La sicurezza informatica legata alla retribuzione dei dirigenti
Microsoft, uno dei colossi tecnologici più importanti al mondo, è sotto attacco da parte del governo americano e dei concorrenti tecnologici, dopo un hack cinese evitabile. L’hack, attribuito alla Cina, è stato descritto come “prevenibile” da una recente revisione governativa, che ha evidenziato una serie di errori e una cultura aziendale che ha depriorizzato gli investimenti di sicurezza aziendale e la gestione dei rischi.
In risposta a questo incidente, Microsoft ha deciso di legare la retribuzione dei dirigenti più strettamente alla gestione delle minacce informatiche. Questa mossa è un chiaro segnale che la sicurezza informatica è diventata una priorità assoluta per l’azienda.
L’importanza della sicurezza informatica come rischio aziendale e metriche bonus
Negli ultimi anni, è diventato più comune per le aziende legare una percentuale dei premi annuali dei dirigenti a obiettivi che vanno oltre il raggiungimento degli obiettivi di vendita e profitto. Ad esempio, molte aziende Fortune 500, tra cui Apple, hanno aggiunto bonus legati a metriche ESG. Gli obiettivi di gestione del rischio e la sicurezza sono stati a lungo una parte della retribuzione dei dirigenti, risalendo a un’epoca precedente l’ascesa di ESG.
La conversazione sulla retribuzione dei dirigenti legata alla sicurezza informatica ha iniziato a prendere piede in altre aziende, dopo l’annuncio di Microsoft. Sebbene non sia prevalente come pratica retributiva oggi, alcuni esperti ritengono che ci sia un caso da fare per equiparare la sicurezza informatica alla sicurezza mineraria o industriale. Tuttavia, ci sono differenze significative tra un’azienda che opera nel campo della sicurezza informatica e un’azienda che opera in altri settori, come il commercio al dettaglio, dove la sicurezza dei dati è un problema importante.
Il legame tra retribuzione e hack: un buon punto di partenza
Alcune aziende potrebbero sostenere che la sicurezza informatica è già radicata nella loro cultura e che un tale movimento sarebbe ridondante. Tuttavia, con l’escalation delle minacce di hacking e l’importanza crescente della spesa per la sicurezza informatica per il bilancio delle aziende come Microsoft, questo nuovo parametro retributivo potrebbe essere in ritardo.
Legare la retribuzione dei dirigenti alla gestione delle minacce informatiche è un buon punto di partenza per instillare una cultura della sicurezza nella parte superiore della gerarchia aziendale, che è fondamentale per il successo.
La sicurezza informatica come parte integrante della cultura aziendale
La sicurezza informatica deve essere parte integrante della cultura dell’azienda. Tuttavia, prioritizzare la sicurezza può essere difficile all’interno di un’azienda, poiché spesso significa investire denaro in luoghi che non sono chiaramente riflessi nel bilancio.
La ricerca di Madnick mostra che le lacune nella cultura aziendale sono spesso colpevoli di hack di alto profilo, non solo l’esempio di Microsoft. La prevenzione, dice, è tanto sull’intuizione quanto sulla conoscenza.
Le piattaforme legacy di Microsoft: un problema di sicurezza
Le piattaforme legacy di Microsoft, che si basano su applicazioni che risalgono agli anni ’90, sono un problema di sicurezza. Queste piattaforme legacy sono più facili da integrare e costruire rispetto al dispiegamento di un nuovo sistema completamente. Tuttavia, la natura legata alla sicurezza di queste piattaforme è un incubo per la sicurezza.
Microsoft è incastrata tra due impulsi contrastanti, con la sicurezza che è un’incombenza e un centro di profitto. La mossa di legare la retribuzione dei dirigenti alla gestione delle minacce informatiche è un buon gesto, ma senza dettagli specifici, è difficile valutarne l’efficacia.
La sicurezza informatica è diventata una priorità assoluta per Microsoft, con la retribuzione dei dirigenti legata alla gestione delle minacce informatiche. Questa mossa è un chiaro segnale che Microsoft sta prendendo sul serio la sicurezza informatica e che altre aziende potrebbero seguire l’esempio.
