L’importanza della Cybersecurity nei requisiti ESG

L’importanza della Cybersecurity nei requisiti ESG

L’importanza della Cybersecurity nei requisiti ESG

I mercati finanziari, gli investitori, i clienti, guardano oggi con favore le aziende che rispettano i criteri ESG, un acronimo in gran voga che sta per “Environmental, Social, Governance”. Nati nel 2005 (dai principi per gli investimenti responsabili dell’ONU), i criteri ESG sono al centro del dibattito pubblico e si prevede che in futuro orienteranno sempre più le scelte di sviluppo mondiale, arrivando a ogni singola azienda per favorire ovunque uno sviluppo sostenibile ed etico.

ESG, il valore dei criteri sull’impatto ambientale, sociale e sulla corporate governance

I benefici per aziende socialmente virtuose e Green cominciano ad avere un peso importante: permettono infatti di

  • Migliorare la valutazione dell’azienda, sia nei confronti di possibili consumatori/clienti, sia verso gli investitori. I mercati finanziari stanno sempre più premiando investimenti sostenibili.
  • La trasparenza in tema ESG aiuta l’azienda a migliorare la propria reputazione, e ne sostiene la valutazione nel tempo, soprattutto in settori in cui sta diventando un obbligo divulgare al mercato informazioni ESG.
  • Infine, i criteri ESG vanno nel tempo a diventare parte integrande della strategia a lungo termine del business, della visione e dei piani del management per il futuro.

Una valutazione ESG è tipicamente una misura di quanto l’impresa è impegnata sul fronte ambientale e sociale, basata sulla collezione e analisi di una serie di dati secondo metriche specifiche. Per quanto il “marchio ESG” sia oggi molto diffuso, va detto che non esistendo regole tecniche per calcolare queste valutazioni in modo unitario, tanto che ci sono al momento almeno 400 metodi diversi per questo calcolo. Ciò nonostante, è sicuro che molti investitori, fondi, banche, stanno premiando le società con uno “score ESG”. Pur trattandosi di asset intangibili, le valutazioni finanziarie premiano le aziende ESG, e quindi queste strategie stanno diventando una pratica diffusa e molto tangibile per ottenere finanziamenti. Secondo dati del 2020, 1 dollaro ogni 4 è stato investito negli USA in aziende che soddisfacevano criteri ESG, mentre i fondi sostenibili hanno raccolto investimenti per 51 miliardi di dollari.

Qual è il ruolo dell’IT e della cybersecurity nel calcolo delle performance ESG

Se andiamo ad analizzare il significato dei singoli criteri ESG, sarà presto evidente come IT e Cybersecurity possano giocare un ruolo importante nel conseguimento di questi obiettivi.

Criterio E (Environmental):

Il primo aspetto che viene considerato nei report ESG è l’approccio alla sostenibilità dell’azienda. Si tratta qui di analizzare le performance in aspetti come gli obiettivi di decarbonizzazione e riduzione delle emissioni a effetto serra (in risposta al Climate Change), la gestione dei rifiuti e il riciclo, l’abbattimento di inquinamento, la gestione di risorse naturali come l’acqua.

L’IT è a sua volta coinvolta in tema di impatto ambientale: i datacenter sono oggi responsabili del 2% delle emissioni globali di CO2 (come l’industria dei trasporti aerei), una quota che potrebbe arrivare al 3,2% nel 2025, al 14% nel 2040. La sfida Green nel mondo delle infrastrutture IT richiede varie risposte, sul fronte di una maggiore efficienza energetica, la riduzione di eWaste tramite metodi per il riciclaggio dei componenti elettronici, il passaggio a energie rinnovabili nei datacenter, uno sviluppo futuro del Digitale sempre più allineato con il tema della sostenibilità ambientale.

ESG

Criterio S (Social):

I criteri sociali analizzano il modo in cui l’impresa si preoccupa per le persone, siano esse i dipendenti, i clienti, i fornitori o la società in generale. In questo campo ricadono quindi aspetti come la gestione del capitale umano, le pari opportunità, le condizioni sul lavoro, l’attenzione alla sicurezza delle persone, la produzione di prodotti che non siano dannosi per la salute. Più in generale, nell’ambito di obiettivi sociali rientrano quelli del miglioramento delle condizioni di vita per le persone svantaggiate, l’inclusione, l’equità sociale.

In questo criterio rientrano oggi a pieno diritto la privacy e la sicurezza “digitale” delle persone, siano esse dipendenti, clienti o altri. Nel passato, la privacy non era considerata tra i criteri ESG, ma oggi, dopo i numerosi scandali (vedi il caso di Facebook-Cambridge Analytica) e dopo i data breach che hanno colpito moltissime grandi aziende, esponendo informazioni personali per centinaia di milioni di persone, il tema è cresciuto di importanza. Infine, con la pandemia e la digitalizzazione sempre più ampia in moltissimi campi, oltre che l’arrivo di applicazioni di intelligenza artificiale su larga scala, ci si comincia a interrogare su quali debbano essere i criteri minimi di privacy e sicurezza perché siano preservati principi etici e valori sociali. Sempre di più, le grandi aziende sono considerate responsabili di un trattamento consono dei dati che gli vengono affidati dai loro clienti o da altre persone, e non è soltanto questione di multe salate in caso di data breach: sicurezza e privacy sono oramai parte integrante dei criteri ESG.

