Come evidenziano i risultati preliminari della “Cyber Risk Management 2021 Survey” di TIG (l’indagine completa sarà presentata nel corso del prossimo CYBERSECURITY SUMMIT 2021, previsto per il 9 marzo 2021 in Diretta Streaming), sempre più aziende considerano la Cybersecurity come un elemento abilitante il business, e soprattutto, i percorsi di Trasformazione Digitale. Se tradizionalmente la gestione dei rischi cyber era considerata un costo, la recente esperienza della pandemia e il ricorso generale al digitale per preservare la continuità del business, hanno portato in primo piano l’esigenza della sicurezza.
Di questi temi parleremo, durante il Cybersecurity Summit 2021, in una Roundtable dedicata, dal titolo: “RESILIENZA vs COMPLIANCE vs TRASFORMAZIONE DIGITALE vs TRUST: COME INVESTIRE IN CYBERSECURITY? …”.
In questa intervista con Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera, Speaker della Roundtable del Summit, anticipiamo alcuni dei temi dell’incontro.
TIG. Approccio Risk Based o Compliance Based? Qual è il suo punto di vista sulle priorità nella gestione del Cyber Risk?
Stefano Scoccianti. Siamo oggi in un momento in cui la compliance, se adeguatamente orientata e gestita, può diventare elemento di resilienza. L’arrivo della Direttiva NIS, del Perimetro Nazionale di Sicurezza Cibernetica, evidenziano come è la stessa compliance a richiedere alle aziende di strutturarsi in modo che le proprie infrastrutture digitali siano sempre più resilienti. La compliance ha il ruolo di facilitare questo percorso, di aiutare le aziende a valutare se le misure e i processi adottati sono o no adeguati, ovviamente nella misura in cui essa è in grado di offrire un framework efficace all’interno del quale le aziende operano poi scelte specifiche e di non sovraccaricare gli attori con oneri burocratico-formali.
TIG. Questo momento può quindi essere l’occasione per migliorare nella gestione dei rischi cyber?
Stefano Scoccianti. C’è un tema molto importante che può essere affrontato ora, ed è – oltre al tema della misurazione delle performance, che è fondamentale per orientare le scelte e massimizzare, in termini di sicurezza, il ritorno sugli investimenti – quello di natura organizzativa. Ad esempio, gli aspetti relativi ai ruoli e alle collocazioni delle strutture deputate da un lato alla gestione tecnologica della sicurezza, dall’altro lato, alla valutazione dei rischi o alla compliance. Di particolare rilevanza sono le modalità di gestione dei processi afferenti alla gestione dei rischi cyber, lo svolgimento e integrazione delle rispettive attività con l’obiettivo di massimizzare lo spettro di copertura dei rischi e dei vari ambiti aziendali.
Con riferimento poi al tema della Resilienza, la vedrei in una doppia prospettiva. Da un lato abbiamo la Resilienza reattiva: se non sono in grado di reagire prontamente, c’è un problema. Intorno a questi aspetti lavorano strumenti e attività oggi a crescente diffusione in ambito aziendale, ad esempio il SOC, il security operation center dell’azienda o i molteplici tools che consentono un intervento tempestivo in caso di evento volto a circoscrivere gli impatti. Dall’altro lato però, deve esserci una Resilienza “adattiva”, che punta lo sguardo lontano, sia nel tempo che nello spazio dei domini di rilevanza aziendale, e riguarda la capacità dell’azienda di pianificare le infrastrutture, di strutturare in modo adeguato processi, attività, contratti per la supply chain e il cloud, identificando anche un appropriato design, ben consapevoli che il mondo dei rischi cyber e delle tecnologie conosce una tale velocità di evoluzione da rendere non semplice una visione di lungo termine.
In questo percorso evolutivo si innesta il discorso degli investimenti in cybersecurity, perché la scelta non è tanto quella di inseguire le minacce, quanto piuttosto di avere un piano per il futuro. Bisogna puntare ad avere una visione per infrastrutture, organizzazione, processi e contratti, un disegno complessivo che traguardi un orizzonte di più ampio respiro.
TIG. Quali sono quindi gli investimenti da fare per una Resilienza adattiva?
Stefano Scoccianti. Faccio un esempio: già diversi anni fa, alcune aziende hanno investito fortemente nello smart working. Non vi era la consapevolezza del rischio pandemico, a parte qualche evidenza di alto livello quale ad esempio l’annuale Global Risk Report del World Economic Forum. Pur non pensando esplicitamente ad una pandemia, la soluzione che hanno predisposto ha assicurato capacità operativa e maggiore resilienza aziendale anche verso ulteriori fattori di rischio, garantendo al contempo un adeguato livello di sicurezza che si è avuto il tempo di predisporre. Non è stata per costoro una resilienza reattiva ma adattiva, da cui ha tratto beneficio l’intera l’organizzazione aziendale che si avvia a modificare strutturalmente alcune delle modalità di interazione fra singoli: vi è stato cioè un processo di adeguamento preventivo. Più in generale, il tema del security by design non deve limitarsi ad un ambito tecnico-specialistico ma investire domini di tipo soft, organizzativi, di processo, formativi, legali.
Un altro esempio di un investimento importante per il futuro è quello sul fattore umano: sensibilizzare i dipendenti, ad esempio con attività di Ethical Phishing, con un addestramento che sfrutti anche modalità di gamification, aiuta a costruire una resilienza adattiva. Se si innesca una forma mentis aperta alla cultura del rischio, cambiando la mentalità tradizionale delle persone, sarà più facile ottenere nuovi vantaggi da una diversa lettura del reale. In prospettiva, le capacità umane, oltre a quelle tecnologiche, aiutano a contenere anche le nuove forme assunte dai rischi cyber.
