti di cui si può far parte. Come ho detto prima, uno dei modi per imparare è anche diventare membro del consiglio di amministrazione di aziende private, piccole aziende private. Ciò significa che se hai rapporti con investitori di capitale di rischio o di private equity, potresti trarne vantaggio e fare leva su di essi. Ma non c'è dubbio che sia necessario fare networking. Se pensi di poterti semplicemente sedere, andare su un sito e candidarti, è un po' più difficile che, direi, trovare un impiego.
Richard Starnes: L'altra cosa che devi considerare, per certi aspetti, non è diversa dalla ricerca di lavoro. Anche se un consiglio ti accetta, devi assicurarti di voler farne parte. In particolare, se è la prima volta che ti avvicini a questa cosa, non puoi semplicemente dire: "Mi è stato chiesto, quindi sì". Devi assicurarti che ci sia una buona corrispondenza, proprio come faresti in un lavoro. E questo dal punto di vista di ciò che fa l'azienda, del suo livello di maturità in particolare nella governance. E quindi queste sono le cose che devi assolutamente considerare.
Emily Wearmouth: Ora vorrei cambiare un po' la direzione del discorso. Abbiamo parlato di cosa possono apportare i leader della sicurezza informatica in un ruolo nel consiglio di amministrazione. Ora, vorrei dare una piccola occhiata, perché in passato ho visto entrambi parlare di opinioni sulle conoscenze in materia di sicurezza informatica che esistono o meno tra i membri del consiglio direttivo, persone che non provengono da un background in sicurezza informatica. Per iniziare, vorrei porre una domanda molto binaria: la conoscenza della sicurezza informatica nei consigli di amministrazione in generale è sufficiente?
Homaira Akbari: Un paio di cose. Bisogna rendersi conto che molti membri del consiglio di amministrazione non solo non conoscono la sicurezza informatica, ma non ne hanno bisogno... Oggi, soprattutto oggi, i membri del consiglio di amministrazione non hanno una buona formazione tecnologica perché sono passati e non hanno nemmeno... Ad esempio, quando andavano a scuola di economia, la sicurezza informatica non veniva insegnata. Non era un corso. Oggigiorno, nelle scuole di economia si insegna la sicurezza informatica e la trasformazione digitale. Quindi per loro resta un argomento piuttosto astratto. E credo che una delle cose che abbiamo visto più spesso è che non capiscono il concetto del fatto che non si è mai, mai sicuri al 100%, non importa quanti soldi si spendano. Quindi devi spiegarglielo. E poiché devi dare spiegazioni, verrai violato. Pertanto, la tua organizzazione deve essere preparata in caso di violazione, sapere come identificare la violazione, come contenerla, come reagire e come riprendersi.
Homaira Akbari: E questo è qualcosa che non capiscono, né capiscono quale investimento sia necessario per farlo. Protezione, loro la capiscono meglio. Va bene. Costruisco muri e mi proteggo. Lo stesso vale per il mondo informatico. L'anno scorso ho co-pubblicato un libro intitolato "Cyber Savvy Boardroom", che cerca davvero di fornire modelli mentali ai membri del consiglio di amministrazione e di fornire loro le basi della sicurezza informatica, in modo che possano interiorizzare tale conoscenza. Questa è la parola chiave. Bisogna essere in grado di interiorizzare cosa significano cyber e sicurezza informatica e come difendersi. Non è necessario essere specialisti, basta comprendere i concetti. E i motivi per cui hacker e malintenzionati prendono di mira ogni azienda e il fatto che oggi, a causa del ransomware, ogni azienda è un bersaglio.
Homaira Akbari: Dieci anni fa non era così. Saresti preso di mira solo se lavorassi in un determinato settore, che si tratti del settore finanziario o sanitario. Ma i trasporti erano meno importanti. Non hanno molti dati interessanti. Ma oggi, quando si può effettivamente usare il ransomware e ottenere denaro anche dai comuni, persino dalle organizzazioni non-profit, perché si interrompono le loro attività, nessuno è più al sicuro. Ecco la chiave. Quindi penso che si tratti di formazione continua. Penso che si continui a dare enfasi a questo aspetto. Di sicuro non c'è fine a tutto questo. Ma sono sicuro che Richard ha parecchio... Potrebbe aggiungere parecchio a questo argomento.
Richard Starnes: In risposta alla domanda, no, non lo fanno. Ma la mia risposta è: perché dovrebbero? Sono dirigenti a pieno titolo e molto bravi nei loro settori specialistici. La mia risposta è che, in genere, i CISO devono imparare a parlare al consiglio di amministrazione in un linguaggio che capiscono, ovvero il rischio aziendale, che i consigli di amministrazione capiscono molto bene. Ed è questa la traduzione che deve avvenire da parte dei CISO. Non sai cos'è un firewall e non ti farò perdere 15 minuti del tuo tempo spiegandotene uno perché non ti interessa e non dovrebbe interessarti. Ma ecco cosa fa un firewall. Attenua questi rischi per l'azienda ed è per questo che li abbiamo. Quindi questo è il tipo di cambiamento linguistico che penso dobbiamo apportare alla comunità CISO: parlare in un linguaggio aziendale.
