CFO e sicurezza informatica: le principali minacce e come prevenirle

Mark Jackley | Content Strategist | 27 marzo 2024

Poiché gli attacchi informatici rappresentano un grave rischio finanziario per la maggior parte delle organizzazioni, i chief financial officer svolgono un ruolo importante nella sicurezza informatica. Lavorano a stretto contatto con i chief information security officer (CISO) per dare priorità alle potenziali minacce in base al loro rischio finanziario, mettere in atto le difese appropriate e infine contribuire a mitigare tali rischi.

Perché i CFO dovrebbero preoccuparsi della sicurezza informatica?

Gli attacchi informatici possono danneggiare le organizzazioni in vari modi. Nel complesso, il costo medio di una violazione dei dati per le organizzazioni a livello mondiale è stato di 4,45 milioni di dollari nel 2023, secondo uno studio di IBM e del Ponemon Institute. Quasi il 95% degli attacchi viene lanciato per un guadagno finanziario, non per motivi politici, sociali o personali, secondo il Data Breach Investigations Report 2023 di Verizon.

I dati riservati, come i numeri di carta di credito del cliente e le password di rete dei dipendenti, sono uno degli obiettivi principali. Lo è anche il buon vecchio denaro, ottenuto attraverso false fatture dei fornitori, truffe e attacchi ransomware. Quasi la metà dei senior executive ritiene che gli attacchi alla contabilità e al finance peggioreranno, secondo uno studio del 2023 del Deloitte Center for Controllership. Poi c'è il costo finanziario dei danni alla reputazione di un'organizzazione causati da una violazione della sicurezza.

Anche le nuove regolamentazioni della Securities and Exchange Commission (SEC) degli Stati Uniti attirano l'attenzione dei CFO. La SEC ha adottato norme che impongono alle società pubbliche di fornire agli investitori informazioni "utili per le decisioni" sugli incidenti di sicurezza informatica, insieme ad aggiornamenti periodici sui loro programmi di sicurezza informatica. Le regole sembrano anche richiedere che la SEC venga informata entro quattro giorni da quando una società determina che un incidente di sicurezza informatica è "rilevante", cioè un incidente che la maggior parte degli investitori considererebbe importante.

Un altro mandato normativo è il Federal Information Security Management Act (FISMA), che richiede alle agenzie federali degli Stati Uniti di sviluppare, documentare e implementare misure di sicurezza a livello di agenzia. Il rispetto della legge è principalmente responsabilità del CISO, ma i CFO del governo devono essere a conoscenza dei suoi requisiti.

Concetti chiave

  • In qualità di esperti nella gestione dei rischi, i CFO dovrebbero collaborare con i CISO per dare priorità alle minacce informatiche e alle difese a seconda del rischio finanziario aziendale.
  • Per valutare il rischio informatico, i CFO devono acquisire una solida conoscenza delle tecniche di attacco informatico, nonché delle strategie e delle tecnologie utilizzate per combatterle.
  • Sempre più spesso, i CFO contribuiscono ai piani di sicurezza informatica, rivedono i budget per la sicurezza e monitorano l'efficacia dei suoi preparativi.

CFO e sicurezza informatica

I CFO non sono esperti di sicurezza informatica, ma sono esperti nella gestione del rischio. Questo li rende alleati naturali del CISO, che è responsabile della protezione dei sistemi e dei dati dell'organizzazione. I CFO dovrebbero essere consultati sui piani di sicurezza informatica, assicurandosi che riflettano il rischio finanziario complessivo dell'azienda. Proteggono sufficientemente i sistemi che elaborano e memorizzano i dati più sensibili e preziosi dell'organizzazione? Aiutano i dipendenti di tutta l'organizzazione a individuare e-mail e chiamate fraudolente e altre truffe? In qualità di supervisore principale della gestione del rischio, il CFO deve essere sicuro che il livello di rischio informatico dell'organizzazione sia accettabile.

I CFO hanno anche obblighi di reporting normativi che includono la sicurezza informatica. Sono strettamente coinvolti nel rispetto, tra le tante, delle norme stabilite dalla Securities and Exchange Commission degli Stati Uniti, dal General Data Protection Regulation dell'Unione Europea e dal California Consumer Privacy Act. I CFO collaborano con consulenti generali, auditor interni, CISO e altri per garantire la compliance. Affrontano le domande del consiglio di amministrazione circa la divulgazione di eventuali incidenti informatici, insieme alle informazioni annuali su gestione, strategia e governance dei rischi informatici.

