Il rischio è a portata di click
Fra i nuovi pericoli che un’azienda è chiamata ad affrontare, quello cyber riveste una gravità crescente. E i board devono attrezzarsi per monitorarlo adeguatamente.
Getty ImagesLa faccia pericolosa della stessa medaglia. Se da un lato la digitalizzazione diffusa, spinta dall’emergenza sanitaria, rappresenta un indiscusso vantaggio competitivo per il business, dall’altra sta comportando una crescita nel pericolo di esposizione ai cyber attacchi. Una consapevolezza emersa in tutta la sua drammatica attualità nel corso del webinar organizzato da Nedcommunity e da OliverWyman dal titolo Approccio strategico e risk-driven del cyber risk.
A lanciare l’allarme il presidente Maria Pierdicchi che ha ribadito come proprio “a causa della pandemia questo pericolo abbia assunto ancora maggiore rilevanza, non soltanto a causa delle modalità digitali con le quali le società interagiscono con lavoratori e dipendenti ma anche per il crescente ruolo dei contratti di outsourcing che rendono più difficile il controllo tutti gli attori coinvolti. Ecco perché è fondamentale che i board e i consiglieri, soprattutto indipendenti, siano sottoposti a una costante education per essere in grado di riconoscere velocemente come l’azienda gestisce in maniera strategica il posizionamento rispetto a questo rischio”.
Del resto il pericolo è globale e nessuno può dirsi al sicuro. A ribadirlo Angelo Rosiello, partner di Oliver Wyman, che ricorda come sulla base della mappa dei rischi 2021 pubblicato dal WEF, quello cyber rappresenti il più rilevante fra i pericoli tecnologici. “Nonostante sia emerso che gli attacchi nel 2020 sono in aumento rispetto al 2019, anche a causa della forzata digitalizzazione, in Italia si investono sulla sicurezza cyber soltanto 1,5 miliardi di euro, 4-5 volte meno rispetto agli altri Paesi avanzati. Ma quel che più preoccupa è che sussiste un problema di comunicazione all’interno delle aziende visto che gli incidenti cyber non vengono riferiti al board nel 40 per cento dei casi“.
Come se non bastasse la maggior parte della società adotta un approccio ancora troppo tecnology focused in relazione a questi rischi. “Il ruolo del board – continua Rosiello – è fondamentale e deve evolvere verso una gestione attiva e proattiva”. Per essere messo in grado di farlo, però, ha aggiunto Anna Maria Rosati, principal di Oliver Wyman, è necessario un adeguato reporting. “La quantificazione del rischio cyber attraverso l’analisi di scenari abilita il decision making strategico e consente di prioritizzare gli investimenti. Il reporting sul cyber risk, però, è in genere poco adatto a una platea di livello executive/board, risultando spesso troppo tecnico. Una soluzione potrebbe essere rappresentata dall’adozione di un cyber dashboard ad hoc”.
Fondamentale, inoltre, è che si lavori anche sulla cultura della valutazione del rischio. Per Franco Picchioni, head of information & cyber security del Gruppo Hera “tutti devono essere coinvolti. Per questo motivo ogni mese rilasciamo ai nostri dipendenti un breve nuovo corso con test finale ma soprattutto abbiamo separato la sicurezza informatica dall’IT proprio per evidenziare che non stiamo parlando di un tema di esclusivo appannaggio dei tecnici. Inoltre dobbiamo essere anche in grado di mettere in atto una corretta valutazione del rischio sull’intera supply chain, una sfida non da poco”.
Quanto il cyber risk sia davvero un tema che tocca tutti, lo ha ribadito anche Giorgio Cusmà Lorenzo, group senior director cybersecurity, business continuity strategy and group governance di Intesa Sanpaolo: “Nel caso delle banche questo fenomeno ha spostato il rischio del ‘commercio del denaro’ dal piano fisico, le rapine, a quello digitale. Un problema che nel nostro caso vede coinvolti ogni stakeholder, clienti compresi: ecco perché dobbiamo trasferire le azioni di contrasto non solo all’organizzazione ma a qualsiasi soggetto coinvolto a diverso titolo nell’attività bancaria. La battaglia al cyber risk non si vince da soli: serve una condivisione di informazioni generale”.
In quest’ottica il ruolo dei board, come ha ribadito Patrizia Giangualano, componente del consiglio direttivo di Nedcommunity, può fare la differenza perché “la gestione di questo rischio è prima di tutto una priorità strategica. Spesso però i board sono un passo indietro rispetto all’hacker di turno”.
Ecco perché, come ha sottolineato Barbara Poggiali, consigliere ASTM e Gruppo BFF “la formazione nella valutazione del cyber risk rappresenta un punto chiave. Nei board non è più sufficiente poter contare su profili specializzati, comunque ancora rari. Tutti i consiglieri devono essere adeguatamente aggiornati nella gestione di questo pericolo. Non basta poter contare su procedure formalizzate ma è necessario anche effettuare un training costante e simulazioni di crisi realistiche. Perché in questo caso il no risk non esiste”.