Cyber-risk management: i 5 principi fondamentali che gli organi sociali non possono ignorare

Cyber-risk_management

Le principali aziende e organizzazioni tendono ad approcciare le questioni relative alla gestione dei rischi in materia di sicurezza informatica nello stesso modo in cui gestiscono gli altri rischi critici, ossia effettuando valutazioni in termini di rischio-rendimento. Tale approccio è particolarmente difficile in ambito informatico e può risultare inefficace per due motivi. In primo luogo, la complessità delle minacce informatiche è cresciuta notevolmente. Le aziende oggi devono affrontare eventi sempre più sofisticati che rendono inadeguate le difese tradizionali. La crescente complessità di questi attacchi comporta un corrispondente aumento dei pericoli che le organizzazioni devono fronteggiare e i potenziali effetti di una violazione dei dati (data breach) possono estendersi ben oltre i limiti della mera compromissione o perdita di informazioni per arrivare ad includere danni significativi in altri settori. In secondo luogo, le pressioni competitive verso l’implementazione di tecnologie di business sempre più convenienti incidono in modo evidente sulle risorse stanziate per gli investimenti nel settore della sicurezza informatica. Queste due pressioni concorrenti con le quali il personale e il management aziendale devono confrontarsi rendono determinante il ruolo di supervisione consapevole e globale affidato ai consigli di amministrazione. La National Association of Corporate Directors ha individuato cinque passi che tutti i consigli di amministrazione dovrebbero tenere presenti per migliorare la loro azione di sorveglianza nel settore dei rischi informatici.

Negli ultimi 20 anni la natura del valore aziendale è cambiata significativamente. L’ottanta per cento del valore delle 500 maggiori società statunitensi misurate sulla base del loro fatturato aziende (Fortune 500) ora consiste in proprietà intellettuali (IP) e in altri beni immateriali. Questa rapida e crescente “smaterializzazione” verso il mondo digitale del valore dei beni aziendali comporta una corrispondente “digitalizzazione” del rischio aziendale, fenomeno che sta portando la questione della cybersecurity aziendale in cima alla lista dei problemi che gli organi sociali devono affrontare.

Recenti ricerche dimostrano che le aziende di tutto il mondo stanno perdendo centinaia di miliardi di euro ogni anno a causa della perdita di proprietà intellettuali, dell’uso di algoritmi di trading, della distruzione o alterazione di dati finanziari e di quelli degli utenti, di danni d’immagine, nonché per il rischio di una maggiore esposizione ad azioni regolatorie e legali. E la situazione è destinata a peggiorare.

I sistemi informatici, che in passato sono stati progettati senza porre adeguata attenzione alle questioni di sicurezza, stanno diventando sempre più insicuri con la diffusione dei dispositivi mobili e il collegamento in rete di quasi tutti i beni materiali, dalle telecamere di sicurezza ai televisori LCD fino ai frigoriferi – la c.d. Internet of Things – IoT – “Internet delle cose“, nonché per via del notevole miglioramento delle tecniche utilizzate da chi conduce gli attacchi informatici o del mutamento dello scenario nel quale queste azioni si collocano. Infatti, molte delle tipologie più sofisticate di attacco informatico che fino a pochi anni fa erano praticate solo dalle agenzie di determinati Stati verso obiettivi governativi di altre nazioni, sono ora agevolmente poste in essere da criminali comuni. Oppure, come sembrerebbe essere avvenuto nel caso di Sony, assistiamo ad attacchi lanciati da Stati nazionali contro aziende commerciali di altri Stati per scopi politici o economici.

In tutto questo bisogna anche considerare che il “modello economico” della sicurezza informatica favorisce chi attacca a discapito di chi si difende. Infatti gli attacchi informatici sono relativamente economici da realizzare e gli strumenti necessari a tal fine sono agevolmente reperibili. I “piani di business” degli attaccanti sono di natura espansiva e comportano margini di profitto estremamente generosi. Inoltre le tecniche di difesa tendono ad essere sempre una generazione indietro rispetto alla rapida evoluzione di quelle di attacco ed è difficile quantificare e dimostrare il ritorno sugli investimenti in sicurezza informatica facendo riferimento agli attacchi che sono stati impediti (come si conteggiano?) e quantificandone in termini monetari il relativo mancato danno (e qui si ripropone “sul versante digitale” il problema della quantificazione del ROI per la spesa dedicata alle attività di prevenzione e di security, comune a tutte le attività della specie). E l’efficacia dell’azione delle forze dell’ordine in questo settore è quasi irrilevante poiché si riesce a perseguire con successo solamente una minima parte dei crimini informatici (nell’ordine di pochi punti percentuali rispetto ai casi denunciati) e spesso le vittime – soprattutto se aziende e non individui –  tendono a non denunciare gli episodi subiti per evitare ulteriori danni d’immagine.

