Contatti
Opinioni

Come proteggersi dal cyber risk

, di Gianluca Salviotti - associate professor of practice SDA Bocconi School of Management
Sono tre le dimensioni di cui tenere conto quando si valuta la gestione del rischio: normativa, dipendenza dal digitale, risorse che si possono mettere in campo. Per questo ogni azienda ha una propria chiave e strategia

Il cyber risk è uno dei principali rischi nell'attuale scenario economico. Nella sua classifica annuale Global risk report 2018, il World economic forum posiziona il rischio di attacchi cyber globali al terzo posto in termini di probabilità di accadimento per l'anno in corso, in fortissima crescita rispetto al 2017. A questo si aggiunge, al quarto posto, il rischio di furto/perdita massiva di dati, collegato al precedente e in ascesa. Da un'analisi sui principali rischi operativi per il settore finanziario di Risk.net, inoltre, il rischio di «IT disruption» e quello di «data compromise» si posizionano al primo e secondo posto. Per quanto riguarda il nostro paese, il tema del cyber risk si sta ponendo sempre più come un tema di rilevanza nazionale e governativa, tanto da occupare una sezione dedicata della Relazione sulla politica dell'Informazione per la sicurezza. Dal documento emerge uno sforzo consistente, frutto della collaborazione fra istituzioni pubbliche e private, di tutela delle infrastrutture critiche e del know how tecnologico del paese. L'azione di intelligence ha consentito di rilevare la presenza di vulnerabilità nei sistemi informativi di rilevanti realtà nazionali, suscettibili di esporle ad azioni di spionaggio o di sabotaggio. Ciononostante, gli incidenti rilevati nel 2017 sono aumentati rispetto a quelli registrati nel 2016, con l'unica eccezione del contesto bancario (-11%). Uno dei settori che ha visto l'aumento più consistente di attacchi è stato quello farmaceutico (+10%), obiettivo di attacchi di natura attivista. Seguono le aziende utility (+4%) e il mondo della difesa (+1%). Da evidenziare anche il ritorno di attacchi contro i settori delle telecomunicazioni, dei trasporti e della grande distribuzione organizzata (3%).

I governi, le istituzioni, le singole aziende devono oggi fronteggiare in modo concreto il rischio cyber. Il concetto di concretezza richiama quello di coerenza. In altre parole, l'intensità di sforzo di gestione del rischio informatico deve necessariamente allinearsi lungo tre dimensioni: innanzitutto, la conformità rispetto a normative, generali o settoriali, che impongono procedure e strumenti di cyber risk management; secondo, il livello di dipendenza dell'organizzazione dall'utilizzo di risorse digitali; terzo, le risorse effettivamente disponibili per garantirsi un livello di protezione in linea con la propensione al rischio da parte di chi ha in mano le redini del governo aziendale.
L'analisi congiunta di queste dimensioni può rappresentare un utile esercizio ai fini della scelta del miglior approccio alla gestione del cyber risk. Proviamo a svolgere il ragionamento su due situazioni agli estremi.
Da un lato quella di una realtà che opera in un contesto soggetto a forte regolamentazione rispetto alla gestione dei rischi IT, fortemente dipendente da processi digitali e con risorse significative per bilanciare l'esposizione al rischio informatico con la propensione al rischio espressa dagli organi di governo aziendali. Si pensi per esempio a una banca. In questo caso, senza dubbio, l'approccio raccomandabile (nel caso specifico anche obbligato) è quello da manuale di risk management. Tuttavia, anche in un caso come questo rimangono fronti aperti, come il generalizzato deficit di attenzione nei confronti dell'IT da parte degli organi di governo aziendale, dimostrato da una ricerca di Harvard.

Dall'altro, quella di una realtà aziendale che opera in un contesto non soggetto a regolamentazioni specifiche, poco dipendente dall'informatica e con scarse risorse a disposizione per garantire ai portatori di interesse un adeguato livello di protezione dal cyber risk. Si pensi a una piccola azienda manifatturiera a proprietà familiare. Come gestire il rischio proveniente dal cyberspazio? Un aiuto arriva oggi dal mondo assicurativo: esistono polizze sviluppate per attutire gli impatti economici collegati al fermo dell'attività aziendale per tot giorni, così come per risarcire eventuali danni di natura amministrativa o legale.
Al di fuori delle situazioni estreme, tuttavia, non esiste un approccio univoco raccomandabile. Una volta, a un convegno, qualcuno disse «risk, like beauty, is in the eye of the beholder»: ogni azienda deve sviluppare un proprio approccio alla gestione del rischio, collegato al livello di tolleranza che gli imprenditori o gli organi di governo sono disposti ad assumere nel perseguimento dei loro obiettivi.

Opinioni