I Risk Manager italiani ed europei sono sempre più attenti al tema di una corretta gestione dei rischi cyber, che vanno considerati oggi un rischio trasversale, con impatti su ogni area dell’impresa e potenzialmente in grado di produrre un effetto Domino. Ce ne parla in questa intervista Alessandro De Felice, Chief Risk Officer in Prysmian e Presidente di ANRA, l’Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni e Strategica.
TIG. Qual è oggi la situazione che vede in Italia in tema dei rischi cyber?
Alessandro De Felice. C’è un’enorme spaccatura tra la situazione di una grande azienda, di una PMI o del singolo cittadino. Come è emerso anche nell’indagine “La gestione del rischio nelle percezione delle medie aziende e della popolazione” condotta da Eumetra Monterosa, che abbiamo presentato al Convegno annuale ANRA dello scorso ottobre, parlando di percezione dei rischi cyber, le PMI italiane o le singole persone posizionano un rischio come il furto di identità agli ultimi posti, addirittura a un livello più basso del rischio terroristico. Questo sta a indicare una scarsa maturità e una percezione del tutto scollegato dalla realtà. Diversa invece la situazione nelle grandi aziende. Come riporta l’European Risk and Insurance Report di Ferma (Federation of European Risk Management Associations ), un’indagine che ha coinvolto anche diverse aziende italiane, le grandi organizzazioni stanno tutte attivando procedure e analisi atte a comprendere e mitigare i rischi cyber e quelli legali, per sistemi che gestiscono la relazione con i clienti, ambienti finanziari e amministrativi, sistemi di reporting, posta elettronica e siti web. Nelle PMI italiane invece, la scarsa percezione del rischio cyber è conseguenza di un utilizzo ancora limitato di tecnologie ICT per processi produttivi o sistemi di reporting e controllo.
TIG. Come cambia la percezione di questi rischi nei diversi settori?
Alessandro De Felice. Il mondo bancario e finanziario è maturo su questi temi, anche come conseguenza di norme che richiedono un corretto approccio alla gestione del rischio. Nel settore dei servizi la sensibilità maggiore va alla possibile perdita di dati dei clienti. Il mondo delle utilities è attento oggi al tema dei processi di gestione e controllo che utilizzano tecnologie interconnesse, quindi potenzialmente vulnerabili. Nella grande industria l’attenzione va soprattutto alla protezione di sistemi di reporting e controllo, fatturazione, bilancio, GRC, connessioni per il trasferimento di dati internazionale: il malfunzionamento di questi sistemi è la principale preoccupazione dei Risk Officer di queste aziende. In futuro poi nel settore industriale con il paradigma dell’Industria 4.0 ci saranno maggiori automatismi e interconnessioni, con la rete di vendita, con la supply chain: va da sé che l’attenzione a questi temi è destinata a crescere.
TIG. Rispetto a quanto si osserva a livello internazionale, quali sono i limiti specifici della situazione italiana?
Alessandro De Felice. I limiti sono gli stessi che vediamo nella diffusione di una cultura del risk management e della gestione dei rischi più in generale. C’è una reale frattura tra quanto avviene nelle grandi organizzazioni e quanto invece nelle PMI, che però rappresentano il 95% dell’economia italiana. Mentre nelle grandi imprese raggiungiamo una maturità e in alcuni casi livelli di eccellenza anche superiori a quelli delle aziende estere, nelle PMI c’è ancora molta arretratezza. Come conseguenza del periodo storico e della crisi economica vissuta negli scorsi anni, la conoscenza dei vantaggi legati a una gestione integrata di tutti i rischi aziendali, o ERM, oggi comincia a diffondersi. Serve ad evitare una volatilità dei risultati e l’impatto negativo di eventi inaspettati. Sempre secondo l’indagine di Renato Mannheimer, a livello corporate l’84% degli intervistati ha pensato o pensa di instaurare politiche di risk management, soprattutto in ottica di eventuali danni materiali diretti ai beni (51%), rischi legati a Responsabilità Civile (43%) e per preservare la Continuità del Business (43%). Invece, quando l’indagine si sposta sulle singole famiglie italiane, le percentuali diminuiscono, con solo 6 individui su 10 che reputano generalmente importante prestare attenzione ai rischi per sè o i propri familiari.
Interessante poi che anche a livello Paese ci siano alcune nuove iniziative. Ad esempio, quella del Team per la Trasformazione Digitale del Governo Italiano, che dovrebbe pubblicare a breve una policy di responsible disclosure nazionale che sarà fondamentale per la PA, per comunicare con la comunità italiana e internazionale degli ethical hacker, i cosiddetti “hacker buoni”. La PA potrà in questo modo agevolare la rapida risoluzione dei problemi di sicurezza e minimizzare i rischi per i dati personali dei cittadini. Significa che oggi le istituzioni si stanno accorgendo, forse anche dopo i recenti fatti di cronaca come il cyber spionaggio Eye Pyramid, che proteggere le infrastrutture critiche è fondamentale.
TIG. Quali sono, dal punto di vista di un Risk Manager, le specificità del rischio cyber a cui fare attenzione?
Alessandro De Felice. Si tratta di un rischio che da solo abbraccia tutte le famiglie di rischi come sono definite dallo standard ISO31000: operativi, strategici, finanziari, di compliance. E’ trasversale a tutti gli altri, con effetti domino per cui riesce a colpire in successione più aspetti del business. Prendiamo ad esempio un malware, che colpendo un sistema di reporting e controllo, crea inizialmente un malfunzionamento interno, che poi determina l’arresto di altri processi, il pagamento dei fornitori, la fatturazione, un possibile falso in bilancio, disturbi all’operatività, danno reputazionale. Un’altra caratteristica del rischio cyber è la velocità con cui si presenta: pensiamo a un sistema IoT interconnesso che produce grandi volumi di informazione a tassi di crescita elevati, i cosiddetti Big data. Abbiamo un’accelerazione delle informazioni disponibili, e quindi un rischio strategico, la possibilità che si reagisca in modo esagerato, con decisioni poco accorte, sulla base di informazioni che arrivano molto più velocemente del passato.
A cura di:
Elena Vaciago, The Innovation Group