Proponiamo questa interessante ricerca (qui il link) nata con l’obiettivo di valutare i rischi legati alla sicurezza informatica (Cyber Security) pubblicata a fine aprile 2020 da The Principles for Responsibles Investment, realizzata attraverso una serie di questionari somministrati a distanza di 2 anni (tra il 2017 e il 2019) a 53 società operanti in settori differenti (sanità, finanza, beni di consumo, tecnologia dell’informazione e telecomunicazioni).

Il tema, estremamente di attualità, è quello della Cyber Security: organizzazioni autorevoli, tra cui McKinsey e Accenture per fare qualche nome, in recenti pubblicazioni, dedicate alla sicurezza informatica, hanno sottolineato la crescita di tutte le “problematiche cyber”. In particolare un rapporto del 2019 di Accenture ha rilevato che le violazioni della sicurezza informatica sono aumentate di oltre il 65% negli ultimi cinque anni, destinate comunque a diventare sempre più frequenti e raffinate, difficili da individuare.

Per le PMI non è più possibile sottovalutare questo tema: è opportuno inserire la Cyber Security nell’elenco delle analisi e valutazioni che ricadono nell’ambito del Risk Management e questo non per preservare la crescita aziendale ma per “tutelare” la Business Continuity.

È opportuno che in azienda si crei la Cyber-resilience, ovvero la capacità di affrontare gli attacchi informatici e gestirli al meglio per assicurare un impatto minimo o nullo: un cambiamento di questo tipo deve partire dal top management che ne supporta la diffusione in tutta l’organizzazione attraverso un piano strategico che pervade i processi aziendali interni ed esterni (es integrazioni di filiera, fusioni, acquisizioni, ecc.). 

L’approccio è fatto di politiche ma soprattutto di consapevolezza e cultura che interessa l’intera azienda e viene sostenuto da scelte tecnologiche adeguate: la mancanza di una delle parti rende potenzialmente inefficaci gli investimenti fatti nell’altra. Questo processo viene coadiuvato dall’individuazione di metriche condivise, comprensibili e divulgabili ad ogni livello aziendale, che consentono di misurare la crescita dell’attenzione per la cyber security all’interno dell’azienda.

Il questionario presentato nel report può essere utile anche per un self assessment e può costituire un punto di partenza o di verifica per le nostre PMI che spesso mancano di una cultura solida relativa alla prevenzione dei rischi ed in particolare alla cyber security (che purtroppo risulta essere “un problema di altri” … questo fino a che non si verifica l’incidente).

Per concludere, crediamo fortemente che le problematiche cyber devono essere affrontate da risorse con una precisa specializzazione (un responsabile del settore informatico non è uno specialista di sicurezza così come un meccanico non è un gommista e per la manutenzione della nostra auto servono entrambi) e gestite con logiche proprie del Risk Management prevedendo quindi misure tecniche/procedurali/di formazione specifiche e quando necessario opportune coperture assicurative (per riprendere la metafora: come facciamo per l’auto che conduciamo con ogni attenzione necessaria e però assicuriamo tutelandoci da accadimenti non dipendenti dalla nostra volontà).

Michele Reali

Ingegnere dell’informazione, Innovation manager certificato RINA
Partner di Strategia&Controllo Srl

Scrivi per informazioni, saremo lieti di risponderti.

13 + 14 =