Il concetto del cyber risk non è nuovo. Da oltre un decennio, infatti, le aziende hanno capito di essere vulnerabili agli attacchi dei criminali del web. Ma non tutto è rimasto come allora? negli anni è cresciuto, in media, il valore del danno reputazionale che questi eventi arrecano. Si pensi agli attacchi recenti al colosso della consulenza Deloitte, con la compromissione delle e-mail dei clienti; al gigante dei trasporti Maersk, i cui sistemi IT sono stati messi in ginocchio dal malware NotPetya o, ancora, all'attacco perpetrato contro il nostro Ministero degli Esteri da Anonymous. Andando indietro nel tempo, risale al "lontano" 2014 il licenziamento del CEO di Target, il noto gigante della distribuzione organizzata "made in USA", dopo che gli hacker erano riusciti a entrare nei sistemi informativi dell'azienda venendo in possesso dei dati delle carte di credito di ben 110 milioni di clienti.

Alcune tendenze appaiono, oggi, particolarmente preoccupanti. Le violazioni sono diventate più frequenti e, troppo spesso, il tempo necessario per scoprirle si è allungato a settimane o, addirittura, mesi. Secondo l'ultimo Rapporto Clusit 2017, per esempio, il tempo medio necessario a un ente della PA italiana per scoprire una violazione subita è di 146 giorni (ovvero quasi 5 mesi!). Sotto attacco, in particolare, secondo il report, sarebbero Comuni e ospedali. Inoltre, ogni violazione ha conseguenze, a livello di immagine, sempre più nefaste per l'organizzazione che la subisce.

 

Perché aumentano gli attacchi cyber?

La crescita degli attacchi cyber è legato anche alla definitiva consacrazione di alcune tendenze tecnologiche in atto, che negli scorsi anni ha fortemente aumentato i pericoli per le aziende. Anzitutto la progressiva digitalizzazione (e la conseguente esposizione su Internet) di numerose operazioni di backend che richiedono una continua disponibilità online. A ruota, l'aumento della collaborazione spinta con aziende a monte e a valle della filiera produttiva, così come con i fornitori di servizi. Questa tendenza sposta all'esterno dell'infrastruttura IT aziendale il presidio dei dati riferiti, per esempio, a clienti e dipendenti. Inoltre il perimetro stesso delle organizzazioni si è ampliato negli ultimi anni, per effetto della progressiva decentralizzazione degli endpoint (i punti di accesso ai sistemi informativi interni, come PC desktop, notebook, tablet o smartphone) legata a fenomeni come lo smart working o le strategie BYOD (Bring Your Own Device). Aumenta, poi, in parallelo lo sforzo richiesto a CIO e CISO per essere conformi a un quadro normativo (nazionale, europeo, di settore) sempre più complicato, che richiede procedure di data protection più puntuali e gestite in tempo reale e che prevede sanzioni anche pesanti per chi non si adegua. Un esempio su tutti è il GDPR (General Data Protection Regulatory), che impone alle organizzazioni di adeguarsi ad alcuni dettami (privacy by design, individuazione della figura del Data Protection Officer, obbligo di comunicazione dei data breach) in tempi brevi, ovvero entro la scadenza del 28 maggio 2018.

Gestire i rischi cyber: prevenzione e reazione

La crisi economica che ha decurtato i budget ICT negli anni scorsi ha rallentato (e non di poco!) gli investimenti in servizi e tecnologie di protezione all'avanguardia, con la conseguenza che oggi la maggior parte delle aziende ha sistemi di protezione dai rischi cyber completamente inadeguati a fronteggiare minacce sempre più sofisticate e virulente. Occorre trovare nuovi modelli di gestione dei rischi informatici, che si concentrino sulla "prevenzione", ovvero sulla capacità di anticipare e limitare la portata degli attacchi, e sulla "reazione", con l'obiettivo di ridurre i tempi di risposta nel momento in cui l'organizzazione sia vittima, nonostante tutte le precauzioni prese, di un attacco. Ecco perché la sicurezza (e la protezione dal cyber crime in particolare) è oggi in cima all'agenda dei CdA e sono diverse le realtà che hanno deciso di assicurarsi contro i rischi cyber e implementare in azienda pratiche e metodologie di gestione analoghe a quelle utilizzate per cautelarsi contro i rischi operativi. Questo richiede di strutturare una serie di interventi mirati che, secondo gli esperti di The Boston Consulting Group (BCG), devono essere pensati per valutare alcuni aspetti chiave. L'esposizione dell'azienda al rischio cyber, anzitutto, attraverso la raccolta di analisi e dati storici e la loro proiezione sulle principali tendenze in atto. Ancora, l'implementazione di una gestione strutturata dei processi di rischio, attraverso l'adozione di tecnologie o servizi gestiti di intelligence informatica, per identificare i principali rischi, e correlare minacce e traffico "atipico". In aggiunta a questo, dovranno essere implementati controlli per rilevare in breve tempo e limitare la portata degli attacchi (e i danni che ne conseguono). Su tutto, poi, non va dimenticata la definizione di procedure chiare di incident management.

 

Gestire i rischi cyber: i riflessi organizzativi

In un'azienda che opera con questo tipo di approccio, è auspicabile l'ingresso nell'organigramma di un Chief Risk Officer (CRO), con il compito di valutare le strategie di contenimento dei rischi cyber e tradurle in pratica. Il CRO dovrà operare a stretto contatto con il Chief Information Security Officer (CISO), nel definire un approccio coerente su tutte le linee di difesa, promuovendo un coinvolgimento attivo del CdA. Ovviamente, i due manager dovranno promuovere lo sviluppo interno (o l'acquisizione dall'esterno) di competenze specifiche in ambito security, adeguate a fronteggiare minacce sempre più sofisticate. Un cambiamento di questo tipo potrà richiedere l'adozione di nuovi criteri di selezione e assunzione del personale o, in molti casi, l'esternalizzazione di attività puntuali legate alla prevenzione e/o alla gestione dei rischi cyber.

 

1 novembre 2017