Cyber risk governance per i membri del CdA, principi fondamentali

Per far comprendere i rischi cyber e il proprio ruolo nel governarli nell’esercizio di una efficace attività di oversight. Inoltre, perseguire una strategia di continuo miglioramento della propria abilità di incorporare i cyber risk all’interno della più estesa strategia aziendale.

Pubblicato il 04 Apr 2022

Alberto Elia Martin

L’accelerazione della digitalizzazione sta mettendo nuove pressioni sulle aziende che stanno rinnovando i propri modelli di business e fondamentalmente re-immaginando le modalità con cui sviluppare tali modelli e considerato che le aziende sono sempre più giudicate rispetto al modo in cui proteggono le loro informazioni e i dati che i clienti e partner gli affidano, i temi della cybersecurity e cyber resilience stanno diventano preoccupazioni vitali per ciascuna organizzazione che voglia essere considerata affidabile.

La crescita costante dell’impronta digitale (i.e. digital footprint) fa in modo che la cybersecurity rimanga una priorità assoluta per tutti i business leader; di conseguenza, la governance della cybersecurity continuerà ad essere di estrema importanza per i Consigli di Amministrazione (i.e. board of director).

Queste circostanze stanno determinando un rapido cambiamento del panorama delle minacce (i.e. threat landscape), il quale unito al proliferare delle normative in ambito cyber risk, rende chiara la necessità per i board di governare i rischi cyber basandosi su solidi fondamenti in grado di affrontare anche gli scenari più critici.

Nel perseguire tale obiettivo, di seguito sono delineati i principi guida che i board dovrebbero adottare per creare le basi su cui costruire un efficace modello di Cyber Risk Governance.

La cybersecurity come fattore strategico abilitante il business

La cybersecurity è molto di più che un mero argomento tecnologico: le cyber minacce sono rischi persistenti e e di rilevanza strategica per tutti i tipi di organizzazioni a prescindere dal settore in cui esse operano. Un efficace modello organizzativo basato sulla cybersecurity contribuisce direttamente sia nel preservare il valore esistente sia nel generare valore attraverso nuove opportunità. Navigare su questi rischi richiede quindi una cultura della cybersecurity che preveda un impegno a livello di executive leadership e un solido modello decisionale.

I board dovrebbero quindi:

  • incorporare le considerazioni sui rischi cyber nei processi decisionali strategici e operativi includendoli in modo ricorrente quali punti in agenda dei loro board meeting;
  • avere una vista quanto più allargata possibile circa le nuove iniziative di digital transformation da una prospettiva dei rischi cyber;
  • determinare quale Committee debba svolgere le attività di supervisione sulle questioni pertinenti i rischi cyber inerenti e potenziali;
  • analizzare le criticità rispetto alle implicazioni strategiche, considerando le strategie e i modelli di business in essere e futuri;
  • chiedere agli executive di identificare le opportunità che possano utilizzare la cybersecurity come fattore differenziante di mercato e come driver per il business.

Cyber risk governance: la comprensione dei driver e degli impatti economici dei rischi

Molte iniziative di business in grado di incrementare i profitti possono anche aumentare l’esposizione a rischi cyber; per prendere delle efficaci decisioni di business, quindi, serve anche che nella fase di determinazione dei rischi si considerino gli impatti economico-finanziari, inclusi i trade-off tra rischi e trasformazione digitale.

Utilizzando una pianificazione basata su scenari, i leader delle varie organizzazioni possono prendere in considerazione i potenziali guadagni e le potenziali perdite, misurando empiricamente ed economicamente le perdite versus gli obiettivi strategici, normativi e di business, oltre che ai costi relativi alle implementazioni delle contromisure di mitigazione.

A questo riguardo, i board dovrebbero:

  • eseguire e approvare le periodiche revisioni al cyber-risk appetite e alle soglie di tolleranza nel contesto del profilo di rischio e degli obiettivi strategici, assicurandosi che i livelli di risk appetite siano adeguatamente definiti in termini finanziari e che le metriche sulle performance del processo di risk management siano stabilite;
  • implementare un programma in grado di identificare cyber risk scenari che si attaglino quanto più possibile al profilo di rischio dell’organizzazione;
  • incaricare il senior management di stabilire un framework consistente, che utilizzi dei comprovati modelli di risk quantification accettati dalla propria industry di riferimento e che siano in grado di calcolare la potenziale perdita economica e la relativa probabilità di accadimento per ciascuno degli scenari presi in considerazione;
  • richiedere di stabilire un processo di ri-esame comparativo degli standard relativi all’ambito industriale di riferimento che sono utilizzati per la definizione delle metriche e dei metodi di misurazione.

L’allineamento del cyber risk management ai business needs

Attraverso la comprensione della tipologia di trattamento del rischio più adatta (evitarlo, mitigarlo, trasferirlo o accettarlo), le organizzazioni possono costruire un profilo in grado di allinearsi con i business needs e le predefinite risk tolerance.

Una governance efficace richiede un chiaro allineamento tra il cyber-risk management e gli obiettivi di business passando attraverso ogni sfaccettatura del processo decisionale, incluse le situazioni di merger & acquisition, business transformation, innovazione, digitalizzazione, pricing, sviluppo prodotto ecc.

