Le aziende iniziano ad avere consapevolezza dei rischi che corrono e, generalmente, stanno investendo in cybersicurezza a un ritmo impensabile solo un paio di anni fa. Ma il 2023 pone nuove sfide in termini di governance e cyber risk management. L’analisi di Matteo Sironi, executive board member di Humint Consulting
Il 2022 è stato l’anno peggiore in termini di crimini informatici a danno delle aziende: a livello globale si stima un aumento di circa il 38% rispetto al 2021. Una situazione molto critica se consideriamo che il 2021 aveva registrato un aumento di oltre il 100% rispetto al 2020 e di oltre il 300% rispetto al 2019. Le aziende iniziano ad avere consapevolezza dei rischi che corrono e, generalmente, stanno investendo in cybersicurezza a un ritmo impensabile solo un paio di anni fa; tuttavia, il 2023 pone nuove sfide in termini di governance e cyber risk management.
Il nodo della governance
In questo momento, i budget per il 2023 sono già stati chiusi e le previsioni di spesa determinate, con le organizzazioni più virtuose che hanno accantonato fondi ulteriori per “cyber-eventi” inaspettati. E proprio su questo aspetto si registrano le tensioni maggiori tra i vertici aziendali. L’aumento dell’inflazione, dei tassi di interesse e gli attuali scenari geopolitici suggeriscono una probabile recessione nel 2023. Da sempre la security è vista più come un centro di costo che come un investimento, non fosse altro che il suo ROI non è facilmente calcolabile. Le aziende che non hanno a disposizione budget sufficienti o riserve adeguate, dovranno affidarsi a CISO e a team di sicurezza esperti per pianificare attentamente gli investimenti e mantenere delle configurazioni minime di sicurezza adeguate ai rischi.
Di fronte a questa nuova rilevanza in termini economici della spesa per la cybersicurezza, non sempre gli attuali modelli di governance sono in grado di attribuire alle figure tecniche la giusta dose di leadership e accountability per assumere decisioni strategiche senza dover prima bussare alla porta del consiglio di amministrazione, dell’amministratore delegato e del CFO.
La sicurezza informatica pone quindi alle aziende un tema di governance. Una cybersicurezza inadeguata rispetto ai rischi dell’organizzazione può avere impatti operativi (per esempio un ransomware in grado di bloccare gli ambienti di produzione senza adeguati piani di business continuity e disaster recovery), finanziari (non solo la perdita di produttività in caso di downtime dei sistemi, ma anche potenziali sanzioni GDPR) e reputazionali. La catena di comando dev’essere quanto più possibile snella per tradurre le esigenze tecniche in decisioni operative, a volte in tempo reale.
Anche se la maggior parte degli organi di governo delle società si sono già confrontati con le minacce cibernetiche, è ancora molto difficile trovare seduti nei board i CISO o i CIO.
Le aziende con Consigli di Amministrazione in scadenza, dovranno, pertanto, valutare necessariamente con estrema attenzione l’inserimento all’interno del board di almeno una figura con competenze tecniche che possa aiutare non solo a dirigere il proprio dipartimento, ma anche ad indirizzare le scelte strategiche della società.
Le persone al centro
Gli aspetti organizzativi non sono l’unico tema caldo del 2023. In un mondo nel quale si prevede un ulteriore impennata degli attacchi informatici indipendentemente dal settore o dalla dimensione, con il settore sanitario in cima alla whishlist degli hacker, la prima linea di difesa restano le persone. La formazione in ambito sicurezza informatica di tutto il personale e la talent retention delle figure tecniche chiave, devono essere in cima alle agende dei responsabili delle risorse umane.
Il training e awareness dei dipendenti è ancora l’area principale in cui le organizzazioni sanno di dover aumentare gli investimenti. Tuttavia le risorse tecniche continueranno ad essere molto difficili da individuare. I cambiamenti introdotti a causa dalla pandemia, lo smart working e una domanda che supera di molto l’offerta, hanno reso, nell’anno appena concluso, molto difficile per le aziende trattenere le proprie risorse e trovare nuovi talenti. Una maggiore flessibilità organizzativa rispettosa delle esigenze personali, accompagnata da offerte retributive migliori, sono alla base di questa vivace mobilità delle figure tecniche.
È pertanto fondamentale che i responsabili delle risorse umane lavorino a stretto contatto con gli IT/ITSEC per affinare al meglio le proprie competenze nella selezione del personale tecnico, concedendo spazio alla negoziazione individuale per attrarre i profili migliori.
