L’impatto delle violazioni dei dati e delle minacce informatiche sulle imprese, sulla società e sull’ambiente rende la sicurezza informatica un aspetto fondamentale della strategia Esg, Environmental-social-governance. L’intervento di Lamberto Ioele, senior manager, Kpmg Advisory Spa
La crescente interconnessione tra la cybersecurity e gli obiettivi ambientali, sociali e di governance (Esg) è diventata una tematica cruciale nel panorama aziendale moderno. Questi due ambiti apparentemente distanti sono fortemente correlati e influenzano reciprocamente le strategie e le performance delle organizzazioni.
Nell’odierna economia digitale, le aziende devono affrontare nuove sfide per raggiungere contemporaneamente gli obiettivi ambientali, sociali e di governance e garantire al contempo solide misure di sicurezza.
Queste preoccupazioni sono in primo piano nelle mappe dei rischi globali da diversi anni, ma mentre gli aspetti ambientali dell’agenda Esg hanno ricevuto un’attenzione significativa, altri elementi come la sicurezza cibernetica e la salvaguardia dei dati non sono stati altrettanto sviluppati. Tale aspetto risulta fortemente preoccupante, in un contesto dove le minacce informatiche sono sempre più frequenti e hanno un impatto rilevante sull’operatività, sulla continuità e sulla reputazione aziendale.
Ma cosa si intende per Esg?
Dietro l’acronimo Esg, coniato nel 2004 e sempre più conosciuto anche fuori dal mondo della finanza e della “sostenibilità”, ci sono tre termini molto chiari: Environmental (E), Social (S) e Governance (G). Tre dimensioni fondamentali per misurare, controllare e sostenere il grado e l’impegno in termini di sostenibilità di una impresa o di una organizzazione.
• Environmental: si riferisce all’impatto dell’attività aziendale sull’ambiente. Le considerazioni ESG ambientali possono includere la gestione delle emissioni di gas serra, l’uso responsabile delle risorse naturali e l’adozione di pratiche sostenibili.
• Social: considera il rapporto e il ruolo positivo dell’azienda nella società. Includendo temi come la relazione con il territorio e con le persone, la gestione delle relazioni con i dipendenti, la diversità e l’inclusione, la sicurezza sul lavoro e la responsabilità sociale d’impresa.
• Governance: include l’utilizzo di pratiche aziendali virtuose, in ambiti come la trasparenza delle decisioni aziendali, la gestione dei rischi, il rispetto delle minoranze, l’etica aziendale e la qualità della leadership.
L’Intreccio tra Esg e Cybersecurity
Il rischio è un elemento intrinseco del fare business. Le aziende si trovano ad affrontare sempre più rischi legati alla privacy, alla sicurezza, alla geopolitica, alla diversità, al benessere dei dipendenti, alla reputazione e al cambiamento climatico, e hanno consapevolezza che i rischi non si manifestano in maniera isolata. Spesso si combinano e si sovrappongono, motivo per cui i rischi considerati generalmente ‘esterni’ devono essere incorporati nelle strategie interne.
Tra tutti i rischi che le organizzazioni si trovano ad affrontare oggi, quelli legati alla sicurezza informatica e all’ambiente comportano alcuni dei danni finanziari maggiori e più duraturi. Le conseguenze degli attacchi informatici vanno ben oltre il riscatto dei dati e la negazione del servizio.
Gli attacchi alle reti elettriche, agli oleodotti, agli impianti di produzione, ai sistemi di trattamento delle acque, alle strutture per le acque reflue e alle infrastrutture di comunicazione possono causare danni materiali e ambientali duraturi (fuoriuscite catastrofiche, scarichi di rifiuti ed emissioni nell’aria), danni devastanti per la salute e la sicurezza pubblica con conseguenti malattie, feriti e vittime, impatti negativi sui sistemi di trasporto e sull’approvvigionamento alimentare, nonché ingenti spese di recupero e di bonifica e richieste di risarcimento per responsabilità legale.
Per mitigare la gravità di questi rischi correlati, è importante che le aziende integrino la cybersecurity e le strategie Esg.
Le organizzazioni possono trarre grandi benefici dall’esplorazione dello stretto legame tra rischi informatici ed Esg. Entrambe le aree si concentrano sull’identificazione e la gestione di rischi e opportunità che portano a prodotti e soluzioni migliori e a una società migliore.
Questa connessione è sempre più riconosciuta dai mercati, compresi i fornitori di rating Esg che si adoperano per una maggiore trasparenza ed equità nel misurare e confrontare le organizzazioni.
Per proteggere le loro infrastrutture critiche, i sistemi di controllo industriale e i dati dei clienti, le aziende dovrebbero investire in soluzioni tecnologiche sostenibili per ridurre l’impatto ambientale e minimizzare l’esposizione ai rischi informatici, dotandosi di solide strutture di governance per supervisionare la gestione dei rischi di privacy e di e cybersecurity e garantire la conformità ai requisiti legali e normativi.
La buona notizia è che molte aziende stanno già andando in questa direzione, con un potenziale impatto positivo sulla loro performance Esg.
Le migliori pratiche per un approccio integrato
• Integrare la Cybersecurity nelle Strategie ESG: le aziende dovrebbero considerare la cybersecurity come un elemento fondamentale nella definizione e nell’implementazione delle strategie ESG.
• Formazione e Consapevolezza: investire in programmi di formazione per i dipendenti riguardo alla sicurezza informatica è fondamentale. Gli utenti sono spesso il punto più debole nella catena di sicurezza.
• Monitoraggio e Reporting: le performance in termini di sicurezza informatica dovrebbero essere monitorate e comunicate come parte degli indicatori ESG dell’azienda.
• Collaborazione e Partenariati: le aziende possono collaborare con esperti e organizzazioni specializzate per sviluppare e implementare strategie di sicurezza informatica più efficaci.
Conclusioni
Affrontando i rischi informatici nel contesto dell’Esg, le aziende possono salvaguardare le loro attività, i loro clienti e la loro reputazione, rispettando al contempo i loro più ampi obblighi sociali e ambientali.
Adottare un approccio integrato a entrambi è essenziale per garantire la sostenibilità, la fiducia degli stakeholder e la resilienza aziendale. Le aziende che riescono a bilanciare con successo questi due ambiti saranno in una posizione di vantaggio nel mercato globalizzato e sempre più consapevole.