Criteri G (Governance):

La Corporate Governance è il modo in cui un’azienda è amministrata, le politiche, procedure e strutture che si è data: nei criteri “G” rientra quindi la valutazione di aspetti come responsabilità e remunerazione dei dirigenti, pratiche fiscali, prevenzione di corruzione e abuso d’ufficio, gestione della diversità nel Board.

In futuro, anche un corretto Cyber Risk Management sarà parte della valutazione del criterio “G”, perché saranno solo le aziende ad essersi date una corretta organizzazione, processi e metodi per la mitigazione dei rischi informatici a poter dire di aver assicurato una maggiore sostenibilità, resilienza, e di conseguenza una migliore reputazione futura dell’azienda nel suo mercato.

 

Approfondiamo questi temi con Andrea Chittaro, Presidente, AIPSA, Senior Vice President Global Security & Cyber Defence Department, Snam che di “ruolo della cybersecurity nelle valutazioni ESG” parlerà intervenendo nel corso del “CYBERSECURITY SUMMIT 2022. La Resilienza nell’Era dell’Incertezza”, evento organizzato da The Innovation Group il prossimo 9 e 10 marzo a Milano.

Andea Chittaro

TIG. Perché è importante che le aziende si dotino di una visione più sostenibile ed etica, nelle strategie IT e nel disegno di un corretto approccio alla sicurezza informatica?

Andrea Chittaro. Perché è il modo migliore per creare un dialogo osmotico e virtuoso tra i principi generali alla base dei programmi ESG delle aziende e il complesso universo della cybersecurity di oggi.

Ispirarsi a temi di etica e sostenibilità nel disegno di qualsiasi strategia o processo di sicurezza significa rafforzarne il valore intrinseco e renderlo protagonista nella catena di creazione di valore, non solo da un punto di vista reputazionale e del bene intangibile. Le politiche ESG sono diventate una priorità a livello globale per le aziende. Le più virtuose tra queste – è il caso di Snam – le considerano parte integrante delle proprie strategie di sviluppo.

Considerando la pervasività delle tecnologie nella nostra vita è impensabile che la cybersecurity non venga improntata proprio al rispetto delle aspettative in materia di governance e sostenibilità richieste a gran voce da tutti gli stakeholder.

 TIG. Quando è diffusa oggi una cultura che veda IT e Cybersecurity come pilastri fondanti una corretta strategia ESG? Come diffondere una maggiore conoscenza su questi temi?

Andrea Chittaro. Come tutte le iniziative di security, anche quelle a supporto delle strategie ESG devono porsi come complementari ma abilitanti rispetto agli obiettivi generali. Sono una cultura ed una consapevolezza che vanno crescendo anche rispetto al dominio cyber ma sono figlie dell’imprinting che le politiche delle singole aziende indirizzano. Ed hanno anche molto a che vedere con la sensibilità che, sul punto, possiedono i manager.

In Snam stiamo lavorando alacremente sul binomio cybersecurity-sostenibilità, agendo su due fronti: quello dei dipendenti del Gruppo e quello dei fornitori e partner di business.

Ai primi garantiamo canali ed attività di sensibilizzazione costanti attraverso un approccio metodologico blended che si propone di fornire loro strumenti di comprensione ed autodifesa dalle minacce cyber utilizzabili anche nella vita privata e condivisibili in famiglia e più in generale nella sfera privata. Ai fornitori e partner di business chiediamo invece di impegnarsi con noi nell’accrescimento dei livelli di difesa cyber, mettendo anche a disposizione le nostre competenze interne. Nell’uno come nell’altro caso l’obiettivo è alimentare una spirale positiva di accrescimento culturale che possa poi tradursi in benefici concreti e tangibili.

TIG. Quali raccomandazioni per incorporare la Cybersecurity nei criteri ESG?

Andrea Chittaro. Innanzitutto, quello di lavorare per farne percepire il valore concreto. Oltre ad un dialogo costante con i Board, i responsabili cyber devono offrire il loro contributo anche nelle attività di Corporate Strategy. Nei bilanci di sostenibilità la dimensione cyber deve essere adeguatamente rappresentata e, parimenti, le informative non finanziarie devono essere viste come uno strumento di condivisione dello sforzo profuso.

Guardando poi all’esterno dell’azienda è auspicabile un accrescimento della comprensione verticale del mondo della cybersecurity da parte delle Agenzie e degli Istituti che a vario titolo si occupano di valutare la postura ESG delle singole aziende. Come Direzione Security di Snam abbiamo avuto l’opportunità nel recente passato di dialogare con alcune di queste realtà ed abbiamo rilevato una totale apertura in tal senso.

A cura di:

Elena Vaciago, @evaciago

————–

Torna a Milano la decima edizione del CYBERSECURITY SUMMIT di The Innovation Group, il prossimo 9 e 10 marzo 2022, il più importante appuntamento annuale dedicato ai Leader e ai professionisti della sicurezza. Un momento unico di scambio, incontro, condivisione sulle tendenze e sulle tecnologie innovative per far fronte al crescente volume di attacchi cyber.

Basato sull’Agenda 2022 dei Decision Maker e dei professionisti della cybersecurity, il CYBERSECURITY SUMMIT 2022, edizione milanese, affronterà quest’anno numerosi temi critici. Consulta l’Agenda online!

Cybersecurity