Questa impostazione è possibile ottenerla se:

  • le strategie di business sono riviste criticamente in un contesto di implicazione di rischi cyber;
  • il management ricomprende all’interno del proprio modello di reporting, le implicazioni che la cybersecurity ha nelle proprie attività di business, le varie ownership e una netta definizione di come le decisioni di tipo cyber debbano essere tracciate e monitorate;
  • il management fornisce al board una roadmap su come l’organizzazione intende affrontare gli obblighi normativi circa le materialità dei rischi e le loro determinazioni.

cyber security governance

Assicurare che la struttura organizzativa supporti la cybersecurity

Le organizzazioni dovrebbero definire una struttura di governance che affronti la cybersecurity attraverso una copertura sull’intera ampiezza organizzativa aziendale. Questo paradigma dovrebbe includere anche aspetti di chiarezza sulle ownership e i Key Performance Indicators (KPIs) su tutti gli stakeholder interni coinvolti nei processi di risk management: per fare questo serve che le practice di cybersecurity siano integrate nel modo in cui il business opera e prende le decisioni.

A tale scopo, le best practice raccomandano di:

  • rivedere la struttura organizzativa per assicurarsi che la funzione di cybersecurity sia adeguatamente rappresentata lungo tutta la filiera delle business function, dei gruppi interni e delle varie leadership;
  • assicurarsi di comprendere adeguatamente le basi sottostanti le definizioni dei ruoli chiave e delle linee di accountability relativamente alle strategie, alle policy e alle esecuzioni di attività di cybersecurity;
  • gestire le aspettative che le funzioni di cybersecurity e di cyber risk management hanno in termini di dimensione degli staff e delle esigenze di budget con una costante attività di monitoraggio sulla loro progressione e sviluppo;
  • ispirare una cultura della cybersecurity e incoraggiare la collaborazione tra la funzione di cybersecurity e tutti gli stakeholder direttamente interessati;
  • assicurarsi di avere un officer (e.g. Head of Cybersecurity) autorevole e in grado di coordinare le iniziative strategiche attraverso l’intera organizzazione integrando anche un piano di data governance esteso a tutti i livelli organizzativi.

Incorporare l’expertise di cybersecurity nel board

I board devono avvalersi di linee guida di settore e dell’esperienza dei senior expert di cybersecurity per poter attuare le logiche di supervisione con efficacia e con focus appropriato.

Alle luce dei rapidi cambiamenti a cui il cyber landscape è sottoposto, i board dovrebbero altresì tentare di ampliare continuamente le loro conoscenze in materia.

A tale scopo, sarebbe indicato procedere come segue:

  • stabilire e mantenere delle relazioni qualitative con gli stakeholder che possono offrire la loro esperienza in materia fornendo un valido supporto in occasione delle decisioni strategiche da prendere;
  • partecipare a opportunità di accrescimento dei livelli base di conoscenza in materia di rischi cyber che l’organizzazione mette a disposizione;
  • ricercare le competenze da parte di terze parti in grado di fornire delle consulenze specifiche attraverso un reporting periodico che sia in grado di garantire un efficace apporto in termini di supervisione;
  • considerare di avvalersi di audit esterni periodici in grado di rafforzare le difese tramite delle valutazioni indipendenti fungendo anche da benchmark verso i quali autovalutarsi;
  • Svolgere sessioni regolari in materia di cyber incident, trend e vulnerabilità.

Incoraggiare la resilienza di sistema e la collaborazione

La natura altamente interconnessa delle moderne organizzazioni comporta che si corrano dei rischi in grado di diffondersi oltre i confini aziendali, interessando altre aziende e le economie in generale. Non è più sufficiente occuparsi solo della sicurezza della propria azienda e riconoscere che soltanto una azione collettiva e in partnership con altre aziende può contrastare le sfide più complesse è ormai diventato un prerequisito fondamentale. I leader senior che si occupano di strategie dovrebbero incoraggiare la collaborazione cross-industry comprendendo anche stakeholders della pubblica amministrazione oltre che privati, in modo da assicurarsi che ogni organizzazione sia in grado di supportare la resilienza dell’intero sistema.

In questa ottica, sarebbe opportuno:

  • sviluppare una visione a 360 gradi sulla postura della resilienza aziendale per consentire all’organizzazione di operare come parte socialmente responsabile nell’ambito più vasto (i.e. environment) in cui il proprio business opera;
  • sviluppare un network di peers (i.e. pari ruolo) inclusi board member, per poter condividere best practice di governance senza vincoli di confine;
  • assicurarsi che il management abbia attuato dei piani per una collaborazione efficace con la pubblica amministrazione in grado di apportare significativi miglioramenti alla resilienza organizzativa;
  • assicurarsi che il management prenda in considerazione i rischi derivanti dalle numerose interconnessioni che l’azienda ha con l’esterno (e.g. terze parti, fornitori e business partner);
  • incoraggiare la partecipazione a gruppi di condivisione della conoscenza e all’utilizzo di piattaforme di information-sharing.

Conclusioni

I board devono necessariamente comprendere i rischi cyber e il proprio ruolo nel governarli nell’esercizio di una efficace attività di oversight (i.e. supervisione / vigilanza). Devono perseguire una strategia di continuo miglioramento della propria abilità di incorporare i cyber risk all’interno della più estesa strategia aziendale. Il considerare l’adozione di best practice in questo ambito in modo tempestivo sta diventando sempre più cruciale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Alberto Elia Martin
Argomenti trattati

Approfondimenti

A
attacchi informatici
C
cybersecurity

Prossimo

Whistleblowing e investigazioni corporate: preziosi alleati per l’etica aziendale?

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Mail

Link