Al giorno d’oggi la Cybersecurity non può più essere responsabilità solo dell’ICT. Per arrivare al coinvolgimento del top management, per avere il supporto di tutte le business unit, per farla diventare “parte integrante della cultura” dell’intera organizzazione, la Cybersecurity ha bisogno di un chiaro modello di Corporate Governance.
Sempre di più la capacità di gestire i rischi cyber con lo stesso livello di confidenza con cui sono gestiti tutti gli altri rischi dell’impresa, diventa oggi un vantaggio competitivo, un elemento differenziante per chi è in grado di comunicare ai propri stakeholder, ai clienti, al mercato, di avere adottato il miglior modello possibile di Cyber Risk management, in risposta alle sfide oggi derivanti dal cambiamento tecnologico (la digitalizzazione sempre più pervasiva, il cloud); dall’evoluzione del comportamento delle persone (mobile, social); dalla facilità di accesso e trasformazione di grandi quantità di informazioni (Big Data, AI).
Quale è allora il miglior modello di governance dei rischi cyber nel nuovo contesto digitale?
Una chiara posizione è quella presa dal gruppo di lavoro misto a livello europeo, costituito da Risk Manager afferenti all’Associazione FERMA (www.ferma.eu) e da Internal Auditor della ECIIA (www.eciia.eu) di 8 diversi paesi europei e di 6 settori economici (banca, trasporti, difesa, IT, alimentare e telecomunicazioni). Il risultato del lavoro congiunto è il Report che propone un modello ben preciso (in sintesi nella figura sotto) per organizzare internamente la gestione del rischio informatico, con l’obiettivo di aumentare la resilienza e l’efficienza delle aziende.
Il modello proposto parte da 8 principi generali di cyber governance, quelli proposti dal World Economic Forum con la pubblicazione di gennaio 2017 “Advancing Cyber Resilience: Principles and Tools for Boards”. Questi sono: la creazione di una cultura sul cyber risk investendo sulla formazione del personale, l’identificazione dei risk owners in modo che la responsabilità sia chiaramente riconducibile a una precisa funzione, l’attenzione alla compliance e al rispetto delle norme; l’importanza della cooperazione, sia tra le aziende sia tra il settore privato e le istituzioni pubbliche; i risk assessment per verificare il proprio stato di esposizione; le misure di sicurezza; l’innovazione; la preparazione, resilienza e capacità di preservare la continuità del business.
Quale modello per la corporate governance della cybersecurity?
Come riportato nel report FERMA – ECIIA, la governance viene strutturata su tre linee di difesa. La prima ha il compito di implementare quanto possibile per mitigare i rischi: dalle polizze assicurative alle misure tecniche, con la responsabilità sull’operatività quotidiana di prevenzione, controllo, risposta in caso di incidente: ne fanno parte il settore IT, le risorse umane, il Chief Data Officer e le Operations/Business Units. La seconda linea di difesa è responsabile dei processi che portano a monitorare e facilitare l’implementazione di buone pratiche in prima linea: è tipicamente il ruolo del CISO (Chief Information Security Officer), che definisce le polizze e gli standard tecnici che esse devono soddisfare; monitora inoltre l’operato della prima linea, e controlla che l’esposizione al rischio informatico sia in linea con il risk appetite dell’impresa. La terza e ultima linea è formata dall’Internal Audit, che supervisiona l’operato delle prime due linee e controlla la coerenza dell’intero processo di cyber risk governance, oltre a fornire un reporting periodico al Board.
Il Paper è stato discusso lo scorso 29 giugno a Bruxelles alla Conferenza congiunta FERMA/ ECIIA “At the junction of corporate governance and cyber security”.
Accedi al Cyber Risk Governance report di FERMA/ ECIIA