Nel perseguire la compliance, i CFO devono trovare un equilibro tra una serie di fattori chiave. Ad esempio, la SEC richiede la divulgazione di eventuali "incidenti rilevanti", che gli investitori riterrebbero importanti. Naturalmente, i CFO utilizzano misure finanziarie per decidere cosa è rilevante e di conseguenza cosa divulgare, ma dovrebbero anche considerare fattori più qualitativi come l'impatto sulla reputazione di anche un piccolo attacco alle informazioni dei clienti.

I cinque principali rischi per la sicurezza informatica per i CFO

In questo mondo degli affari che si sviluppa soprattutto online, il "vettore delle minacce" disponibile per gli attacchi informatici continua a espandersi man mano che le aziende implementano le applicazioni più velocemente e a più utenti che mai. Le aziende stanno inoltre integrando sempre più applicazioni con sistemi di fornitori, partner e altri enti esterni.

Indipendentemente dagli ambienti che prendono di mira, gli aggressori stanno sempre testando nuovi modi per eludere le difese informatiche. I CFO non devono cogliere ogni sfumatura tecnica, ma devono comprendere le tecniche più efficaci degli aggressori. Molti attacchi sono nuove varianti dei seguenti cinque tipi di base.

1. Business email compromise

Business email compromissione (BEC) è un attacco informatico che utilizza e-mail per manipolare le persone. Ad esempio, gli aggressori cercano di convincere il destinatario a inviare denaro tramite una richiesta fraudolenta di trasferimento di fondi o una falsa del fornitore falsa. Questi BEC in genere sono destinati ai team di contabilità e finance, procurement e ciclo paghe. Il BEC è una tipologia di phishing. Altre truffe di phishing cercano di convincere i destinatari al rivelare password, fornendo numeri di carte di credito o facendo clic sui collegamenti malware.

Abnormal Security, una società di sicurezza e-mail, riferisce che nella prima metà del 2023, gli attacchi BEC sono aumentati del 55% rispetto alla prima metà del 2022.

2. Attacco alla supply chain

Come suggerisce il termine, gli attacchi alla supply chain prendono di mira qualcosa che un'azienda acquista dai fornitori, in genere un programma software. Sfruttando una vulnerabilità in un programma software, l'aggressore può ottenere un accesso backdoor a più aziende che utilizzano il software. L'aggressore ottiene l'accesso a reti private, tra cui la sua proprietà intellettuale, i dati dei clienti e altre risorse informative.

3. Database esposto pubblicamente

Un database esposto pubblicamente è un database che supporta un sito web o un'applicazione pubblica e non è protetto da misure di sicurezza come la richiesta di credenziali utente, configurazione sicura, impostazioni di sicurezza adeguate o supervisione nella distribuzione dei database, cosa che lo rende un bersaglio facile. L'aumento del lavoro da remoto durante la pandemia di COVID-19 ha contribuito a un aumento dei dati non protetti e dei conseguenti attacchi. Nel 2023, Group IB, società di sicurezza con sede a Singapore, ha scoperto quasi 400.000 di questi database sull'open web. Group IB ha rilevato che, una volta scoperto il problema, i proprietari dei database hanno impiegato in media 170 giorni per risolverlo, rischiando violazioni dei dati e attacchi di follow-up verso dipendenti o clienti. In uno studio del 2022 condotto dal provider di sicurezza Kroll, il 53% delle organizzazioni ha affermato che gli attacchi ai database esposti hanno portato a un network compromise.

4. Minacce interne

Un insider è un dipendente, ex dipendente, appaltatore, fornitore o altra parte il cui accesso speciale ai sistemi e alle reti di un'azienda potrebbe rappresentare una minaccia per la sicurezza. Gli insider possono essere suddivisi in due categorie: quelli che agiscono intenzionalmente per abbattere i sistemi di un'azienda e rubarne i dati e quelli che involontariamente causano un gap di sicurezza perché non hanno ricevuto una formazione sulla sicurezza o semplicemente non seguono le procedure. Il costo medio totale per un'organizzazione di un incidente di minaccia interna è passato dai 15,4 milioni di dollari del 2022 ai 16,2 milioni di dollari dell'anno scorso, secondo una ricerca del fornitore IT DTEX Systems e del Ponemon Institute, basata su un campione di organizzazioni appartenenti a diversi settori e di dimensioni variabili.

