Convegni
Il 10 Luglio 2018 si è svolto a Roma il convegno “La governance del cyber-risk: ruolo, responsabilità e competenze del board’. Organizzato dal Gruppo Romano di Nedcommunity, l’incontro è stato occasione della presentazione del volume ‘Governare il cyber
Come i CdA devono regolare il Cyber Risk
Il 10 Luglio 2018 si è svolto a Roma il convegno “La governance del cyber-risk: ruolo, responsabilità e competenze del board‘. Organizzato dal Gruppo Romano di Nedcommunity, l’incontro è stato occasione della presentazione del volume ‘Governare il cyber risk. Una guida per amministratori e sindaci’, di Luisa Franchina e Andrea Lucariello con il contributo scientifico di Nedcommunity.
Il tema è stato affrontato da numerosi relatori che hanno delineato, sulla base della loro esperienza in qualità di membri di board, di responsabili della sicurezza aziendale, di consulenti, un quadro di riferimento chiaro su come affrontare il cyber risk a livello di board.
Il Presidente Nedcommunity, Paola Schwizer, ha introdotto i lavori evidenziando la necessità che i consigli di amministrazione abbiano sotto controllo il rischio cyber ma che questo non implica necessariamente la presenza di consiglieri con competenze ICT (Information and Communication Technology), quanto l’acquisizione della consapevolezza del rischio e dei presidi a livello organizzativo, procedurale e di processo. Le soluzioni tecniche sono di competenza dell’ICT Department, la prevenzione, invece, è affidata a più funzioni aziendali, come lo sono il monitoraggio e il controllo. Il CdA deve essere informato e consapevole delle vulnerabilità e dei rischi, degli eventuali attacchi subiti e della capacità dell’organizzazione di farvi fronte perché possa intervenire tempestivamente nei casi in cui siano necessarie decisioni di valenza strategica.
Carolyn Dittmeier, Coordinatore Reflection Group Nedcommunity (Governance in materia di rischi e controlli e da anni nei board di grandi aziende) ha sottolineato come ancor oggi i board abbiano spesso un approccio reattivo rispetto al rischio cyber, in assenza di una strategia definita in tema sicurezza. La chiave di volta può essere la definizione di un comprehensive assessment che aiuta a delineare un approccio globale attraverso l’individuazione di punti di forza e debolezza dell’organizzazione; la definizione degli ambiti ‘cuore’ dell’azienda per rilevare le vulnerabilità strategiche in ottica cyber; l’analisi dei fornitori, possibili portatori di rischio; l’individuazione di sistemi e strumenti di prevenzione; la capacità di risposta dell’organizzazione in caso di incidenti cyber.
La presentazione della guida per amministratori e sindaci è stata affidata all’autrice, Luisa Franchina – Partner di Hermes Bay e Presidente AIIC (Associazione Italiana Esperti Infrastrutture Critiche) – che ne ha illustrato l’obiettivo di assistere i membri dei CdA e i vertici aziendali affinché assumano una crescente consapevolezza e una capacità di governo delle questioni relative alla sicurezza cyber. Comprensione e consapevolezza del fenomeno cyber rappresentano, per il management, la struttura su cui poggiano le principali forme di coinvolgimento. L’autrice ha sottolineato l’importanza di definire un linguaggio comune tra gli informatici e le figure coinvolte a vario titolo nella gestione del rischio in azienda ed ha illustrato la necessità della multidisciplinarità nell’approccio. ‘Chi attacca gioca in squadre multidisciplinari’ – ha sottolineato Franchina – e se si vuole lavorare sulla prevenzione occorre capire quali sono gli obiettivi degli attaccanti e lavorare, come loro, con un approccio multidisciplinare.
È toccato ad Andrea Lucariello, Senior analyst di Hermes Bay e co-autore, illustrare la metodologia usata nella guida: una serie di domande che, attraverso una analisi quali-quantitativa, consentono di individuare il livello di posizionamento dell’organizzazione in relazione al rischio cyber. Tre tipologie di domande: a carattere generale, che forniscono gli spunti per avviare una discussione in seno al Board e al Comitato Controllo e Rischi; a carattere specifico, mutuate dal Framework Nazionale per la Cyber Security che entrano nel vivo delle dinamiche di sicurezza cyber con approfondimenti su tutte le funzioni di autovalutazione, con l’obiettivo di realizzare una valutazione della qualità del processo di sicurezza e suggerire una riflessione sul ruolo del Board. L’analisi delle risposte consente a ciascuna organizzazione di realizzare come considera il rischio sicurezza, quali processi ha messo in atto per la sua gestione e quale sia il livello di progressione nell’implementazione della sicurezza cyber al suo interno: da uno stato ‘parziale’ in cui ‘le priorità di cyber security non sono in linea con gli obiettivi di rischio aziendale, l’ambiente delle minacce e i requisiti aziendali’, attraverso gli stadi ‘Informato’ e ‘ Ripetibile’ fino all’optimum dello stadioo ‘Adattivo’ nel quale ‘l’organizzazione adatta frequentemente le proprie procedure di cyber security attraverso l’utilizzo delle «esperienze passate» e degli indicatori di rischio’.
