La Trasformazione Digitale ha rivoluzionato il modo di fare business delle organizzazioni sotto innumerevoli punti di vista: non soltanto per ciò che concerne l’evoluzione del rapporto con i clienti, che si sposta sempre più verso un piano digitale, con il conseguente aumento dell’offerta dei servizi erogati tramite piattaforme digitali e app, ma anche per ciò che riguarda la gestione “interna” dei vari processi aziendali, sempre più interconnessi e automatizzati.

Argomento caldo anche per la PA, considerando la recentissima proposta del Ministro per la Transizione digitale che ha presentato la “Strategia Cloud Italia”: un documento di indirizzo strategico per l’implementazione e il controllo del cloud nazionale, il cui obiettivo è la realizzazione entro l’anno del Polo Strategico Nazionale sul quale far migrare dati e servizi strategici della Pubblica Amministrazione, e che costituisce uno dei punti chiave del Piano Nazionale di Ripresa e Resilienza (PNRR). 

Diretta conseguenza di queste evoluzioni è l’inevitabile creazione, archiviazione e condivisione di una grande mole di dati: se da un lato tali dati sono estremamente preziosi per le aziende, dall’altro lo sono anche per chi intende sottrarli, manipolarli e sfruttarli a scopi malevoli, con conseguenze potenzialmente disastrose per l’intera organizzazione.

Per questo motivo il Rischio Cyber è schizzato negli ultimi anni ai primissimi posti nella lista dei punti di attenzione e preoccupazione per moltissime aziende, accompagnato dalla crescente consapevolezza che si tratta di un problema che coinvolge l’intero business, non più solo l’area IT.

Cybersecurity: non più un problema (solo) dell’IT

Tradizionalmente, l’approccio alla cybersecurity era infatti un approccio di tipo “bottom-up”, in cui la responsabilità di mettere in sicurezza i sistemi identificando soluzioni tecniche per proteggere dati, applicazioni e infrastrutture ricadeva quasi interamente sull’area IT. I limiti di questo approccio non hanno però tardato a manifestarsi: mettendo al centro la tecnologia nella progettazione di policy e soluzioni per l’identificazione e la risposta agli attacchi informatici, restano fuori dall’equazione le necessità del business, le implicazioni operative e l’impatto che un attacco andato a buon fine poteva avere sul business in termini economici, legali o reputazionali.

In un contesto in cui il rischio Cyber non riguarda più solo i sistemi informativi ma anche, e spesso soprattutto, un ecosistema complesso e interconnesso che include dipendenti, partner, fornitori, clienti e altre terze parti, la sua gestione deve trascendere i confini delle singole BU e assumere una dimensione estesa a livello corporate.  

La gestione della Cybersecurity diviene quindi parte integrante della Governance aziendale e, in quanto tale, diretta responsabilità, in primo luogo, del Consiglio di Amministrazione, e poi, a cascata, di tutta l’azienda, in un approccio “top-down”. Non è un caso che i Board delle grandi imprese si trovino sempre più spesso sotto i riflettori anche per il loro contributo in materia di sicurezza informatica, soprattutto a fronte dei costi medi crescenti degli attacchi cyber.

Considerati i potenziali danni finanziari, reputazionali e legali che un attacco può comportare all’intera organizzazione, risulta necessario che figure di riferimento della Cybersecurity, come CIO o CISO, siedano nei CDA e abbiano possibilità ed opportunità di far valere la propria esperienza e le proprie competenze anche quando si tratta di assumere decisioni strategiche. Per arrivare al coinvolgimento del top management e per farla diventare “parte integrante della cultura” dell’intera organizzazione, la Cybersecurity ha bisogno di un chiaro modello di Corporate Governance.

Il quadro normativo di Riferimento

A supporto dell’implementazione di un adeguato progetto di Governance in materia di Cybersecurity, nel panorama normativo troviamo molti riferimenti alla gestione del rischio. Per citarne alcuni:

1. Applicazione corretta delle regole di “Buona Governance” scritte nel nostro Codice civile all’art 2381 che stabilisce: “Gli organi delegati curano che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alle dimensioni dell’impresa”. La norma chiarisce che gli organi delegati curano l’adeguatezza degli assetti organizzativi, anche in materia di cyber sicurezza.
2. Normative di settore (come la Direttiva NIS n. 1148/2016) o gli ultimi DPCM sul perimetro di sicurezza nazionale cibernetica (DPCM n.131/2020 o il “DPCM2”) che forniscono un catalogo ben preciso di indicazioni alle imprese circa l’adozione delle misure tecnico/organizzative finalizzate a prevenire e minimizzare l’impatto di incidenti cyber. È vero che l’applicazione del decreto NIS non è obbligatoria a tutte le imprese (ma solamente a quelle che svolgono funzioni essenziali nel nostro Paese) tuttavia costituisce un punto di riferimento a cui guardare per curare e valutare l’adeguatezza dell’assetto organizzativo.
3. Best practice internazionali, che sono tutte convergenti ad individuare Chi, Cosa e Come deve gestire il rischio cyber (vedi ISO/IEC 27001, NIST, ENISA, Cyber Security Framework nazionale, ISO 22301, ecc).
4. Conformità in materia di D. lgs. 231/2001 e Regolamento 679/2016 (GDPR), sempre più convergenti in ottica di una “Compliance Integrata”.

Strutturare un Cyber Risk Management Model a supporto del Board

In questa ottica, l’obiettivo principale di un modello di Corporate Governance del Rischio è quello di fornire al board e alle figure C-Level di supporto una comprensione completa, chiara e in tempo reale dello stato del rischio e delle misure messe in opera per proteggere l’organizzazione, nonché di tutte le informazioni utili per prendere decisioni strategiche atte alla minimizzazione del rischio e al miglioramento complessivo dell’azienda.

Il punto di partenza per la costruzione del modello non può quindi che essere l’organizzazione aziendale nel suo insieme: attraverso una mappatura dei processi, si individuano e analizzano tutti i processi interni, individuando quelli strategici, quelli di supporto e concentrandosi in particolar modo su quelli “core”, o critici, ovvero quelli che guidano la sopravvivenza operativa dell’organizzazione.

Individuati i processi, si entra nel dettaglio di quali siano gli asset strategici a supporto dei suddetti processi; tali asset possono essere individuati tra le applicazioni, nell’ambito dell’infrastruttura, nei sistemi a supporto/servizio degli applicativi, o anche tra le risorse.

Ciascuno degli asset individuati è oggetto di un assessment, volto a identificare i rischi ad esso correlati e valutarne il livello, sia dal punto di vista della compliance con i principali standard e normative, sia da quello tecnico, attraverso specifici controlli delle Vulnerabilità infrastrutturali e applicative.

L’output di questo assessment sarà un insieme di indicatori e score, la cui sintesi e correlazione permetteranno da un lato di ottenere un quadro completo del livello di rischio complessivo dell’azienda, dall’altro di elaborare modelli predittivi e analitici a supporto di un piano di interventi di miglioramento e monitoraggio della “Cyber Risk Posture” aziendale.

Perché sia realmente efficace, un progetto di governance del rischio non può mai dirsi veramente “concluso”, ma deve seguire piuttosto un approccio metodologico ciclico PCDA (Plan-Do-Check-Act), in cui i vari passaggi, dall’analisi dell’organizzazione alle strategie di miglioramento, sono costantemente sottoposti a monitoraggio e rivalutazione.

Questo è fondamentale da un lato per applicare e mantenere elevati standard di igiene dei dati, necessari perché i CdA possano trarre conclusioni e intraprendere azioni in totale fiducia e sicurezza, dall’altro per l’adozione di un Proactive Cyber Risk Management, che consenta loro di identificare le iniziative prioritarie per garantire la protezione delle informazioni e la prevenzione delle minacce.

Conclusioni

Oggi la scelta da parte di un Consiglio di Amministrazione di dedicare il massimo sforzo (anche e soprattutto economico) a costruire un efficace sistema di Governance per la Cybersecurity a tutela della società non solo è una scelta obbligata, ma può essere considerato un motivo di eccellenza sul mercato, un vantaggio competitivo ed un elemento differenziante per chi è in grado di comunicare ai propri stakeholders, ai clienti, al mercato di aver adottato il miglior modello possibile di Cyber Risk Management in risposta alle sfide oggi derivanti dal cambiamento tecnologico. Alfa Group è in grado di supportare i vertici aziendali nella progettazione, ottimizzazione e gestione dei processi aziendali per la Governance del Rischio Cyber.

Il nostro process consulting Team è a disposizione: https://www.alfagroup.it/contatti/