5. Ransomware

Un ransomware è un tipo di malware, spesso passato attraverso software compromessi o e-mail false, utilizzato dagli aggressori per crittografare i dati di un'azienda e quindi richiedere un riscatto finanziario per rimuovere la crittografia. Quando il ransomware viene attivato, i dipendenti non possono accedere ai sistemi e ai dati chiave, non sono in grado di lavorare e le operazioni si fermano fino a quando l'organizzazione non paga il riscatto richiesto e l'accesso torna alla normalità. Alcune aziende decidono che pagare il riscatto è meno costoso dei tempi di inattività operativi, soprattutto se l'assicurazione informatica copre alcune delle perdite. Tuttavia, non c'è alcuna garanzia che gli aggressori, una volta pagati, fornisca una chiave di decifrazione per liberare i dati. Il pagamento medio per i ransomware nel 2023 è stato di 1,54 milioni di dollari, secondo il fornitore di sicurezza Sophos. Lo scorso ottobre, la Counter Ransomware Initiative, un gruppo di organizzazioni governative guidato dagli Stati Uniti in 50 paesi, ha promesso che non avrebbero mai pagato riscatto ai criminali informatici.

Attacchi informatici: statistiche chiave
55%
Percentuale di aumento degli attacchi business email compromise da gennaio a giugno 2023
138 miliardi di dollari
Costo globale stimato degli attacchi alla supply chain nel 2023
74%
Percentuale di organizzazioni considerate moderatamente o estremamente vulnerabili alle minacce interne nel 2023
1,54 milioni di dollari
Pagamento ransomware medio nel 2023

Fonti: Abnormal Security, Cybersecurity Insiders, Sophos

Il ruolo del CFO nella sicurezza informatica

Oltre a collaborare con i CISO per dare la priorità ai rischi informatici, i CFO li aiutano sempre più a creare un piano di sicurezza, sviluppare un budget per la sicurezza e monitorare le performance e i preparativi.

Comprendi i rischi di sicurezza informatica

Per comprendere i rischi di sicurezza informatica, i CFO danno loro priorità varie a seconda dei rischi finanziari. Ciò implica, ad esempio, lavorare con i CISO per garantire che le applicazioni chiave, quelle che gestiscono dati e pagamenti sensibili, siano adeguatamente difese. Ruoli diversi richiedono diversi livelli di autorizzazione per accedere ai dati e condurre transazioni; qual è il nome del principio di privilegio minimo? Ad esempio, un manager della supply chain potrebbe aver bisogno dell'autorizzazione per entrare in un sistema di procurement ed effettuare o approvare transazioni. Un esperto di contabilità potrebbe non aver bisogno dell'autorizzazione per lavorare in tale sistema, ma ne avrebbe per accedere e svolgere attività commerciali nei sistemi contabili e finanziari. Allo stesso modo, solo i dipendenti autorizzati dovrebbero preparare i pagamenti ai fornitori.

Le applicazioni con priorità elevata si trovano in contabilità e finance (contabilità clienti e contabilità fornitori), supply chain operations (procurement) e HR (ciclo paghe). In alcuni settori, come i servizi finanziari e l'assistenza sanitaria, è particolarmente importante proteggere le app che gestiscono i dati dei clienti o dei pazienti.

"La sicurezza informatica non è una soluzione universale adatta a tutti", ha dichiarato Aman Desouza, senior product director di Oracle che in precedenza aveva diretto strategie di governance, rischio e compliance per l'azienda finanziaria globale Broadridge Financial Solutions. "Alcune applicazioni sono molto più importanti di altre. I CISO dovrebbero collaborare con i CFO, e talvolta con altri dirigenti, per dare priorità ai rischi aziendali e proteggere le punte di diamante. E a volte, il CFO deve essere disposto a mettere in discussione il pensiero del CISO".

Nel valutare il potenziale impatto degli attacchi, i CFO dovrebbero guardare oltre i danni finanziari immediati. Devono anche considerare gli effetti duraturi sulla produttività, sulla reputazione del marchio, sulle relazioni con i clienti e sulla compliance legale.

Sviluppa un piano di sicurezza informatica

Mentre le aziende variano in struttura, la pianificazione della sicurezza informatica è uno sforzo interfunzionale che in genere ricade principalmente sul CISO. Ma poiché gli attacchi informatici presentano gravi rischi per i profitti, i CISO dovrebbero consultare i CFO quando elaborano piani. Con le nuove regole della SEC, i CFO delle aziende quotate in borsa negli Stati Uniti devono includere alcune informazioni sulla gestione del rischio, sulla strategia e sulla governance nei loro report annuali, quindi devono lavorare a stretto contatto con i CISO.

