Oggi la fiducia è tutto. In un mondo incerto e in rapida trasformazione, clienti, dipendenti e investitori puntano a relazionarsi su cui possono contare, il Trust è più importante che mai. Ma costruire e proteggere questo senso di fiducia richiede che ogni ambito dell’organizzazione collabori nell’offrire una visione coerente e unitaria. La comunicazione interna ed esterna della cybersecurity è più importante che mai, all’interno dovrebbe far comprendere il valore di queste attività. A che punto siamo, quale importanza è attribuita dai vertici aziendali al tema della cybersecurity? Il tema è stato oggetto di approfondimenti nel corso del Cybersecurity Summit 2023, lo scorso 8 e 9 marzo a Milano. Riportiamo di seguito l’intervento su questi aspetti di Stefano Scoccianti, Enterprise Risk Manager, Gruppo Hera, Consigliere ANRA.
TIG. Come comunicare al Board il valore della cybersecurity e, in generale, quale visione ha il top management di questi temi?
Stefano Scoccianti. Parliamo di comunicare il valore della cybersecurity sia al Board che alle varie divisioni, ai singoli business owner. Distinguerei innanzi tutto tra valore percepito e valore intrinseco non ancora percepito della cybersecurity, più sovente nell’ambito del business che, in quanto non tecnico, ha bisogno di un’adeguata prospettiva per comprenderne appieno l’importanza.
Oggi le cose cambiano molto in base all’esperienza della singola realtà: in un’azienda come ad esempio una multiutility, attiva in settori in cui si erogano servizi critici, è normale osservare sensibilità diverse. Se pensiamo al mondo OT, di chi gestisce le operation e gli apparati, è normale una piena consapevolezza del problema della continuità del business e degli effetti di un’eventuale interruzione. Gli impatti sono infatti molteplici: non soltanto quelli reputazionali ma potenzialmente anche quelli economici. Nel nostro settore, abbiamo meccanismi tariffari articolati, con penalità o premialità in relazione alla qualità e livello del servizio. Sono servizi altamente regolamentati e quindi già molto monitorati. Quindi la consapevolezza sul tema è forte, il valore percepito in questo caso coincide con quello intrinseco.
Un altro esempio, sempre preso a prestito dal settore energetico: chi gestisce le reti elettriche è ben consapevole della fondamentale importanza dei sistemi di telecontrollo e telegestione. Ci ricordiamo che nel 2016 un attacco hacker in Ucraina provocò un blackout significativo e la disconnessione di varie sottostazioni. Queste criticità sono molto chiare per chi gestisce le reti elettriche, così come anche in tutti gli ambiti del telecontrollo. Non avere a disposizione dei sistemi che gestiscono l’allarmistica, e che quindi possono segnalare eventuali fughe di gas, espone a rischi molto seri, anche legati alla possibile perdita di vite umane. In tutti questi casi, si ha oggi una piena consapevolezza anche da parte del Board dell’importanza della cybersecurity.
Se andiamo invece su ambiti legati al mercato, qui è possibile che le sensibilità siano diverse. Non avere a disposizione, ad esempio, i sistemi gestionali per le attività di customer operation, significa per il gestore del business l’indisponibilità dei canali digitali. Quindi è necessario volgere le richieste a canali fisici, come call center e sportelli, e questo comporta un aumento immediato e tangibile degli oneri. Quindi, anche in questo caso, ci sarà consapevolezza da parte del business.
Dove andrebbe invece fatto di più? Credo che in generale, se consideriamo il rischio legato a un data breach, è vero che c’è la sanzione, l’aspetto reputazionale, i possibili costi forensi e di ripristino, però, è anche vero che, se non ci si è passati, la piena consapevolezza ancora manca. È in questo momento soprattutto un tema di compliance, ma questo tipo di consapevolezza può essere migliorata.
TIG. Consideriamo il rischio di perdita di Intellectual Property. In un mondo diviso come l’attuale, in cui alcuni paesi potrebbero avere difficoltà ad approvvigionarsi di beni e servizi critici, una soluzione è quella di ricercare queste informazioni per realizzarli in casa. Non è un tema troppo sottovalutato dalle aziende italiane?
Stefano Scoccianti. Il nostro Paese ha una struttura produttiva basata su realtà imprenditoriali medio piccole, e non brilliamo per attività di ricerca e brevetti. Comunque sia, questo rischio esiste, e a livello internazionale sappiamo benissimo quanto alcuni Paesi stiano ricercando queste informazioni. Per alcuni di loro, l’accesso a queste ha sicuramente trainato lo sviluppo economico nell’ultimo ventennio fino ai giorni nostri.
In Italia, se escludiamo alcuni campioni nazionali, di altissimo profilo e attivi in ambiti tecnologici avanzati, in molte realtà imprenditoriali il tema della protezione della proprietà intellettuale sicuramente non è tra i primi problemi di sicurezza. Un potenziale blocco della produzione è considerato molto più critico.
TIG. Parliamo nello specifico di comunicazione di cybersecurity, sia all’interno sia all’esterno: cosa raccomandi?
Stefano Scoccianti. Per rispondere a questa domanda, distinguerei almeno tre livelli. Una comunicazione interna del valore della cybersecurity, che è un tema orizzontale, trasversale nell’azienda. Porta sensibilità e cultura attraverso la formazione, gamification, ethical phishing, e serve a far percepire il valore della sicurezza.
Un secondo livello, più specifico e circostanziato, è quello relativo a comunicare come opera la cybersecurity nel framework di gestione del rischio dell’azienda. Non è sufficiente collocare attività di cybersecurity come mattoncini sparsi nell’azienda: l’azienda dovrebbe dotarsi di un framework di riferimento, per la valutazione e l’analisi dei rischi, con relativa governance e infrastruttura tecnico-organizzativa, un risk appetite framework e così via.
Un terzo livello è invece quello legato alla comunicazione da fare in caso di eventi avversi. Serve in questo caso che i processi interni siano ben strutturati. In realtà più complesse ci possono essere vari livelli di comunicazione verso l’esterno, vanno però tutti coordinati. Una comunicazione tecnico specialistica è da indirizzare verso i corretti canali esterni tecnici, ma serve anche rivolgersi a canali più istituzionali con una comunicazione adeguata, con il giusto accento e le giuste modalità. In questo caso, l’audience esterna sarà molto più ampia. Ci sono vari aspetti da modulare e integrare, serve quindi un disegno complessivo e una gestione adeguata, per evitare che la comunicazione riesca molto male.
A cura di:
Elena Vaciago, Research Manager, The Innovation Group
Riguarda l’intervento completo di Stefano Scoccianti, Enterprise Risk Manager, Gruppo Hera, Consigliere ANRA nel corso del Cybersecurity Summit 2023, lo scorso 8 e 9 marzo a Milano.
Leggi anche:
INGAGGIARE IL BOARD SUI TEMI DELLA CYBERSECURITY – 9 GIUGNO 2023