Rischio cyber: la parola passa ai board

Una media di otto attacchi cyber al giorno in Italia per un totale di 1.382 secondo il Rapporto Clusit sulla Sicurezza Ict con dati aggiornati a ottobre del 2023. Ma quel che è più grave è che il 78,5% di questi assalti ha impatti gravi o gravissimi.  Sono questi alcuni degli indicatori commentati da Protiviti e dai relatori nel corso del convegno “Il board alla prova dei rischi cyber”, terzo evento del programma Governance Digital Agenda lanciato da Nedcommunity.

Non a caso Alessandro Carretta, presidente Nedcommunity, in apertura dell’appuntamento, ha sottolineato come il ruolo del cda e degli indipendenti sia cruciale per una efficace gestione dei rischi cyber: “Abbiamo appena gestito con Protiviti un nostro nuovo corso che prevede la simulazione di un cda. Abbiamo discusso il tema della competenza degli amministratori ed è emerso che il consigliere dovrebbe riuscire ad avere una visione d’insieme su tanti aspetti, e sicuramente di cybersecurity. Serve una visione di lungo respiro, soprattutto all’indipendente”.

 “Da alcuni anni – ha commentato Piercarlo Gera, consigliere indipendente, responsabile programma Governance Digital Agenda di Nedcommunity – diversi leader sottolineano che ogni business è diventato  un business digitale. Strategia di business e strategia digitale sono fortemente interrelate, non esiste agenda di sostenibilità senza chiara agenda digitale. Ad esempio, tutte le aziende B2C stanno lavorando sui temi della trasformazione del modello distributivo, della digitalizzazione dei processi, del trasferimento di dati ed applicazioni sul cloud, etc. E chi ha successo (es Walmart) ha grande beneficio in termini di financials. Il digitale rappresenta una grande opportunità di business ma anche una grande fonte di rischi. I board hanno responsabilità di adeguato assetto organizzativo e amministrativo, nel cui ambito rientrano scelte di framework e strumenti per la gestione dei rischi cyber e la protezione dei dati. Specie in Italia dove, a fronte di importanti attacchi, gli investimentiper contenerli in rapporto al PIL sono più bassi tra i paesi dei G7”.

Rischi sui cui si è soffermata Emma Marcandalli, managing director di Protiviti “Nell’ultima edizione della Top Risk Survey globale da noi gestita, il cyberrisk è sempre più percepito come grande rischio (da 15° a 3° rischio nell’ultimo anno) La preoccupazione è che le aziende non siano sufficientemente preparate a gestire minacce cyber che possono bloccare il business o danneggiare seriamente la reputazione. Per superare questo occorre avere un confronto frequente, costruttivo e consapevole fra board e responsabili aziendali della cybersecurity. La SEC in America spinge già da diversi anni affinché nei board siano presenti competenze di cybersecurity; le stesse agenzie di rating valutano in modo positivo la presenza nei board di tali skill”.

La conferma viene anche da Flavia Scarpellini, advisor corporate law e cybersecurity, associata Nedcommunity, per la quale “il board deve occuparsi della cyber security per tanti motivi, il primo dei quali è il grande rischio sistemico. Negli USA si sono registrati attacchi a grandissime aziende come a Boeing o alla sede americana della banca cinese ICBC, in Europa la British Library è finita nel mirino e dopo mesi non è ancora in grado di ripristinare il servizio di prestito dei libri. Bastano questi esempi a farci capire il pericolo che si corre ogni giorno. Non stupisce quindi che investire nella cyber security porti valore: lo si vede chiaramente nelle due diligence per operazioni M&A”.

“Esistono numerose differenze fra le aziende” ha detto Enrico Ferretti, managing director di Protiviti, nel corso della tavola rotonda, a cui hanno partecipato anche Luigi Altavilla, responsabile sicurezza di Crèdit Agricole Italia, Carlo Delladio, presidente Trentino Digitale e associato Nedcommunity, Alessandro Talotta, executive president & chairman di MIX, coordinata dall’associata Nedcommunity Michela Zeme. “Sulla base della mia esperienza posso dire che, mentre in alcuni settori, come quello finanziario o delle infrastrutture critiche, gli approcci sono ormai consolidati e si adottano modelli di governo nei quali la cybersecurity è ben integrata, in altri si riscontrano spesso situazioni molto meno efficaci, anche in realtà di dimensioni medio-grandi od operanti all’estero. Negli ultimi tempi, tuttavia, stiamo osservando un cambio anche in queste aziende, che si stanno gradualmente dotando di modelli di gestione e governo della cybersecurity integrati nell’organizzazione e supervisionati direttamente dal board”.

Un approccio ex post che andrebbe evitato anche secondo Patrizia Giangualano, consigliere indipendente, advisor in governance e sustainability, secondo cui “Il consigliere indipendente deve verificare l’adeguato assetto organizzativo e valutare se le azioni sono corrette. È fondamentale poter contare su modelli dei rischi con una valutazione degli impatti forward looking, consapevoli che la velocità degli attacchi è superiore rispetto a quella in cui implementiamo le soluzioni. Importanti anche le policy e le procedure da mettere in atto dopo un attacco. Un cda deve analizzare gli scenari di rischio e definire cosa fare, soprattutto nel caso di un’eventuale escalation. Una persona con competenze distintive è utile ma gli indipendenti possono fare molto visto che sono abituati ad affrontare tematiche molto varie. L’importante è che si informino, usino il buon senso e lavorino all’interno del board con un approccio di squadra”.

Zeme ha sottolineato come “la trasformazione digitale non è più un fattore di successo ma una necessità di sopravvivenza per le imprese, che devono essere consapevoli di gestire i relativi rischi cyber ed essere preparate ad affrontare efficacemente gli attacchi. Gli investimenti sono strategici, anche per le PMI, ed è importante dare al board gli strumenti giusti per poterne valutare gli impatti e fare scelte consapevoli. Non esiste un approccio pubblico ed uno privato alla sicurezza cyber, ma pubblico e privato devono cooperare: l’obiettivo comune è quello della tutela della sicurezza nazionale e della protezione dell’economia italiana”.    

Per Delladio, presidente di Trentino Digitale, “i dati sono oggi la cosa più preziosa che abbiamo e la pubblica amministrazione ha il dovere di tutelare i dati dei cittadini, i dati della nostra salute, della scuola, di migliaia di aziende. In altre parole, la pubblica amministrazione ha il dovere di gestire in tutta sicurezza milioni di informazioni che ogni giorno la macchina pubblica processa per far funzionare la nostra Società, sempre più digitale. La sinergia pubblico-privato è indispensabile in quanto una sola Azienda non può contrastare da sola un fenomeno così vasto”. Delladio ha infine illustrato alcune azioni che, grazie all’istituzione nel 2021 dell’Agenzia per la Cybersicurezza Nazionale nell’ambito della Strategia per la Cybersicurezza Nazionale 2022-26, l’Italia sta adottando in tema di cybersicurezza e resilienza cibernetica, anche e soprattutto a beneficio delle aziende, al fine di migliorare la competitività del sistema produttivo.