Tutti i piani dovrebbero includere una valutazione del rischio di sicurezza informatica. I CFO misurano il rischio informatico in base al valore di vari dati, oltre ai potenziali costi legali e reputazionali degli incidenti di sicurezza. I CFO considerano anche i rischi correlati all'esternalizzare lo storage dei dati sensibili a terzi, in particolare le implicazioni per la copertura assicurativa sulla sicurezza informatica e i rischi di non compliance con la SEC o altre regole.

Un altro aspetto cruciale della pianificazione: una valutazione degli strumenti e dei processi di sicurezza attuali. I CISO valutano gli strumenti per le loro capacità tecniche. I CFO vogliono sapere che gli strumenti e i processi correlati possono difendere asset di valore elevato, in particolare le app finanziarie e di pagamento. Attraverso l'analisi costi-benefici, i CFO possono anche valutare gli investimenti nella tecnologia di sicurezza, una prospettiva che aiuta i CISO quando è il momento di presentare il budget per la sicurezza a CEO e board.

I piani migliori sono flessibili e consentono alle aziende di adattarsi a rischi emergenti come deepfake basati sull'intelligenza artificiale, che possono presentare impersonificazioni ultrarealistiche dei top manager. Un attacco ha utilizzato un video deepfake in una conferenza telefonica per attirare un lavoratore finanziario a inviare 25,6 milioni di dollari al conto bancario dell'aggressore, ha riferito la CNN. I piani adattivi prevedono anche gli strumenti di sicurezza più recenti, alcuni dei quali utilizzano l'intelligenza artificiale generativa per individuare più rapidamente anomalie di rete e attività dannose.

Stabilisci un budget per la sicurezza informatica

Come con il piano di sicurezza informatica, è il CISO ad avere il ruolo principale nella proposta di un budget per la sicurezza informatica. Nella maggior parte delle aziende, i CFO partecipano al processo, esaminando il budget, ponendo domande e offrendo consigli. Nel rivedere la spesa per la sicurezza, i CFO esaminano gli investimenti in persone con competenze specializzate, tecnologie per rilevare e combattere gli attacchi e strumenti per monitorare il rischio informatico e la compliance alla sicurezza.

Nel ciclo budget 2022-2023, i budget per la sicurezza informatica sono aumentati di percentuali, secondo uno studio del 2023 della società di consulenza sulla sicurezza IANS Research. Ad esempio, le aziende tecnologiche hanno aumentato in media i budget per la sicurezza solo del 5%, rispetto a un aumento di oltre il 30% nel ciclo 2021-2022. Rispetto ad altri settori, tuttavia, le aziende tecnologiche hanno i budget più grandi per la sicurezza come percentuale della spesa IT totale, di cui è il 19,4%. Allo stesso tempo, il settore retail assegna alla sicurezza una media del 7,2% dei budget IT.

Quando i fondi sono ridotti, i CFO fanno domande difficili. Il budget proposto è in linea con gli obiettivi aziendali? Finanzia adeguatamente gli sforzi volti a difendere l'organizzazione e ridurre i rischi?

Assegna risorse alla sicurezza informatica

Una volta impostato il budget per la sicurezza informatica, i CISO esaminano se in questo vengono allocate le risorse dove sono più necessarie per ridurre i rischi e se lo scopo è assumere professionisti qualificati, espandere i programmi di formazione sulla sicurezza dei dipendenti, acquistare nuovi software di sicurezza, o spostare l'organizzazione a un modello di business cloud più sicuro. Ancora una volta, i CFO svolgono un ruolo di consulenza, garantendo che le allocazioni rispecchino le priorità dei rischi finanziari. Esempio: allocando fondi per gli strumenti di autenticazione a più fattori, l'organizzazione ridurrà il rischio di intrusione e proteggerà i dati meglio di quanto avrebbe fatto se avesse speso una quantità simile di denaro per i dipendenti o i miglioramenti dei processi?

Monitora le performance di sicurezza informatica

Il piano di sicurezza informatica include metriche di monitoraggio delle performance, che mostrano se gli attuali livelli di rischio sono accettabili o meno. Il CISO esamina metriche come il tempo medio necessario per rilevare gli attacchi e rispondere ad essi. Il CFO si focalizza di più sulla prontezza della sicurezza rispetto alle performance di tecnologia e processi. "Per lo più, i CFO vogliono prove che i programmi di sicurezza sono maturi", afferma Desouza. "Vogliono indicatori come strumenti di monitoraggio automatizzati o formazione di sensibilizzazione alla sicurezza che insegnano ai dipendenti a individuare attacchi BEC e phishing. Il CFO si focalizza sulla preparazione più che su qualsiasi altra cosa".

