Download CV

Cyber Risk: un rischio solo informatico?

Novembre 12, 2021

“Siamo un’azienda digitale!”, è quanto possono affermare le imprese che riconoscono e accolgono la digital transformation come strumento di crescita e come risposta a un ecosistema iper-connesso. La consapevolezza della velocità con cui si muovono i cyber criminali e della difficoltà a difendersi da ciò che non si vede fa del Cyber Risk un rischio diverso dagli altri, che si combatte innanzitutto con cultura, governance e trasparenza.

È per prima cosa importante avere la consapevolezza che i Cyber criminali sono più veloci di tutti. Con l’evoluzione digitale – che ha favorito e incrementato la connessione tra individui, aziende e istituzioni – si sono create nuove opportunità per i Cyber criminali i quali hanno sviluppato un mercato sommerso di servizi altamente specializzati basati su network estraneamente rapidi e fluidi che si formano per progetti limitati nel tempo e con obiettivi ben specifici. Il Cyber Risk è quindi un rischio diverso da tutti gli altri perché caratterizzato dall’evoluzione rapida delle tecnologie e dei modelli di business dei criminali e che viene aggravato da governi e imprese con una più lenta capacità di reazione e adattamento. E tanto più questo gap è ampio, tanto più è elevato il rischio assunto delle imprese.

Il Cyber Risk è diverso perché lo schema di gioco è il “tutti contro tutti”: gli attacchi possono essere infatti perpetrati da tutte le parti del mondo verso tutte le parti del mondo. Considerando che non ci si può difendere da quello che non si vede, è cresciuta la consapevolezza della necessità che i Governi siano parte attiva sia nel raccogliere e condividere le informazioni sia nel coordinamento della difesa. E l’Europa, nell’adottare nel 2018 la Direttiva per le notifiche degli incidenti subiti dai fornitori di servizi essenziali – energia, trasporti, finanza e salute – è stata un pioniere che ha aperto la strada ad altre nazioni – quali Stati Uniti e Australa – che stanno pensando di adottare una soluzione simile per la notifica degli incidenti entro le 24 ore successive.

Il mito, rincorso per anni, dell’accesso di tutti gli utenti in ogni momento e da ogni dove è oramai divenuto realtà grazie sia alla tecnologia sia al cambiamento culturale che ha trovato il suo apice con il Covid-19. Ma, purtroppo, è ancora vero che l’anello più debole nella catena della Cyber defence sono le persone: in base all’analisi dei dati raccolti dallo UK Information Commissioner’s Office, l’errore umano è stato la causa del 90% dei data breaches del 2019. E poiché questi fallimenti sono attribuibili ad una insufficiente Cyber cultura, molte imprese hanno incominciato a colmare il gap riconoscendo che sono le persone il vero asset per la costruzione di una Cyber cultura e per una difesa efficace del proprio perimetro informatico. Ed è grazie a questo forte aspetto Social che il rischio Cyber non può più essere considerato solo un rischio tecnologico ma strettamente connesso alla “S” dell’acronimo ESG noto a tutti.

Con riferimento alla “G” di Governance, in base alla Gartner 2020 Board of Directors Survey, il Cyber Risk è la seconda fonte di rischio dopo il rischio di compliance e i Board si stanno organizzando costituendo un Cybersecurity Committee: Gartner prevede che il 40% delle società quotate avrà un Cybersecurity Committee entro il 2025.

Ma, in caso di attacco, la notifica alle autorità è sufficiente o è opportuno aprire un dialogo con gli investitori e darne comunicazione? È noto che le vittime dei Cyber criminali sono riluttanti ad ammettere di essere state attaccate: da una ricerca pubblicata nel giugno 2018 dalla LBS emerge che le società quotate tendono a dare informativa degli attacchi subiti solo quando il sospetto degli investitori è alto (40%) in quanto tali notizie non sono disponibili sui mercati. Dalla ricerca emerge che questo comportamento ha impatti sul valore delle azioni delle società: sebbene in entrambi i casi il loro valore subisca una correzione negativa, la riduzione dal 3,6% della mancata disclosure allo 0,7% in caso di disclosure ne modifica fortemente l’impatto.    

È qui emerge il ruolo attivo dell’Audit Committee che – quale garante dell’integrità, dell’affidabilità e della credibilità dell’informativa finanziaria e non-finanziaria verso tutti gli stakeholders – definisce la strategia di reporting e disclosure a salvaguardia di uno dei valori più importanti per l’impresa: la sua reputazione.  E a questo punto una scelta: pubblicare (o non pubblicare) informazioni minimali o una informativa trasparente che favorisca il dialogo con gli stakeholders e in generale con i partecipanti all’ecosistema finanziario?

Posted in DigitalTags:
Related Posts

In un periodo di instabilità come quello che stiamo vivendo, è stato cruciale per i Board porre l’accento sui fondamentali finanziari e sulla Buona Governance. E sarà così anche in futuro se pensiamo alle conseguenze della Brexit e del Covid-19 e all’incertezza che caratterizza…

Missione e strategia volte a una crescita di lungo corso sono necessarie per prendere decisioni e avere performance sostenibili. Una strategia è essenziale per avere un Board adeguato ed efficace, definire azioni, processi e procedure, essere impegnati nello sviluppo delle risorse e nell’innovazione, prendere…

Write a comment