La Cybersecurity non è ancora strategica
“C’è un tema molto serio, non solo italiano, di concezione della cybersecurity come elemento marginale e non centrale nelle strategie aziendali” – dice Miserandino. Questa consapevolezza deriva dalla Global Information Security Survey 2020 che EY ha condotto presso circa 1300 Chief Information Security Officer (Ciso) di aziende di medie e grandi dimensioni (con fatturato sopra il miliardo) in tutto il mondo e rappresentativi di ogni settore merceologico. “In molte organizzazioni non si adotta un approccio Security by Design, per cui la cybersecurity è una considerazione centrale sin dall’inizio di ogni nuovo progetto, ma la funzione Security si ritrova costantemente ad adeguare a progetto avviato – e meno ad anticipare – la protezione, che spesso porterà a soluzioni imperfette e costose o soluzioni alternative poco pratiche”, continua Miserandino.
Ed è dunque il momento di cambiare approccio, andando oltre il ruolo difensivo e reattivo che funzionava in un mondo prevalentemente analogico e prima che le minacce informatiche avessero un ruolo così pervasivo negli ecosistemi. “La sicurezza deve essere parte integrante sin dall’inizio dell’agenda della sicurezza nei programmi di trasformazione digitale attraverso le necessarie valutazioni dei rischi end-to-end sia a livello tecnologico che dei nuovi processi operativi”, spiega Miserandino.
Il 60% delle imprese ha avuto un incidente Itc negli ultimi 12 mesi
Ovviamente perché questo si possa realizzare c’è da fare un lavoro importante alla base, una rivoluzione copernicana da attuare. “Il 60% delle organizzazioni ha affrontato un incidente materiale o significativo negli ultimi 12 mesi – dice Miserandino- Circa un sesto di questi attacchi proveniva da “attivisti informatici” (cioè attivisti tecnologici, politici e sociali), il secondo da gruppi della criminalità organizzata. Ma solo il 10% delle organizzazioni afferma di essere in grado di quantificare l’efficacia delle proprie misure di sicurezza informatica in termini finanziari. E appena il 43% delle organizzazioni afferma che la sicurezza informatica sia coinvolta fin dalla fase di pianificazione di ogni iniziativa aziendale”. D’altronde secondo la survey di EY il 72% dei rispondenti affermano che il rapporto tra sicurezza informatica e marketing è nel migliore dei casi neutro, diffidente o inesistente; e dati simili si riscontrano per tutte le funzioni aziendali: il team di ricerca e sviluppo (54%); le linee di business (51%) e la finanza (56%) da cui dipende peraltro l’assegnazione del budget. L’EY Global Board Risk Survey rivela che solo il 20% dei membri del cda è fiducioso che le misure di mitigazione possano proteggere l’organizzazione dai principali attacchi informatici. Tuttavia, il 32% delle organizzazioni non pianifica ancora la sicurezza informatica come punto dell’ordine del giorno del consiglio di amministrazione.
L’occasione per rendere le strutture inattaccabili
E d’altronde sei organizzazioni su 10 affermano di non essere in grado di quantificare l’efficacia della spesa per la sicurezza informatica ai propri consigli di amministrazione. “Il punto è che questo è il momento di sfruttare l’occasione per Ciso, Cda e manager C-level di lavorare insieme per riposizionare la funzione di sicurezza informatica, in modo da renderla fattore chiave del cambiamento, consentendo la trasformazione che devono mettere in atto per rimanere competitive” afferma Miserandino.
Una regolamentazione come quella proposta in sede UE può essere di grande supporto nel definire priorità e strategie. L’impianto DORA fa parte del cosiddetto “pacchetto di finanza digitale”, che mira a sostenere il potenziale del fintech e allo stesso tempo mitigarne i rischi, stabilendo gli standard della resilienza operativa digitale nel settore finanziario con la proposta di cui parliamo.
La resilienza operativa
La resilienza operativa non è un tema nuovo, ma un’urgenza sorta nel 2008 con la crisi dei subprime. Ma 13 anni fa la digitalizzazione non era così pervasiva quindi produsse direttive di armonizzazione minima lasciando un ampio spazio di azione alle singole nazioni, che infatti hanno adottato normative e approcci alla vigilanza diversificati, con scarsa efficacia a fronte della natura transfrontaliera dei rischi e tale da mettere a repentaglio la protezione dei consumatori e degli investitori.
La resilienza operativa è la capacità di un’organizzazione di rispondere, adattarsi e riprendersi da shock importanti improvvisi che potrebbero causare significative interruzioni dell’attività: le organizzazioni resilienti assorbono questi shock e cambiando rapidamente struttura adattandosi al nuovo scenario.
Il Covid ha messo a dura prova in molte aziende questa capacità. Era uno scenario inimmaginabile in questa portata che ha sparigliato le carte e si è manifestato con una urgenza e pervasività da lasciare una lezione che d’ora in poi nessuna impresa potrà permettersi di dimenticare. “Ma la necessità di essere resilienti è in realtà precedente ed è richiesta da tutti i trend già in atto prima della pandemia – sostiene Miserandino – l’innovazione tecnologica estensiva e continua, l’ampliamento delle supply chain e il cambiamento del commercio globale, ma anche una domanda nuova e diversa da parte dei clienti, richiedono alle aziende di andare oltre il concetto di continuità aziendale e costruire una strategia e una governance che permetta di cambiare rapidamente forma e direzione”.
Il contesto normativo
Inevitabilmente il contesto normativo si è evoluto per creare uno standard che consenta in queste circostanze di tenere al riparo le organizzazioni rafforzando la cybersecurity e dunque la resilienza operativa. “In questo quadro – dice Miserandino– rientrano la Cyber Resilience Oversight della Bce e le linee guida di EBA sulla gestione dei rischi Ict, nonché i Principles for Operational Resilience del Basel Committee. Infine, la proposta DORA contribuisce alla definizione di un approccio pragmatico e flessibile alla resilienza operativa che può migliorare la capacità delle organizzazioni di rispondere, adattare e affrontare diversi scenari di rischio – che non sono sempre prevedibili a priori e potrebbero causare perturbazioni su larga scala nei mercati finanziari – e quindi mitigare impatti negativi potenzialmente gravi”.
DORA si applica a un vastissimo raggio di soggetti finanziari, dagli enti creditizi, agli istituti di pagamento, ai fornitori di servizi di criptovaluta, agli istituti di moneta elettronica, alle Sgr, alle imprese di assicurazione e di riassicurazione, fino ai fornitori di servizi di crowdfunding (l’elenco non è esaustivo ed è contenuto nell’articolo 2 della proposta europea). La disciplina delinea quali figure devono essere dedicate all’identificazione dei rischi; alla predisposizione di misure di protezione e prevenzione; al rilevamento, risposta e recupero in occorrenza di incidenti; alla formazione e comunicazione. Le entità finanziarie sono dunque chiamate a strutturare piani di business continuity e disaster recovery e un processo di gestione, monitoraggio e registrazione degli incidenti basato su criteri di classificazione dettagliati specificamente dalle autorità di vigilanza.
L’attuazione di DORA, oltre a stabilire una base molto più chiara per le autorità di regolamentazione e vigilanza finanziaria dell’UE, contribuirà a rafforzare il presidio delle organizzazioni rispetto a una esigenza sempre più urgente di una più efficiente ed efficace governance della sicurezza sia in logica reattiva, ma soprattutto preventiva.
