Da alcuni anni la SEC USA insiste sul fatto che i Consigli di amministrazione dovrebbero dotarsi di competenze di cybersecurity: lo scorso marzo ha anche raccomandato di includere i CISO, Chief Information Security Officer (i responsabili della cybersecurity) nel Board. Il tema diventa sempre più pressante: il rischio cyber è potenzialmente in grado di mettere in crisi la stessa sopravvivenza delle imprese, i vertici devono considerarlo ma non sempre hanno la possibilità di comprenderlo appieno. Cosa serve allora per sensibilizzare al meglio il management aziendale, e come stanno rispondendo i CISO italiani a questa sfida?
Il tema è stato dibattuto in occasione del Cybersecurity Summit 2023 di The Innovation Group, lo scorso 10 e 11 maggio a Roma grazie alla partecipazione come Panelist di CISO di primarie aziende italiane. Dalla discussione è emersa l’urgenza di modificare il modo di comunicare i rischi cyber ai vertici di organizzazioni, infrastrutture critiche, pubbliche amministrazioni, perché si tratta oggi di investimenti non procrastinabili, che hanno ricadute immediate sulla reputazione e sulla stessa sostenibilità del business.
“La SEC USA non è il solo ente a raccomandare un maggiore commitment del Board – ha detto Yuri Rassega, Group CISO di ENEL – Le agenzie che fanno valutazione di rating verificano costantemente la presenza nel Board di un consigliere con competenze cyber. Oggi è fondamentale che nel Board, che è composto dal vertice dell’azienda e da consiglieri con un ruolo di controllo, ci sia una forte sensibilità verso una componente di rischio vitale. Per capire quanto sia diventato rilevante questo rischio, basti considerare che, se si cerca di tradurlo in numeri, va ben oltre quello della business interruption. Se ad esempio una media azienda industriale è attaccata, e non se ne accorge, non ferma quindi la produzione, possono uscire sul mercato anche per lunghi periodi lotti fuori specifica. Quando questi prodotti torneranno indietro, l’azienda potrebbe non sopravvivere al danno. Oggi il Board deve capire che non c’è solo il problema dello stop causato da un ransomware: in ambito cyber, ci sono danni non osservati, come quello dell’esfiltrazione di intellectual property, linfa vitale per il futuro dell’impresa. Per mantenere un livello di dialogo costante con il Board e verificare che tutte le azioni siano calate a terra, serve un responsabile con queste capacità: è una maturità che ancora oggi non tutti hanno e che va raggiunta velocemente”.
Come comunicare in modo ottimale al Board e alle prime linee aziendali per aumentarne la sensibilità
Uno sforzo richiesto a tutti sarebbe quello di cambiare il modo di comunicare la cybersecurity al Board: un eccessivo tecnicismo non è apprezzato dal vertice, che ha obiettivi diversi, di business, per cui è fondamentale parlare lo stesso linguaggio. “La prima cosa che abbiamo fatto – ha detto Nicola Sotira, Responsabile CERT di Poste Italiane – è stata quella di lanciare un ponte per creare un dialogo con i dipendenti, per farli diventare degli alleati della security. Questo è un obiettivo raggiungibile: i dipendenti possono bloccare sul nascere un inizio di truffa. Poi abbiamo cambiato la comunicazione e l’approccio con il management: riteniamo che non sia molto utile un report che informa su cosa è successo negli ultimi 3 mesi, serve invece dire cosa sta succedendo oggi, con una visualizzazione tramite dashboard aperta a tutti e con indicazione di tendenze che nascono da un confronto immediato. Questo tipo di informazione aumenta molto il livello di ingaggio del management. Un altro aspetto importante è togliersi la “stella da sceriffo” e sedersi con il business condividendone il linguaggio. Bisogna chiedersi di cosa ha bisogno il business, come aiutarlo e facilitarlo. Poiché misure più stringenti vanno a svantaggio della user experience, la nostra scelta è stata quella di incrementare molto il monitoraggio: la detection aiuta a rilevare eventuali minacce e ad essere molto veloci nella risposta. Infine, ma non meno importanti, le esercitazioni: servono a testare le misure, a mettersi in gioco, e aumentano molto la visibilità della cybersecurity nell’organizzazione”.
