Contro gli attacchi informatici preparazione e dialogo tra Board e Ciso

“Ormai la questione non è più se un attacco informatico interesserà la vostra azienda, ma quando. Bisogna quindi prepararsi all’evenienza. Fare continue simulazioni per testare gli strumenti di difesa. Pianificare le azioni da compiere nel caso questa avvenga, dividendo chiaramente i compiti e decidendo chi farà cosa. In un dialogo continuo e costante tra membri del board e Ciso (Chief Information Security Officer). In questo modo gli hacker, vedendo che attaccarvi è troppo complesso, dirigeranno le loro attenzioni verso qualcun altro”. È questo, in estrema sintesi, il messaggio che emerge dal convegno “Business Operation Resilience: rischi e opportunità per gli amministratori” organizzato a Milano da Nedcommunity il 13 marzo in collaborazione con PwC Italia.

“In un contesto di crescente complessità normativa e di minacce cyber, i board svolgono un ruolo chiave nella resilienza aziendale – spiega Patrizia Giangualano, componente del Consiglio direttivo di Nedcommunity –. Avere in azienda esperti e funzioni con forti competenze tecnologiche e capacità di risolvere rapidamente le minacce è molto importante. Ma i membri del board non possono più delegare totalmente a questi esperti la gestione della sicurezza informatica. È sempre più necessario che tutti i componenti del board siano responsabilizzati sul tema e conoscano la materia e, soprattutto, sappiano quali domande porre alla struttura organizzativa per verificarne l’adeguatezza e la capacità di risposta e resilienza”. Anche perché non è più possibile ignorare i rischi legati al cybercrime. Un’attività che, se fosse uno Stato, sarebbe la terza potenza mondiale a livello di Pil. Preceduta solo da Stati Uniti e Cina.

“Quello della cybersecurity è un tema che va affrontato a 360 gradi – aggiunge Nicola Monti, Partner PwC Italia, Cybersecurity & Resilience Leader -. Spesso ci si sofferma sull’infrastruttura informatica, pensando a proteggere quella. Ma chiunque ha un’azienda che produce oggetti deve capire che ormai un microchip è presente all’interno di qualsiasi cosa. Anche un semplice forno a microonde. Anche quella può essere una porta di accesso per i malintenzionati e anche quella porta deve essere protetta”. 

La nuova normativa

Nel corso dell’incontro sono state spiegate le novità portate dall’introduzione e dal recepimento delle normative europee: il regolamento DORA (Digital Operational Resilience Act), entrato in vigore a gennaio del 2025 e la direttiva NIS2 (Network and Information Security).

Paolo Carcano, Partner PwC Italia, Cybersecurity & Resilience ha spiegato come l’obiettivo del regolamento Dora sia quello di dare una visione comune a livello europeo alla gestione della cybersecurity, aumentando la fiducia di ogni cliente che utilizza i servizi finanziari online. Una normativa moderna, uno strumento che protegge tutto il sistema finanziario da possibili attacchi e che obbliga ad avere una visione d’insieme. Una legge, però, che impone obblighi e stabilisce sanzioni per chi non li rispetta. Sanzioni che sono le più alte in Europa, assieme a quelle del Lussemburgo. Con multe che per i soggetti che svolgono compiti di amministrazione, direzione o controllo possono arrivare fino a 5 milioni di euro e all’interdizione dalle funzioni ricoperte da 6 mesi a 3 anni.

La direttiva NIS 2 stabilisce misure minime per un livello comune di sicurezza della rete e dei servizi informatici all’interno dell’Unione Europea. L’obiettivo è proprio quello di aumentare la capacità di resilienza e di risposta agli incidenti informatici. Giuseppe D’Agostino, Partner PwC Italia, Cybersecurity & Resilience, ha illustrato quelli che sono, al momento, i requisiti minimi richiesti dalla direttiva. Tra questi lo sviluppo di politiche di analisi dei rischi e della sicurezza dei sistemi informatici; la previsione di piani per la gestione degli incidenti di sicurezza informatica e di attività di monitoraggio continuo; la predisposizione di piani di continuità operativa che comprendano la gestione di backup, il Disaster Recovery e la gestione delle crisi. E infine l’esecuzione di sessioni di formazione e test periodici dell’infrastruttura IT per verificarne la tenuta.

Un dialogo costante tra cda-management

Nel corso della tavola rotonda consiglieri indipendenti e Ciso si sono confrontati su quelle che sono le problematiche che emergono, in questi ambiti, nel corso della normale vita aziendale, e su come affrontarle.

Marina Rubini, consigliera indipendente Bnl, ha evidenziato che il board ha un ruolo chiave nel garantire che l’organizzazione adotti un ruolo strategico e responsabile nella gestione dei rischi ICT e cybersecurity. Il board deve promuovere una cyber security risk culture con programmi di awareness per dipendenti e clientela. Fondamentale in questo ambito è la formazione, sia interna che esterna e la progettazione. Bisogna che il board sappia quale ruolo svolgere in caso di attacco. Occorre dunque una specifica preparazione  sia del board che di tutte le funzioni coinvolte in caso di attacco anche tramite esercitazioni pratiche.

Francesca Scaglia, Consigliera Saipem e Chief Risk Officer CDP, ha spiegato come i consiglieri non possano sostituirsi ai Ciso e ai tecnici. I membri del board devono però assicurarsi che l’azienda sia strutturata in modo da far fronte ad eventuali situazioni di crisi. A prevenirle, se possibile. I consiglieri devono controllare che i ruoli siano chiari, che i fondi necessari siano allocati, che le prime e le seconde linee di comando sappiano cosa fare in caso di attacco e che le metodologie e le policy di gestione del rischio cyber siano continuamente aggiornate per stare al passo con l’evoluzione delle sfide e delle minacce.

Anche Simone Maga, CSO Gruppo Cassa Centrale Banca, ha insistito sulla necessità di un dialogo costante tra tecnici e management. A suo avviso, negli ultimi anni è aumentata la consapevolezza del rischio, ma resta una certa distanza tra Ciso e board. Bisogna lavorare per diminuire questa distanza.

Ma quali sono le domande che un consigliere dovrebbe fare ad un Ciso per poter agire in questo ambito e portare avanti, con consapevolezza, il proprio ruolo di controllo all’interno dell’azienda? Secondo i vari relatori sono queste: Qual è il sistema di controllo? Lo stiamo utilizzando in maniera adeguata? Qual è il livello di obsolescenza dei dispositivi dell’azienda? E ancora, una volta subito e superato un attacco informatico: Cosa abbiamo imparato? Cosa faremo in futuro? Ricordando che, in caso di attacco, è fondamentale la trasparenza nella comunicazione con l’esterno.