News

Cyber Risk? Non soltanto un pericolo informatico

Gli attacchi da parte di hacker investono anche la governance tanto che molte imprese stanno creando dei cybersecurity committee

Getty Images

“Come azienda, siamo un’azienda digital!”: è questo che possono dire le imprese che riconoscono e accolgono la trasformazione digitale come strumento di crescita e come risposta ad un ecosistema iper-connesso. La consapevolezza della velocità con cui si muovono i cyber criminali e del fatto che non ci si può difendere da ciò che non si vede fanno del cyber risk un rischio diverso dagli altri, che si combatte innanzitutto con cultura, governance e trasparenza.

È per prima cosa importante avere la consapevolezza che i cyber criminali sono più veloci di tutti. Con l’evoluzione digitale – che ha favorito e incrementato la connessione tra individui, aziende e istituzioni – si sono create nuove opportunità per i criminali, i quali hanno sviluppato un mercato sommerso di servizi altamente specializzati basati su network estraneamente rapidi e fluidi che si formano per progetti limitati nel tempo e con obiettivi ben specifici. Il cyber risk è quindi un rischio diverso da tutti gli altri perché caratterizzato dall’evoluzione rapida delle tecnologie e dei modelli di business dei criminali e che viene aggravato da governi e imprese con una più lenta capacità di reazione e adattamento. E tanto più questo gap è ampio, tanto più è elevato il rischio assunto delle imprese.

I governi parte attiva nella difesa

Il cyber risk è diverso perché lo schema di gioco è il “tutti contro tutti”: gli attacchi possono essere infatti perpetrati da tutte le parti del mondo verso tutte le parti del mondo. Considerando che non ci si può difendere da quello che non si vede, è cresciuta la consapevolezza della necessità che i governi siano parte attiva sia nel raccogliere e condividere le informazioni sia nel coordinamento della difesa. E l’Europa, nell’adottare nel 2018 la Direttiva per le notifiche degli incidenti subiti dai fornitori di servizi essenziali – energia, trasporti, finanza e salute – è stata un pioniere che ha aperto la strada ad altre nazioni – quali Stati Uniti e Australia – che stanno pensando di adottare una soluzione simile per la notifica degli incidenti entro le 24 ore successive.

Il mito, rincorso per anni, dell’accesso di tutti gli utenti in ogni momento e da ogni dove è oramai divenuto realtà grazie sia alla tecnologia sia al cambiamento culturale che ha trovato il suo apice con il Covid-19. Ma, purtroppo, è ancora vero che l’anello più debole nella catena della Cyber defence sono le persone: in base all’analisi dei dati raccolti dallo UK Information Commissioner’s Office, l’errore umano è stato la causa del 90% dei data breaches del 2019. E poiché questi fallimenti sono attribuibili ad una insufficiente cyber cultura, molte imprese hanno incominciato a colmare il gap riconoscendo che sono le persone il vero asset per la costruzione di una cyber cultura e per una difesa efficace del proprio perimetro informatico. Ed è grazie a questo forte aspetto Social che il rischio cyber non può più essere considerato solo un rischio tecnologico ma strettamente connesso alla “S” dell’acronimo ESG noto a tutti.

Un grande pericolo anche per i board

Con riferimento alla “G” di Governance, in base alla Gartner 2020 Board of Directors Survey, il cyber risk è la seconda fonte di pericolo dopo il rischio di compliance e i board si stanno organizzando costituendo un cybersecurity committee: Gartner prevede che il 40% delle società quotate avrà un Cybersecurity Committee entro il 2025.

Ma, in caso di attacco, la notifica alle autorità è sufficiente o è opportuno aprire un dialogo con gli investitori e darne comunicazione? È noto che le vittime dei cyber criminali sono riluttanti ad ammettere di essere state attaccate: da una ricerca pubblicata nel giugno 2018 dalla LBS emerge che le società quotate tendono a dare informativa degli attacchi subiti solo quando il sospetto degli investitori è alto (40%) in quanto tali notizie non sono disponibili sui mercati. Dalla ricerca emerge che questo comportamento ha impatti sul valore delle azioni delle società: sebbene in entrambi i casi il loro valore subisca una correzione negativa, la riduzione dal 3,6% della mancata disclosure allo 0,7% in caso di disclosure ne modifica fortemente l’impatto.    

È qui emerge il ruolo attivo dell’audit committee che – quale garante dell’integrità, dell’affidabilità e della credibilità dell’informativa finanziaria e non-finanziaria verso tutti gli stakeholders – definisce la strategia di reporting e disclosure a salvaguardia di uno dei valori più importanti per l’impresa: la sua reputazione. E a questo punto una scelta: pubblicare (o non pubblicare) informazioni minimali o una informativa trasparente che favorisca il dialogo con gli stakeholders e in generale con i partecipanti all’ecosistema finanziario?

button up site