Per Carlo Brezigia, Head of Security & Innovation di NIKE Group, un approccio improntato alla multidisciplinarità, dinamicità e comprensibilità, è la strategia più opportuna per affrontare il tema cyber risk.
La multidisciplinarità risulta essenziale anche a fronte dell’evidenza che la metà degli incidenti cyber sono riconducibili ad errore umano. Gli investimenti in tecnologia, afferma Brezigia, sono necessari ma lo sono altrettanto quelli in formazione e condivisione delle informazioni e risoluzione di vulnerabilità che non attengono all’ambito IT. Occorre procedere, dunque, con investimenti risk based, non IT based. È di fondamentale importanza, prosegue, lo sviluppo di una cultura del rischio che agevola anche nella valutazione globale dei rischi, alcuni dei quali possono derivare dall’adeguamento a nuove normative o dallo sviluppo di nuovi business a componente tecnologica . La cultura del rischio va sviluppata con il supporto della funzione HR e di tutte le funzioni coinvolte nei cambiamenti, dalla compliance, alla produzione, agli acquisti, per non sottovalutare i rischi esterni, derivanti da partner e fornitori ai quali le aziende affidano parte dei loro processi e che potrebbero diventare portatori di rischio per l’organizzazione. I rischi vanno individuati, analizzati, calcolati anche con strumenti come le matrici di quantificazione del livello di rischio, che richiedono tuttavia un adeguamento significativo in termini di rischi analizzati (oggi riguardano solo quelli IT) e periodicità di calcolo (oggi redatte con cadenza annuale). Infine, un focus sulla condivisione del linguaggio è indispensabile per un dialogo tra il dipartimento IT, le altre funzioni aziendali e il board per far crescere una cultura del rischio che possa permeare le organizzazioni.
Le testimonianze aziendali hanno preso avvio con Francesco Di Maio, Head, Security Department di ENAV che illustra la sua esperienza in un’azienda che è infrastruttura critica del nostro Paese e servizio pubblico essenziale. La normativa, chiarisce Di Maio, pone la responsabilità non solo in capo al soggetto che ha la gestione tecnica delle operazioni di sicurezza ma in capo a tutto il board. ‘Regole e buone procedure non bastano. Serve responsabilità condivisa e trasversale’, prosegue, insieme alla capacità di connessione delle azioni e al coinvolgimento del Board nel presidiare le attività sia a livello strategico che operativo. Vanno identificate le minacce e le vulnerabilità e promosso il coinvolgimento dell’organizzazione con azioni di formazione e informazione per assicurare il necessario presidio a tutti i livelli. Al board spetta il focus sulla strategia e la definizione delle priorità di intervento lavorando per risolvere le vulnerabilità tecniche, di processo e di cultura dell’organizzazione.
Per Marcello Fausti, Head of IT Security di TIM, il cyber risk è un rischio di sistema e la risposta non può che essere di sistema. La difficoltà attuale nell’affrontarlo deriva anche dalla mancata conoscenza della dimensione di questo rischio che sarà possibile misurare solo grazie ad una stretta collaborazione tra le aziende e i vari organismi che lo analizzano attraverso la condivisione di informazioni e strumenti efficaci. Alla domanda ‘siamo già sotto attacco?’ la risposta è ‘siamo costantemente sotto attacco’, ha sottolineato Fausti. Sul cosa fare, le sue indicazioni vanno nella stessa direzione degli interventi precedenti: formazione e consapevolezza dei dipendenti, del management e del board sul rischio cyber e sviluppo di modalità individuali di prevenzione; estensione dei controlli alla catena di fornitura; controllo del livello di obsolescenza dei sistemi e delle infrastrutture. In TIM, il piano strategico sulla sicurezza cyber è stato condiviso con il comitato controllo e rischi. Sono stati identificati alcuni punti chiave, oggetto di interventi in quanto strategici, e sono stati predisposti piani operativi per portare l’azienda alla risoluzione di vulnerabilità e criticità e, al contempo, accompagnarla in sicurezza verso la transizione digitale.
Claudio Iacovelli, Sales Technical Support, Cyber Security & ICT Solution diLEONARDO, ha confermato l’opportunità dell’approccio multidisciplinare alla gestione della cyber security e la necessità di stabilire politiche che regolino i rapporti con i fornitori diretti per stabilire un approccio e una condotta condivisi al rischio cyber.
Dello stesso avviso Massimo Milanta, Group ICT and Security Office di UNICREDIT GROUP che ha aggiunto l’utilità di far effettuare dei test di sicurezza dei sistemi e dell’impianto complessivo della sicurezza aziendale da terze parti indipendenti, con assessment e simulazioni di attacco come modalità di garanzia per i tecnici e per il board. ‘La probabilità di un evento cyber non è azzerabile; è necessario preparare e testare i processi di escalation e comunicazione in caso di crisi‘ ha chiarito Milanta che ha illustrato come nel gruppo Unicredit sia stato definito un processo di escalation, in caso di attacchi alla sicurezza, che ai livelli più alti prevede il coinvolgimento del top management e del board per consentire decisioni operative in attenuazione del rischio reputazionale che può derivare da un evento dannoso.
© RIPRODUZIONE RISERVATA