“Per sensibilizzare i vertici serve raccontare il percorso che si sta facendo nella cybersecurity nel modo più semplice possibile – ha detto Antonio Fumagalli, CIO e CISO, A.S.S.T. Papa Giovanni XXIII di Bergamo -. Da noi la sicurezza informatica è stata sviluppata in molti anni: bisogna cercare di raccontarlo in modo semplice, facendo esempi, portando dati, soprattutto, cercando di far capire l’importanza degli investimenti in questo ambito. Nel mio ruolo, che è sia di CIO sia di CISO, ho sempre cercato di dividere in due capitoli quello che è l’informatica classica rispetto a quello che è l’informatica per la sicurezza. La cybersecurity ha un costo, quindi bisogna spiegare bene perché si investono queste risorse. Ad esempio, spiegando che se qualcosa non va, il danno d’immagine è elevatissimo. Ultimamente stiamo assistendo a molti attacchi alla sanità, con notizie di stampa e avvisi che arrivano al nostro ospedale da altri direttori sanitari: questo sta contribuendo ad elevare la sensibilità sulla criticità del tema”.
Il valore del Trust Digitale
Un concetto sempre più importante, perché molto vicino alla comprensione, anche da parte del Board, del reale valore degli investimenti in cybersecurity, è quello della creazione di Trust Digitale: ma di cosa parliamo? Qual è l’accezione corretta del termine? Il significato che ha assunto negli ultimi anni il tema del Trust Digitale è stato spiegato chiaramente da Massimo Cottafavi, Head of Cyber Security & Resilience di SNAM. “Sappiamo che il mondo sta andando rapidamente verso una digitalizzazione estesa, e che questo porta con sé rischi enormi – ha detto Massimo Cottafavi -. Si investono miliardi, si cambiano interi processi lavorativi, modificando modus operandi consolidati in decenni: è molto importante quindi che la digitalizzazione non imbocchi strade sbagliate. Il Trust Digitale si basa oggi su una piena collaborazione di tutta la filiera degli stakeholder: per garantirlo, serve la cybersecurity, che è a tutti gli effetti un abilitatore del business. In passato si pensava di poter fermare il nuovo che avanza: pensiamo a come alcuni osteggiavano il cloud, il BYOD. Oggi nessuno pensa più che l’innovazione tecnologica si possa bloccare”.
Quale deve essere quindi il ruolo del CISO? considerando anche la proliferazione di norme che sempre di più caratterizza il mondo della cybersecurity? “L’autoreferenzialità del CISO va abbandonata – ha aggiunto Massimo Cottafavi -: oggi il responsabile della cybersecurity deve comprendere il business dell’azienda in cui lavora, cercare di vedere il mondo con gli occhi del cliente interno. E deve avere un approccio onnicomprensivo, olistico: con una società iperconnessa e iper-digitalizzata, è impensabile approcciare la sicurezza per silos”.
Infatti, tutti noi faremo sempre più parte di questo “continuum digitale”. Bisogna tener conto della dimensione complessiva del digitale, questo ci fa capire come la gestione di un eventuale problema possa diventare ingestibile, dal punto di vista dei tempi di propagazione e di reazione necessari.
Le sfide della compliance per la cybersecurity
Per quanto riguarda poi la necessità per le aziende di considerare un quadro normativo sempre più ampio in ambito cybersecurity, il tema apre sia opportunità, sia anche sfide. “Lo sforzo normativo è oggi importantissimo – ha detto Massimo Cottafavi -. Va considerato che le norme hanno due benefici sostanziali: da un lato permettono di indirizzare i temi puntualmente e sono un faro verso cui orientarsi, per le aziende di tutte le dimensioni. Dall’altro lato, aiutano ad omogeneizzare criteri e logiche. Si parla tanto della necessità di mettere in sicurezza interi ecosistemi: in questo senso, una norma diffusa e condivisa è elemento sostanziale. La sfida però è quella di non affidarsi troppo alle norme, c’è il rischio di sovrapporre la security con la compliance. In aziende più strutturate e con complessità maggiori sul fronte cyber, è necessario guardare oltre il dettato normativo”.
Nel momento storico in cui viviamo c’è una sorta di bulimia normativa; quindi, questo porta a un extra effort per le aziende, non sempre giustificabile, in termini di incremento dei livelli di sicurezza. “Parlando di compliance c’è un tema importante – ha commentato Yuri Rassega -. Non bisogna bloccare il procurement altrimenti si blocca la digitalizzazione del business, non si riesce neanche ad aggiornare i sistemi con la velocità con cui dovremmo”. “Compliance e sicurezza non sono la stessa cosa – ha detto Nicola Sotira -. La compliance è una buona leva, ha un suo peso, ci sono obblighi e sanzioni in cui si può incappare. Deve però essere fattore abilitante, quindi la domanda che in realtà dobbiamo porci è: come posso digitalizzare una norma? in modo che diventi semplice, automatica, integrata nei processi, e non l’ennesimo overload”.