Homaira Akbari: Sono pienamente d'accordo con Richard. Penso che la lingua... Ricordo che ero a questo evento con alcuni membri del consiglio e che ho fatto un breve discorso, seguito da un dibattito. E poi uno dei membri del consiglio mi ha detto: "Beh, era davvero molto seria". Ha detto: "Penso che alcune di queste persone non parlino inglese. Dovremmo mandarli a lezione di lingua."
[risate] Homaira Akbari: E io ho pensato: okay. È esattamente il punto che Richard ha appena sollevato. Ha detto che in realtà non parlano inglese.
[risate] Emily Wearmouth: È un'ottima osservazione. Mi chiedo se quando si verificano questi incidenti, all'improvviso la sicurezza informatica potrebbe essere in cima all'agenda di un consiglio di amministrazione perché si trova nel mezzo di un incidente, e lo abbiamo visto anche in alcune scuole del Regno Unito, Richard, tu ne sarai a conoscenza, essere sottoposte ad attacchi ransomware e ricevere richieste di riscatto. Si tratta di scuole pubbliche, nel senso che ricevono denaro dal governo. Non hanno i soldi, ma tutti ne sono vittime. Quando si verificano questi incidenti o quando le aziende vengono a conoscenza di incidenti che coinvolgono organizzazioni simili, la situazione si capovolge e all'improvviso il consiglio di amministrazione concentra in modo sproporzionato la propria attenzione sulla sicurezza informatica oppure no? Cerco di immaginare come queste conversazioni si susseguono nel corso delle valutazioni del consiglio di amministrazione. Si muove con gli incidenti?
Homaira Akbari: La risposta è sì. Se non avessero avuto un buon programma informatico e fossero stati colti di sorpresa, e sono numerosi gli esempi che non voglio sottolineare, soprattutto perché lavoro nel settore. Ma forse lo farò, Target, Equifax, SolarWinds. E l'impatto, queste violazioni, l'impatto è stato enorme. E quando queste organizzazioni non sono completamente preparate e non hanno un programma completo, allora la situazione diventa piuttosto caotica. E ha avuto delle conseguenze importanti, come ha avuto per tutte e tre le aziende che ho citato, e continua ad avere.
Richard Starnes: Ho scritto un articolo abbastanza di recente proprio su questo argomento e il motivo per cui sorrido è perché avevo bisogno di un grafico per l'articolo e ho chiesto a Dolly di scrivermene uno che rappresentasse l'aspetto di un consiglio di amministrazione quando si trova ad affrontare un incidente informatico. E mi ha attirato l'attenzione di un consiglio di amministrazione seduto a un tavolo. C'erano documenti che volavano ovunque. C'erano persone che urlavano e gridavano, e c'erano schermi rossi che lampeggiavano dappertutto, e la mia risposta immediata è stata: se questo è l'aspetto del tuo consiglio di amministrazione durante un incidente, la prima cosa che dovresti fare è licenziare il tuo CISO. Ti sei allenato per queste cose e poi saprai come reagire. Il consiglio dovrebbe essere coinvolto. Dovrebbero affrontare almeno uno scenario all'anno per comprendere appieno come funzionano queste cose.
Richard Starnes: Il ransomware è un buon esempio, ed è molto facile per certe persone... Sono un ex agente delle forze dell'ordine, quindi con il mio ruolo di agente delle forze dell'ordine, no, non voglio pagare il riscatto, voglio mettere queste persone in prigione. Ma sfortunatamente non è così semplice. Quando sei un'azienda e ti viene tolta la possibilità di fare soldi o di sostenere la tua attività, e accumuli debiti e perdi clienti ogni minuto, a volte devi fare l'impensabile, ovvero pagare. È altamente situazionale, ma è necessario essere già stati mentalmente nella situazione e aver fatto alcuni di questi calcoli per risparmiare tempo. E questo avviene attraverso cose come gli scenari.
Emily Wearmouth: Sì. Sembra molto sensato. Si diceva che dalla bocca dei bambini scaturisce la verità. E credo che ora sia proprio dalla bocca di una richiesta di intelligenza artificiale che si tende a capire quali sono gli stereotipi di cui si nutre. Affascinante. Quindi vedo che il tempo stringe. E Homaira deve andare a una riunione. Immagino che si tratti di una riunione del consiglio di amministrazione. Quindi concludo qui. Ma grazie mille a entrambi per il tempo che mi avete dedicato. Hai ascoltato il podcast Security Visionaries. Sono stata la vostra ospite, Emily Wearmouth. Se non l'avete ancora fatto, iscrivetevi al podcast. Il mio co-conduttore, il meraviglioso Max Havey, e io registriamo nuovi episodi ogni due settimane. Quindi trattiamo tutti i tipi di argomenti interessanti e ce n'è per tutti i gusti. Grazie mille, Homaira. Grazie, Richard, per essere con noi. È stato fantastico averti qui.
){kind=icon}
