Biblioteca Ned
Circa 13 anni fa, sulla Harvard Business Review è apparso l’importante articolo “Information technology and the board of directors”, nel quale gli autori, Richard Nolan and F. Warren McFarlan, segnalavano il disinteresse dei consigli di amministrazione
Luisa Franchina, Andrea Lucariello, Governare il cyber risk, Edizioni Themis, Roma, 2018
Circa 13 anni fa, sulla Harvard Business Review è apparso l’importante articolo “Information technology and the board of directors”, nel quale gli autori, Richard Nolan and F. Warren McFarlan, segnalavano il disinteresse dei consigli di amministrazione sull’IT, che contrastava con la crescente importanza della variabile tecnologica nel mondo delle imprese e della finanza.
Oggi le cose sono sicuramente cambiate. L’attenzione all’economia digitale, che costituisce il sistema di produzione e scambio basato su tecnologie informatiche, è cresciuta anche all’interno dei board, tenuto anche conto che essa non è limitata a Internet ma comprende tutte le tecnologie, sia hardware che software, sia online che offline: dai sistemi cloud al mobile, dall’Internet delle cose ai Big Data, fino ai social network.
In particolare, secondo McKinsey, tra le “The do-or-die questions boards should ask about technology” c’è sicuramente quella sull’IT risk e la cybersecurity.
Tali temi sono stati oggetto del convegno organizzato da Nedcommunity su “Boardleaks. Responsabilità ed efficacia di risposta del board in materia di cyber risk”, tenutosi a Milano il 21 febbraio 2017, da cui prende spunto la guida “Governare il cyber risk”.
La guida rappresenta un supporto, a mio parere molto efficace, per i membri dei Consigli di Amministrazione e i vertici aziendali verso una crescente consapevolezza e capacità di governo delle questioni relative alla sicurezza cyber per promuovere una conoscenza e una comprensione diffuse del fenomeno in alcune delle sue principali dimensioni.
Essa affronta numerosi temi: dalla definizione generale alla normativa in vigore a livello nazionale e internazionale, dalla disamina del Framework Nazionale per la Cyber Security alla gestione del rischio cyber fino a proporre talune delle principali prospettive che necessariamente meritano di essere prese in considerazione nel prossimo futuro, con la finalità di individuare un approccio condiviso in materia di cyber security.
Il volume è stato scritto da Luisa Franchina, Presidente AIIC – Associazione Italiana Esperti Infrastrutture Critiche, e Andrea Lucariello, Senior analyst di Hermes Bay srl, che si sono anche basati sui contributi forniti nell’ambito del Convegno sopra citato da Angeloluca Barba, Head of Marketing Cyber Security Intelligence & Digital Infrastructure Leonardo; Carlo Brezigia, Chief Information Security Officer Intesa Sanpaolo; Laura Cioli, consigliere TIM; Marcello Fausti, Head of IT Security TIM; Carlo Giaj Levra, Amministratore Delegato NIKEconsulting; Rossella Locatelli, Professore ordinario di Economia degli intermediari finanziari nell’Università dell’Insubria e consigliere Intesa Sanpaolo; Paola Schwizer, Professore ordinario di Economia degli intermediari finanziari nell’Università di Parma e Presidente Nedcommunity; Davide Vignotti, Managing Partner e COO NIKEconsulting.
La guida è divisa in 6 sezioni. Nella prima parte si propongono alcune domande che i Board dovrebbero porsi e porre per aumentare la consapevolezza in materia di rischio cyber. Le sezioni successive costituiscono degli approfondimenti concettuali. In particolare, la seconda sezione inquadra il rischio cyber su un piano definitorio e di regolamentazione; la terza delinea il Framework Nazionale per Cyber Security; la quarta entra nel dettaglio del processo di gestione dei rischi; la quinta enuclea alcune delle prospettive future; la sesta, infine, propone un focus sul ruolo del Consiglio di Amministrazione e del top management nelle dinamiche di cyber security.
Vale la pena di sottolineare che il punto di forza del volume è rappresentato proprio da una serie di domande – alcune a carattere generico, altre più specifiche e infine alcune di autovalutazione per il Board – che consentono una misura rapida e sintetica, ma tutto sommato completa, del livello di posizionamento della propria organizzazione in ambito cyber.
In effetti, chi siede nei consigli di amministrazione ed ha abbandonato, dopo un po’ di esperienza sul campo, il miraggio della convinzione di essere “esperto di tutto”, è consapevole che saper fare le domande giuste (ed essere in grado, in prima approssimazione, di valutare il tenore delle risposte) costituisce un passo avanti decisivo per la buona governance.
Le domande, le potenziali risposte, i metodi e le metriche di valutazione sono collegate alle sezioni successive per consentire eventuali approfondimenti tematici e far maturare nei lettori la conoscenza delle principali fattispecie del cyber risk, che è anche facilitata da un prezioso glossario finale e da una piccola bibliografia di riferimento.
Sul fronte dell’economia digitale, l’Italia ha un preoccupante ritardo rispetto ai paesi più industrializzati, una distanza che contribuisce alla scarsa crescita dell’economia nazionale. In base al ‘Global Information Technology Report’ 2018, pubblicato dal World Economic Forum in collaborazione con INSEAD, l’Italia si posiziona infatti in posizioni abbastanza subalterne nelle varie classifiche relative alle modalità con le quali le economie usano le opportunità offerte dalle Information and Communications Technologies (ICT) per migliorare la competitività delle imprese e il benessere dei cittadini. Ai primi posti, tra i 144 paesi della classifica, si posizionano Singapore, Finlandia, Svezia, Norvegia e Stati Uniti. Tra i Paesi europei, Germania, Francia e Spagna sono ben prima di noi. Secondo gli esperti e i principali commentatori il ritardo italiano è dovuto principalmente a tre grandi fattori: un contesto normativo e amministrativo poco favorevole, un gap infrastrutturale che determina un significativo divario digitale per intere province e regioni italiane, una ritrosia culturale delle imprese (soprattutto le piccole e medie) a investire nelle tecnologie digitale per innovare i propri processi e prodotti. Da quest’ultimo punto di vista, riuscire a governare meglio il rischio tecnologico, come si propone questo volume, può contribuire anche, più in generale, ad una maggiore propensione alle tecnologie digitali.
© RIPRODUZIONE RISERVATA