Al Comitato Controllo e Rischi un ruolo strategico contro i cyber risk

Lo sviluppo di una strategia digitale è sempre più un elemento dominante del piano industriale di medio/lungo termine e attraversa la vita aziendale in tutti i suoi aspetti: lo sviluppo e la distribuzione dei prodotti e/o servizi, l’interazione con il cliente e i fornitori, l’operatività della fabbrica, la possibilità di svolgere in remoto alcune attività, l’utilizzo dei dati e degli algoritmi per programmare azioni e ottimizzare costi. Quanto più il business model si basa sull’analisi di dati e su sistemi informatici, quanto maggiori solo le opportunità di rafforzamento della posizione strategica ma anche le vulnerabilità operative.

I rischi strategici della mancata digitalizzazione

La pandemia ha mostrato come le aziende che si erano predisposte da tempo nello sviluppo di un piano informatico per valorizzare l’attivo, rafforzare i processi e preparare i dipendenti hanno avuto maggiore resilienza e capacità di adattamento alle nuove esigenze del mercato. La mancanza di una visione digitale può portare allaperdita di competitività e può indebolire la sostenibilità dell’impresa. L’efficacia del percorso digitale è quindi un tema che il CCR deve affrontare nel momento in cui approfondisce i rischi strategici, domandandosi per esempio se gli investimenti nella digitalizzazione sono funzionali agli obiettivi di lungo periodo, inclusi quelli della transizione ecologica ed energetica, e coerenti con uno sviluppo delle competenze della popolazione aziendale.

Il CCR inoltre può stimolare l’utilizzo dei dati e dell’intelligenza artificiale per una più accurata e tempestiva gestione del rischio, che offre opportunità di compiere simulazioni a lungo termine e costruire meccanismi di monitoraggio più efficaci.

Il cyber-risk visto dal CCR

Il tema della sicurezza informatica si è imposto nell’agenda del CCR dopo che attacchi informatici hanno paralizzato le attività di enti governativi e privati in ambiti insospettabili: si tratta di un rischio che può produrre effetti importanti economici, operativi e reputazionali. È ormai chiaro che non si tratta di un tema confinato nei settori finanziari o di alcune infrastrutture: tutti sono potenziali target di frodi informatiche, furto di dati e blocco dell’operatività. Si tratta peraltro di un rischio non eliminabile, ma che deve essere compreso e gestito.

Senza essere specialisti in materia, i membri del CCR devono mostrare sensibilità al tema, facilitando un dialogo proattivo con il management. La responsabilità del cda è accertarsi che l’azienda abbia un piano che consente di presidiare le aree di maggiore vulnerabilità, prevenire potenziali attacchi e soprattutto reagire prontamente.

Le domande principali che il CCR si pone riguardano tre aspetti di cui tutto il cda deve avere buona comprensione.

La prioritizzazione degli investimenti: come vengono identificate le aree di maggiore rischio dove si possono manifestare danni all’operatività e su cui focalizzare l’attenzione? Come viene fatta la scelta tra esternalizzazione e internalizzazione delle attività informatiche? Con quale frequenza vengono rivalutati gli investimenti? come vengono misurati e monitorati i fattori di rischio dal management? Quali KPI possono essere inclusi in una dashboard per il CdA?

La gestione della crisi: esiste un piano per minimizzare il danno qualora si verifichi una crisi e per ritornare all’operatività in tempi brevi? Esiste un comitato trasversale di crisis management in grado di gestire aspetti operativi, reputazionali, legali, economici, di comunicazione?

Il coinvolgimento dell’organizzazione: posto che il cyber-risk non deve essere percepito come una materia solo del CIO, come vengono responsabilizzati i vari manager e sensibilizzata l’intera organizzazione? Sono identificate le categorie di dipendenti maggiormente esposti al rischio? Vengono fatte simulazioni di phishing? Quali restrizioni in essere in relazione all’utilizzo degli assets aziendali e alla loro interfaccia con dispositivi personali? Quale monitoraggio sugli accessi privilegiati viene fatto?

Nei piani di induction può essere opportuno prevedere una sessione in cui vengono dati elementi di base che allineano le conoscenze del CdA e facilitano l’emergere di domande e condivisione di esperienze. I temi possono includere: i framework di analisi della sicurezza informatica (ad esempio il NIST), i casi esemplari di attacchi informatici e le lezioni imparate, i vantaggi e vulnerabilità residue delle soluzioni cloud.

Per un approfondimento sul ruolo del CdA nel cyber-risk, rimandiamo al paper pubblicato da EcoDa nell’aprile 2020 “Cyber-Risk Oversight – Key Principles and Practical Guidance for Corporate Boards in Europe”