Elevare la cultura di cybersecurity nel vertice e nell’organizzazione di enti pubblici e aziende private
“Il Board inizia oggi ad avere sensibilità sul tema cybersecurity, ma questa non è ancora sufficiente, perché il CISO non è nel CDA, non riesce spesso a portare la propria voce ai livelli più alti – ha commentato Riccardo Barrile, Head of Cyber Security di RFI -. Servirebbero momenti formativi anche per il Board, che non è un “addetto ai lavori”, momenti con le istituzioni, simulazioni che diventino occasioni di valutazione di come il CDA potrebbe gestire un’eventuale crisi. È molto importante quindi elevare la cultura del Board e sensibilizzarlo: oggi la cybersecurity non può più essere considerata un costo, un appesantimento del business”.
Secondo Vittorio Baiocco, Responsabile Sicurezza ICT e Team SOC di Inail, la formazione dei dipendenti è una parte della prevenzione, che nella cybersecurity ha un compito molto importante. “Una formazione che non va fatta solo con lo staff IT, ma con tutti, compreso il Board – ha detto Vittorio Baiocco -. Cosa che in altri campi già avviene: servono processi ben definiti, da far evolvere nel tempo, perché cambiano continuamente la tecnologia e le modalità di attacco”.
Il settore pubblico è oggi chiamato a trasformarsi rapidamente in chiave digitale e a creare valore per i cittadini. La sicurezza deve accompagnare questo cambiamento, ma di quali leve dispone il CISO? Ne ha parlato Nicla Diomede, Direttore Dipartimento Cybersecurity e Sicurezza di Roma Capitale. “Non tutte le PA hanno oggi strutture dedicate alla cybersecurity, servirebbe una forte maturazione su questi temi. Il ruolo del CISO va costruito nel tempo, bisogna superare la visione della sicurezza come vincolo, e far capire che, pur venendo da un mondo tecnico, si può comunicare il valore di questi investimenti. La PA ha come propria mission creare valore per il pubblico, l’implementazione di politiche che consentono di aumentare il benessere di cittadini e imprese è in linea con gli obiettivi di trasformazione digitale della PA. Nel dare nuovi servizi ai cittadini, questi devono essere intrinsecamente sicuri: far comprendere questo elemento è importante”. Il CISO ha una serie di leve nella parte della comunicazione: deve far percepire al Board che non è solo una funzione tecnica, deve allinearsi con il business, mettersi accanto, comunicare raccomandazioni, far leva sugli alleati lato business, essere propositivo, riuscire a mediare, individuare le chiavi giuste per farsi apprezzare.
“Un percorso di formazione corretto è fondamentale – ha commentato David Gubiani, Regional Director SE Southern Europe, Check Point Software Technologies –. Permette di preparare le persone all’inizio della loro carriera in azienda: nel momento dell’onboarding, anche con mail simulate di phishing, ripetute nel tempo, per preparare le persone a un corretto rapporto con l’informatica”. Compito dei vendor è quello di diffondere il più possibile questi temi, anche nelle scuole e nelle università, dove gli studenti di oggi sono i dipendenti di domani.
Quale linguaggio e quali modelli e metriche utilizzare nel comunicare con il Board?
Ne ha parlato Marcello Fausti, Responsabile Cybersecurity di Italiaonline. “Le aziende devono proteggere il business e i propri ricavi, 300 anni di economia liberale hanno creato una cultura e una regolamentazione che è di aiuto – ha detto Marcello Fausti -. Un’azienda resiliente si fa seguendo tre passaggi: innanzi tutto conoscere bene sé stessi, anche nel minimo dettaglio. Quindi, conoscere le minacce, e questo è un problema enorme, tuttora aperto. Infine, mettere insieme le due cose per conoscere i propri rischi: quindi, costruire scenari, pochi, molto selezionati, molto attinenti. Questi scenari devono essere il principale strumento di comunicazione nei confronti del Board. Noi viviamo in un mondo enormente complesso, bisogna rendere il tutto più semplice per poter comunicare questi temi al Board”.
Secondo Fausti, sottoponendo al Board questi rischi li obblighiamo a prendere posizione: nessuno si rifiuta più di intervenire, potrebbe essere perseguibile in sede civile. Dobbiamo scegliere pochi scenari di rischio e su questi essere molto convincenti: c’è un problema di linguaggio, che però si acquisisce, ad esempio facendo esperienza in più aziende. “Bisogna parlare semplice, avere un linguaggio vicino al business, e quindi quantificare economicamente gli scenari – ha concluso Marcello Fausti -. Il CDA deve sapere qual è l’impatto economico di questa valutazione di rischio: bisogna quindi provare a portare a terra un numero, come percentuale su ricavi e su Ebitda”.
A cura di:
Elena Vaciago, Research Manager, The Innovation Group
