I team di cybersecurity hanno bisogno di maggiore acume negli affari

Sebbene il divario tra i professionisti della cybersecurity e le organizzazioni che servono si sia ridotto negli ultimi anni, è chiaro che c'è ancora molto spazio per miglioramenti. Troppi professionisti della cybersecurity stanno ancora lottando per trasmettere il livello di rischio per l'azienda che qualsiasi minaccia specifica rappresenta. Gran parte di questa mancanza di comunicazione è ancora attribuibile al semplice fatto che i professionisti della cybersecurity non comunicano sempre in un modo che i leader aziendali possano comprendere facilmente. C'è una chiara necessità di formazione aggiuntiva che affronti specificamente questa carenza.

Purtroppo, un sondaggio condotto da ISC2 su 259 professionisti della cybersecurity rende chiaro che c'è ancora una mancanza di apprezzamento per il tipo di formazione richiesta. Ben l'81% degli intervistati ha affermato di imparare le competenze di leadership principalmente attraverso l'osservazione, mentre l'86% ha osservato che le esperienze con supervisori, manager e dirigenti precedenti hanno influenzato la loro visione di ciò che rende un buon leader.

Sebbene possa essere una buona cosa sotto alcuni aspetti, è già stato stabilito che molti leader della cybersecurity esistenti non sono in grado di comunicare efficacemente con i leader aziendali. Osservare la generazione precedente di leader potrebbe solo perpetuare una dicotomia esistente.

Ad esempio, possedere buone capacità di comunicazione è, non sorprendentemente, classificato come l'attributo più importante che un leader della cybersecurity può avere (85%), seguito dalla comprensione della strategia (41%), mentalità aperta (37%), competenza tecnica (33%), capacità decisionale (21%) e infine acume negli affari (21%).

Tuttavia, è proprio qui che risiede il paradosso. La cosa stessa per cui i leader della sicurezza informatica sono più spesso criticati è la loro incapacità di comunicare con la direzione aziendale e tuttavia solo circa uno su cinque intervistati ha identificato quella competenza come una competenza di leadership cruciale. Ora le probabilità che i leader aziendali riescano mai a comunicare utilizzando la nomenclatura che i team di sicurezza informatica utilizzano ogni giorno sono molto basse. L'unico modo in cui questa situazione potrà mai migliorare materialmente è se i leader della sicurezza informatica comprendono meglio come l'azienda opera effettivamente.

In un mondo ideale, naturalmente, le organizzazioni fornirebbero quel tipo di formazione ai loro team di cybersecurity, ma semplicemente a causa di vincoli di budget o una semplice mancanza di apprezzamento per la necessità, c'è davvero poco di quel tipo di formazione disponibile. Toccherà, che piaccia o no, ai singoli professionisti della cybersecurity usare la propria iniziativa per acquisire quel tipo di competenza sia sul lavoro che tramite qualche curriculum educativo esterno.

L'unica cosa che pochi professionisti della cybersicurezza apprezzano sempre è l'appetito per il rischio che molti leader aziendali hanno. La maggior parte di loro sono prodotti di scuole di business che insegnano a valutare continuamente il rischio rispetto alla ricompensa. L'unica cosa che vogliono davvero dai team di cybersicurezza è una valutazione accurata del livello di rischio affrontato. Questo potrebbe non richiedere un Master in Business Administration (MBA), ma richiede almeno una comprensione di ciò che l'organizzazione sta cercando di ottenere in un'era in cui ogni processo aziendale può ora essere negativamente influenzato da molteplici minacce informatiche.