Quanto costa ignorare la sicurezza informatica

Quando le aziende ignorano (o non prestano sufficiente attenzione) la sicurezza informatica, il costo può essere elevato, con possibile perdita di dati, fondi e/o proprietà intellettuale. Fra le conseguenze ci possono anche essere il danneggiamento della fiducia dei clienti, ordini di business annullati, cali dei prezzi delle azioni, notizie negativi e sanzioni legali. Dark Reading ha riportato che una violazione della sicurezza del 2017 ampiamente pubblicizzata ha portato, in meno di una settimana, il prezzo delle azioni dell'azienda a un calo del 31% e che ci sono voluti due anni per un recupero completo. Più comune, tuttavia, è il calo immediato del prezzo delle azioni di qualche punto percentuale.

Ci si aspetta che i danni causati dalla criminalità informatica globale raggiungano il valore di 10,5 bilioni di dollari entro il 2025, secondo la ricerca del 2022 di Cybersecurity Ventures. Deep Instinct, fornitore di sicurezza, ha riferito che il 75% dei professionisti della sicurezza ha assistito a un aumento degli attacchi dal 2022 al 2023.

Secondo le nuove regole di cyber-disclosure della SEC, le aziende devono "divulgare annualmente informazioni sulla gestione, la strategia e la governance del rischio di sicurezza informatica", ha dichiarato Erik Gerding, direttore della divisione corporate finance della SEC, in una dichiarazione. Questo in aggiunta alla necessità di rivelare qualsiasi incidente di sicurezza informatica. Alla luce di questi requisiti, i CFO delle aziende pubbliche devono essere sicuri di comprendere la strategia e le pratiche di sicurezza informatica messe in atto da un'azienda. Devono avere le conoscenze e le relazioni necessarie per venire rapidamente a conoscenza di incidenti di sicurezza informatica rilevanti e valutare l'entità di tali attacchi. I CFO che trascurano questi requisiti mettono a rischio di sanzioni normative le loro organizzazioni.

Previeni da subito i rischi alla sicurezza informatica con Oracle

La suite Oracle Fusion Cloud Enterprise Resource Planning (ERP), con le applicazioni finanziarie, di procurement, di project management e di altro tipo, offre intrinsecamente sicurezza. I controlli di accesso centralizzati possono aiutare a semplificare l'autorizzazione della rete e, insieme alle funzioni di sicurezza offerte come parte di Oracle Cloud ERP, possono aiutare le organizzazioni a gestire i propri obblighi normativi e di compliance.

Oracle Risk Management and Compliance, parte della suite Oracle Cloud ERP, è una soluzione di sicurezza e audit che include strumenti di intelligenza artificiale per controllare l'accesso ai dati finanziari della suite, rilevare transazioni sospette e aiutare a fornire alle organizzazioni insight preziosi per rispettare le normative sulla sicurezza.

Domande frequenti sulla sicurezza informatica dei CFO

Quali sono i compiti del CFO nella sicurezza informatica?
In qualità di persona a capo della gestione del rischio dell'organizzazione, il CFO si assicura che i suoi sforzi di sicurezza informatica riflettano le strategie di gestione del rischio finanziario. Il CFO aiuta il CISO a comprendere le priorità di rischio a livello aziendale e a creare piani e budget di sicurezza in base a questi.

Quali certificazioni di sicurezza informatica dovrebbe avere un CFO?
Una certificazione che i CFO dovrebbe prendere in considerazione è il Maximizing Digital Operational Excellence Certificate, offerto dall'American Institute of Certified Public Accountants e dal Chartered Institute of Management Accountants. Afferma che i financial manager sono al corrente dei metodi più attuali per rafforzare la governance finanziaria, la sicurezza e il controllo.

Quali sono le principali responsabilità di sicurezza informatica a cui un CFO deve adempiere?
Oltre a garantire che la sicurezza informatica sia in linea con i rischi finanziari, i CFO dovrebbero aiutare i CISO a perfezionare i piani e i budget di sicurezza, ma anche a dare priorità alla protezione delle applicazioni che gestiscono dati e pagamenti critici. Il CFO delle aziende pubbliche può anche avere compiti di divulgazione normativa, a seconda di dove si trova l'azienda.

La guida per i CFO su come favorire profitti e crescita

Scopri 5 strategie per ridurre i costi e aumentare la produttività senza soffocare la crescita.