Un quadro normativo sempre più tecnico
Inoltre, le aziende dovranno confrontarsi, sul fronte legislativo, con nuove norme dai contenuti sempre più tecnici. Entro la fine del 2023, infatti, circa il 75% dei dati personali della popolazione mondiale saranno protetti da leggi ad hoc. Per le aziende che offrono beni e servizi su più mercati, l’ambito di applicazione di queste leggi sulla protezione dei dati può comportare la gestione della medesima offerta con modalità differenti a seconda della giurisdizione, con clienti sempre più consapevoli ed esigenti per conoscere quali dati vengono raccolti, come sono trattati e per quali finalità. Inoltre, le autorità di supervisione previste dal GDPR (come il Garante per la protezione dei dati personali) nel corso del 2022 hanno emanato provvedimenti sempre più tecnici ed incisivi, a volte in maniera inaspettata, capaci di rendere improvvisamente illegittimi parte dei trattamenti di dati personali effettuati con strumenti tecnologici leader di mercato (es. Google Analytics).
E la privacy è solo l’inizio, infatti nella giornata del 27 dicembre 2022, sulla Gazzetta ufficiale dell’Unione europea, sono stati pubblicati contemporaneamente diverse direttive riguardanti la cyber security. Il Regolamento DORA, che mira a conseguire un elevato livello di resilienza operativa digitale e che stabilisce una serie di obblighi in relazione alla sicurezza dei sistemi informatici e di rete delle entità finanziarie e dei relativi fornitori tecnologici. La Direttiva NIS2, che stabilisce le misure volte a garantire un livello elevato di cibersicurezza nell’Unione, in modo da migliorare il funzionamento del mercato interno e che stabilisce, inter alia, le misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti destinatari La Direttiva CER che comporta obblighi di rafforzamento della resilienza e della capacità di fornire i servizi considerati essenziali per il mantenimento di funzioni vitali della società o delle attività economiche.
Il quadro delineato è sufficiente ad indicare che anche gli uffici legali interni dovranno confrontarsi con novità legislative altamente tecniche:. È, pertanto, fondamentale che si dotino di figure sempre più preparate dal punto di vista informatico perchè possano dialogare, anche sotto l’aspetto tecnico, con i dipartimenti IT e ITSEC per contribuire attivamente alla trasposizione dei dettati normativi in politiche aziendali e processi interni efficienti.
I rischi della supply chain
Anche la supply chain sarà impattata da novità legislative, con conseguenti risvolti decisionali da parte delle aziende, con il rischio che molti fornitori “storici” potrebbero trovarsi ben presto fuori dal mercato nel caso in cui non fossero sufficientemente reattivi.
Nel biennio scorso abbiamo assistito a una crescita delle violazioni di sicurezza in questo ambito. Nel mondo globalizzato, le catene di fornitura stanno diventando sempre più interconnesse e complesse. L’ avanzare della tecnologia e le vulnerabilità di sicurezza possono esporre a rischi i partner ai quali un’azienda è collegata. Lo sanno bene i criminali informatici che stanno sfruttando queste criticità, il 40% delle minacce informatiche sono state rivolte ad attaccare almeno un punto della supply chain dell’obiettivo finale. E la tendenza è ulteriormente in rialzo.
Nel 2023 non sono solo i rischi cibernetici introdotti dalle vulnerabilità informatiche dalle terze parti a dover essere mitigati, i board e C-level in generale dovranno affrontare i rischi dell’ interruzione delle forniture a causa di incidenti informatici. Inoltre, le forniture potranno rallentare, o addirittura fermarsi, anche a causa della carenza globale di semiconduttori, aspetto questo che giocherà sicuramente il suo ruolo nella sicurezza informatica aziendale. Mentre molte aziende hanno bisogno di sempre più potenza di calcolo (server, workstation, hardware, etc..) il prezzo delle apparecchiature continua a salire e non è da escludere che alcune aziende si trovino di fronte al dilemma di coprire le esigenze hardware a discapito delle spese di sicurezza informatica già pianificate.
In conclusione
Il 2022 ha segnato per la maggior parte delle aziende il primo cambio di passo verso una vera cultura della cybesicurezza, basata su persone e investimenti tecnologici. Per alcune, la scelta è stata obbligata a causa del verificarsi di eventi di sicurezza che hanno comportato perdite finanziare e reputazionali; altre, più fortunate, hanno intuito la direzione da prendere prima del verificarsi di tali eventi. Ma la fortuna non può durare in eterno e, come recita il mantra ripetuto dagli studiosi e dai commentatori della materia più quotati, il tema non è “se succede”, ma “quando”.