Cyber risk e privacy: nessuno può dirsi al sicuro

Chiunque è esposto al rischio cyber. Per capire come proteggersi forse è necessario partire incominciando a comprendere cosa intendiamo per sicurezza dell’informazione, nota anche come cybersecurity, e per data privacy. La cybersecurity si riferisce alle informazioni presenti nei sistemi (computer, cloud, ecc), che devono essere protette dall’intrusione di un terzo. La data privacy, invece, si riferisce a come vengono gestiti i dati di una persona (in termini di raccolta, conservazione e utilizzo), e quindi si parla di diritti degli individui. Un attacco cyber o una violazione della privacy non avvengono necessariamente contemporaneamente, ma in entrambi i casi ci può essere un danno sia economico che reputazionale.

Un attacco cyber può causare, a mero titolo esemplificativo: interruzione dell’operatività (es. blocco di una centrale elettrica, indisponibilità dei sistemi di assistenza clienti), perdite finanziarie (es. furto di denaro elettronico, fatturazioni errate), furto di informazioni sensibili (progetti confidenziali, dati di confidenziali di costo) che portano quindi l’azienda a subire un danno economico e/o danno reputazionale e potenziali ripercussioni legali.

Cosi come nel mondo fisico, non ci si può mai ritenere completamente al sicuro, altrettanto vero è nello spazio cibernetico. L’organizzazione purtroppo non può controllare le minacce: quello che può e deve fare è definire le priorità e gli investimenti in security-readiness.

Un rischio di business

Il Cyber risk rappresenta in primo luogo un rischio di business, e perciò come tale va incluso e misurato all’interno del risk framework. Come per gli altri rischi, è necessario stabilire che livello di disruption si è disposti ad accettare e in quali aree e processi aziendali. Questo va stabilito in base all’impatto che tali attacchi possono avere. Fondamentale è poi quantificare il rischio cyber definendo delle soglie che misurano il KRI (key risk indicator) in tandem con il KPI (key performance indicator). Il passo successivo consiste nell’assicurare l’utilizzo di strumenti di advanced analytics e machine learning per l’individuazione e la prevenzione e assicurare che ciò che viene introdotto sia “secure by design”.

Il livello di protezione implementato rappresenta poi un bilanciamento tra la necessità di proteggere gli asset e i processi chiave, ma nel contempo permettere il funzionamento del business, a fronte di livelli di investimento in cybersecurity in linea con le necessità e disponibilità finanziarie. Investimenti in cybersecurity illimitati, non garantiscono una protezione massima.

Il ruolo del consiglio di amministrazione

Il board deve muoversi su diversi direttrici:

1. Responsabilità in azienda e competenze nel board. Deve essere chiaro chi ha la responsabilità per la sicurezza e per la privacy e le azioni che stanno mettendo in atto. All’interno del cda devono esserci le competenze adeguate e chiara responsabilità di monitoraggio, che storicamente risiede nel Comitato Rischi.
2. Reporting. Fondamentale è disporre di dati per potere valutare il rischio. Il più delle volte viene prodotto un reporting da parte del CIO o del CISO, che elenca parametri dettagliatissimi e molto tecnici, ma non li collega all’impatto economico e/o reputazionale. Ad esempio, monitorare il numero di attacchi subiti, non misura il livello di sicurezza.
3. Investimenti e formazione. Stabilire un budget di investimenti cyber selettivo e indirizzato alle aree di maggior rischio. Ribadisco che investimenti illimitati non garantiscono sicurezza massima. Bisogna poi curare l’implementazione di programmi di formazione continua. L’assenza di adeguati investimenti in protezione e in formazione possono rendere l’azienda non assicurabile.
4. Assicurazione. Valutare costo e copertura, ma soprattutto se la società ha predisposto in campo i controlli necessari per sottoscriverla.
5. Gestione della crisi. Stabilire un piano di gestione della crisi in caso di attacco cyber o violazione della privacy, per risolvere l’incidente ma al contempo gestire adeguatamente la comunicazione sia interna che esterna.