Data breach: un cda preparato primo argine contro i rischi

Non soltanto un tema di privacy compliance e di cybersecurity. La tutela e la protezione dei dati aziendali, sottoposti sempre di più a violazioni da parte di criminali informatici, sono salite rapidamente in cima alla lista delle priorità strategiche delle aziende. Il data breach, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a informazioni custodite dall’impresa, può arrecare danni all’intero patrimonio dell’azienda con ricadute anche molto pesanti sul fronte della continuità produttiva e della reputazione.  

In uno scenario in cui la digitalizzazione corre a ritmi velocissimi, la responsabilità del consiglio di amministrazione in merito alla valutazione di adeguatezza degli assetti organizzativi rispetto ai rischi legati a questa trasformazione, appare centrale. Per non parlare della gestione di un incidente informatico che vede il board come fulcro dei flussi informativi necessari non solo per assumere decisioni rapide ed efficaci durante la gestione dell’incidente, ma anche per consentire l’appropriata attività istruttoria, consultiva e propositiva dell’organo delegato e del management volta a ridurre la responsabilità individuale e collettiva di tutti gli amministratori. In questo contento il concetto di adeguatezza è una valutazione dinamica e diacronica che il Consiglio deve effettuare sulla base delle informazioni che riceve dall’organo delegato (anche su sollecitazione dei singoli amministratori) nonché dalla fondamentale attività istruttoria, propositiva e consultiva degli amministratori indipendenti che fanno parte del Comitato Controllo e Rischi.

Asimmetrie informative

Nel compiere la valutazione di adeguatezza degli assetti organizzativi deputati alla gestione dei rischi il consiglio è conscio che possono esistere delle asimmetrie informative tra i vari attori coinvolti, asimmetrie che è fondamentale ridurre ad un livello accettabile non solo per limitare l’eventuale responsabilità del consiglio e dei singoli amministratori ma soprattutto per contenere l’effetto slavina che un assetto inadeguato può generare dopo un incidente. Non a caso Nedcommunity ha organizzato un evento proprio sul tema “Informazioni e dati nell’era del databreach: responsabilità del consiglio di amministrazione tra adeguatezza degli assetti organizzativi, tutela dei segreti aziendali e consapevolezza dei rischi”, in collaborazione con EY, mettendo attorno a un tavolo, moderato da Piero Di Michele, forensics partner del colosso statunitense della consulenza, esperti del settore, dell’impresa e di governance.

Fra questi Paolo Ciocca, presidente Open Fiber SpA, già commissario Consob, che ha messo subito il dito nella piaga: “Tutto gira e viaggia sulla rete classica, Internet. In termini di vulnerabilità, quindi, stiamo parlando di una superficie di attacco tendente all’infinito. Questo è il primo tema da aver ben chiaro in mente. Poi, se si è vittima di un attacco, il primo passo è quello di realizzare un’analisi multisettoriale non dissimile da quella che uno Stato esegue nei confronti di una minaccia ibrida. In generale, quando si parla di sicurezza digitale, è necessario ragionare secondo categorie non ovvie e diverse da quelle classiche. Dobbiamo ricordare che la novità del cyber sta nel fatto che un’arma digitale è flessibile e a costo basso e la sua ‘letalità’ è molto varia: un attacco può essere innocuo o può provocare danni molto rilevanti. Ecco perché il board deve essere pronto e organizzato: sono necessarie delle funzioni e un piano di cyber security e vanno fatte esercitazioni realistiche per prevedere i numerosi scenari possibili”.

La giusta strategia post attacco

Patrizia Giangualano, membro del Consiglio direttivo Nedcommunity, è entrata nel merito di quello che bisogna fare dopo un attacco. “In primo luogo, ne vengono informati l’ad, l’internal audit, il comitato rischi e il collegio sindacale. Questi passaggi sono fondamentali perché proprio questi sono gli organi chiamati alla gestione dei rischi e dell’attuazione dei primi interventi correttivi. La prima cosa che si cerca di capire è la natura della violazione, se ci è stato chiesto un riscatto o siamo davanti a un caso di intrusione esplorativa, da dove arrivi (dall’esterno o dall’interno), quale perimetro dobbiamo analizzare, e qual è il valore economico del data breach. Se l’azienda ha già una policy di crisi, ha fatto le simulazioni, sono state identificate le casistiche, allora si adottano immediatamente le soluzioni. In caso contrario si provvede a costituire un comitato di crisi di cui faranno parte l’ad, il Ciso (Chief Information Security Officer, ndr) se presente, hr, internal audit e il legale. Questo comitato avvierà tutte le attività per cercare di risolvere il caso e ridurre le responsabilità individuali e collettive degli amministratori”. A monte, però, è fondamentale poter contare su una cultura del dato e da questo punto di vista l’amministratore gioca un ruolo rilevante. “Il suo compito – continua Giangualano – è indirizzare le politiche e le strategie che le aziende devono adottare, poi verificare che vengano correttamente sviluppate e infine fare pressione sul management perché si diffonda a tutti i livelli un approccio sicuro e innovativo, un nuovo modo di analizzare i rischi ma anche di individuare le opportunità di questo travolgente sviluppo tecnologico”.

Michela Zeme, presidente della Commissione Corporate governance dell’Odcec di Milano ha analizzato i diversi impatti da prendere in considerazione nel caso di un attacco: “Si va da quello legale e legato alla privacy ai rischi connessi alla business continuity. Come non analizzare poi gli impatti ei rischi di tipo economico-finanziario. Una ricerca di Ibm ha valutato che un ripristino di un incidente informatico può arrivare a costare qualcosa come 4 milioni di dollari. E poi dobbiamo sottoporre ad attenta valutazione anche l’eventualità di impatti di tipo reputazionale che nelle istituzioni finanziarie sono oggi molto importanti, anche più dei rischi di liquidità e di credito. Ma la domanda è: ‘Tutte le persone sono pronte e sensibili su questi temi?’. Dipende dal settore ma anche se non soprattutto dalle dimensioni: le grandi aziende di certo ma le Pmi devono ancora fare molto”.

Massimiliano Càrpino, senior advisor Forensics, EY, già board member & global general counsel di Gucci si è voluto soffermare anche sulla compliance mettendo in evidenza “che l’esperienza ci mostra che buona parte di questi attacchi sono per la maggior parte provocati, amplificati o agevolati dalla scarsa adeguatezza degli assetti organizzativi. Ecco perché uno di principali obiettivi del board consiste nel valutarne l’idoneità e l’adeguatezza”.

Infine, a tirar le conclusioni della giornata di lavoro ci ha pensato Fabrizio Santaloja, managing forensics partner EMEIA di EY: “La complessità dell’ecosistema digitale è qualcosa di mai affrontato fino a oggi, un fenomeno che è arrivato a una velocità che non ci aspettavamo. Abbiamo provato a delegare ai tecnici del cyber ma la capacità del consigliere di agire in maniera informata e, ancora prima, di valutare assieme all’intero board la situazione, rappresenta oggi il vero valore aggiunto”.