Questo poco conosciuto e compreso squilibrio economico tra chi attacca e chi si difende è aggravato dal fatto che molte delle tecnologie e delle pratiche commerciali che hanno recentemente guidato la crescita, l’innovazione e la redditività delle imprese, sono le stesse che contribuiscono a minare la sicurezza informatica aziendale.

Tecnologie come il VoIP o il cloud computing contribuiscono ad una riduzione drastica dei costi con un rilevante incremento dell’efficienza, ma possono complicare notevolmente la gestione della sicurezza. Alcune efficienti, e a volte anche necessarie, pratiche commerciali, come ad esempio l’uso di catene di approvvigionamento lunghe e il BYOD (bring your own device), pur essendo economicamente interessanti, risultano estremamente problematiche dal punto di vista della sicurezza.

Gli organi sociali si trovano ad affrontare l’enigma di dover utilizzare la tecnologia per crescere e mantenere le loro imprese senza mettere a rischio i propri gioielli aziendali “immateriali” (proprietà intellettuali) o la reputazione e la fiducia pubblica duramente conquistate.

Nel Cyber ​​Security Handbook della National Association of Corporate Directors vengono individuati cinque principi fondamentali che gli organi sociali dovrebbero seguire per migliorare la gestione dei rischi legati alla sicurezza informatica.

  1. Capire che la sicurezza informatica è una questione di gestione del rischio a livello aziendale.
    Pensare che la sicurezza informatica sia un problema del settore IT da affrontare semplicemente con soluzioni tecniche è una strategia intrinsecamente viziata. La più grande vulnerabilità dei sistemi informatici è costituita dagli individui – dagli appartenenti all’azienda. Le spese relative alla sicurezza informatica sono gestite in modo più efficiente quando sono prese in considerazione insieme ad ogni decisione relativa al core business aziendale, come quelle relative al lancio dei prodotti, a fusioni e acquisizioni, alle strategie di marketing, ecc. Inoltre, in un mondo sempre più integrato, le organizzazioni devono tener conto del rischio creato al loro business dalle azioni dei loro rivenditori, dei fornitori e persino dei clienti poiché i loro punti deboli possono essere sfruttati a discapito dell’azienda.
  1. Gli amministratori hanno bisogno di capire le implicazioni giuridiche dei rischi legati alla sicurezza informatica.
    La situazione giuridica per quanto riguarda la sicurezza informatica è instabile e in rapida evoluzione. Non vi è una unica disciplina giuridica applicabile ovunque e, soprattutto per le organizzazioni che operano in molteplici giurisdizioni, la situazione è piuttosto complessa. E’ fondamentale che le organizzazioni seguano sistematicamente la continua evoluzione normativa e regolamentare in atto e siano pronte a mettere tempestivamente in campo le misure tecniche ed organizzative che tali disposizioni richiedono.
  1. I vertici aziendali devono poter disporre di soggetti dotati di adeguate competenze in materia sicurezza informatica.
    Sebbene le questioni di sicurezza informatica stiano diventando nell’ambito delle decisioni aziendali altrettanto centrali quanto le considerazioni legali e finanziarie, la maggior parte degli organi sociali non ha al proprio interno le competenze necessarie per valutare i rischi in materia di sicurezza informatica. Negli Stati Uniti la tendenza per fronteggiare tale carenza è quella di inserire negli organi sociali dei professionisti del settore informatico per poter analizzare e giudicare i rapporti sottoposti a tali organi. In alternativa, gli organi sociali dovrebbero, come minimo, dedicare periodicamente un tempo adeguato alle questioni di sicurezza informatica in ciascuna occasione di incontro e specificamente durante l’esame delle relazioni di audit e di altri report analoghi.
  1. Gli amministratori devono fissare tra gli obiettivi del management quello di dotarsi di una struttura deputata alla gestione del rischio informatico a livello aziendale.
    Ogni organizzazione dovrebbe avere una struttura deputata alla gestione del rischio informatico a livello aziendale, che crei un piano a livello aziendale e che abbia gli strumenti per porlo in essere, che sia guidata da un alto funzionario con autorità interdipartimentale, che si riunisca regolarmente e che abbia un budget proprio.
  1. Sulla base di quanto stabilito dal piano, il management deve avere un metodo per valutare i danni delle eventuali violazioni della sicurezza informatica.
    Il management ha bisogno di identificare quali rischi possono essere evitati, mitigati, accettati o trasferiti attraverso la stipula di apposite polizze di assicurazione. Ciò significa che devono essere identificati quali dati, e quanti, l’organizzazione è disposta a perdere o a vedere compromessi. Il budget stanziato per le azioni volte all’attenuazione dei rischi deve quindi essere assegnato in modo appropriato e bilanciato tra la difesa contro i rischi di base e quelli legati alle minacce più avanzate.

Seguire questi principi costituisce per qualsiasi organizzazione il primo passo per essere sulla buona strada per stabilire un sistema di gestione dei sicurezza informatica (cyber-risk management) sostenibile e sicuro.


Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Advertisements

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...