Come evidenziato da Stephane Nappo, CISO di Société Générale, nella sua affermazione: “la cyber security è molto più di una questione di IT”, è fondamentale comprendere che la cyber security trascende la semplice dimensione IT, assumendo un ruolo vitale nella gestione strategica del rischio aziendale. Nell’ambito dell’Enterprise Risk Management (ERM), l’integrazione della cyber security non si limita a proteggere gli asset IT, ma coinvolge l’intera struttura aziendale, influenzando le strategie, la governance e potenziando la resilienza organizzativa.
L’incontro tra cyber security ed Enterprise Risk Management diventa, quindi, un driver funzionale alle strutture cyber, elevando l’analisi del rischio da un’attività operativa a un elemento chiave della governance, per rafforzare la resilienza complessiva dell’organizzazione.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Cos’è l’Enterprise Risk Management e dove si colloca
L’Enterprise Risk Management deriva dal quadro di gestione del rischio, sviluppato inizialmente nel 2010 dal National Institute of Standards and Technology e comporta l’identificazione dei rischi principali che un’organizzazione si trova ad affrontare, l’individuazione di strategie per mitigare tali rischi e la delineazione di procedure per assicurarne l’implementazione.
L’ERM permette di gestire l’intera gamma dei principali rischi dell’organizzazione (ad esempio di mercato, operativo, geopolitico, informatico ecc.) definita dall’Office of Management and Budget (OMB) come “un approccio efficace a livello aziendale che comprende l’impatto combinato dei rischi come un portafoglio interconnesso piuttosto che affrontare i rischi attraverso un approccio a silos”.
L’impiego dell’ERM fornisce ai dirigenti, al management e alla leadership la capacità di tenere conto delle varie componenti della gestione del rischio sulla base degli obiettivi strategici aziendali. Infatti, sebbene i ruoli dei vari dipartimenti differiscano tra le aziende, la maggior parte di esse attribuisce la responsabilità ultima dell’ERM al proprio consiglio di amministrazione.
L’Enterprise Risk Register: cos’è e a cosa serve
Propedeutico allo sviluppo di un ERM è la creazione e la manutenzione di un Enterprise Risk Register (ERR), ovvero uno strumento che le aziende possono utilizzare per documentare e tenere traccia dei rischi dell’organizzazione.
Ciò consente una valutazione regolare delle linee guida sul rischio aziendale, la revisione e la convalida delle definizioni aziendali dei rischi, delle categorie di rischio e delle metriche di valutazione.
L’ERR fornisce, inoltre, un veicolo di comunicazione formale per la condivisione e il coordinamento delle attività di ogni funzione direzionale rispetto all’indirizzo della governance aziendale.
Al fine di informare i decision maker rilevanti per l’Enterprise Risk Management, identificati nelle prime linee aziendali, l’insieme degli ERR dei diversi settori dell’azienda viene in seguito aggregato, normalizzato e classificato in profili di rischio.
Un profilo di rischio è, in sostanza, un elemento che fornisce un’analisi non soggettiva del rischio aziendale, definito dalla circolare OMB A-123 come “un inventario prioritario dei rischi più significativi identificati e valutati attraverso il processo di valutazione del rischio, piuttosto che un inventario completo dei rischi”.
I profili di rischio dell’Enterprise Risk Management
In particolare, i profili di rischio ERM devono includere quattro tipi di obiettivi:
- strategici,
- operativi (efficacia ed efficienza delle dell’organizzazione),
- di reporting (affidabilità del reporting),
- di conformità (aderenza alle leggi e ai regolamenti pertinenti),
per cui possono essere utili per guidare le decisioni aziendali in modo proattivo e informato.
Attraverso l’identificazione e la classificazione dei rischi in base alla loro rilevanza e al loro potenziale impatto, un profilo di rischio ERM consente alle organizzazioni di concentrare le loro risorse e gli sforzi di mitigazione sui rischi più critici.
Questo non solo migliora l’efficienza operativa, ma aiuta anche a prevenire o ridurre le perdite finanziarie, a proteggere la reputazione dell’organizzazione e a garantire la conformità normativa.
Sulla base di quanto riportato all’interno dell’ERR i responsabili dell’ERM misurano in seguito l’impatto e la probabilità di ogni tipo di rischio significativo per determinare il loro impatto individuale e totale sull’azienda, il business e la reputazione dell’organizzazione, determinando dunque la propensione al rischio e l’allocazione delle risorse per ciascun tipo di rischio.
È utile ora operare una riflessione rispetto agli stakeholder coinvolti nell’ERM e le interconnessioni e information flow rispetto alle funzioni di cyber security.
Di seguito viene riportato un approccio alla gestione del rischio a livello aziendale che enfatizza la comunicazione orizzontale e verticale, integrando i requisiti dell’OMB Circular No. A-123 e dell’OMB Circular No. A-130, come illustrato nel “ERM Playbook” aggiornato nel 2022 dal Dipartimento dell’Interno degli Stati Uniti.
Struttura e stakeholder di cyber risk management
Come descritto, la struttura del cyber risk management comprende un framework stratificato dove la comunicazione e la responsabilità si estendono attraverso tre livelli principali (strategico, tattico e operativo) denominati Enterprise, Programs e Operations/Systems.
In breve, la base del modello si riferisce alle Operations/Systems dove si trovano le operazioni quotidiane e i sistemi informatici essenziali per le funzioni dell’organizzazione, e dove i rischi IT, cyber e privacy sono gestiti e mitigati su base giornaliera.
Le informazioni e le valutazioni a questo livello devono fluire verso l’alto, influenzando i program, che rappresentano le iniziative e i progetti specifici attraverso i quali l’organizzazione attua il suo piano di gestione dei rischi, coordinando le risorse e monitorando i progressi, e in seguito la governance connessa all’ERM, assicurando che i rischi operativi siano compresi e considerati nel contesto più ampio della strategia aziendale.
Stakeholder chiave come il Chief Information Officer (CIO), il Chief Information Security Officer (CISO) e il Chief Financial Officer (CFO) operano in sinergia, sostenuti da strumenti dedicati quali il Cybersecurity Risk Register e l’Enterprise Risk Register.
Questa architettura enfatizza l’importanza di una visione olistica e integrata del rischio, assicurando che la cyber security non venga limitata all’interno di un silos specialistico legato alle tecnologie.
Tale integrazione è cruciale per allineare le strategie di sicurezza con gli obiettivi aziendali più ampi, garantendo che le decisioni prese a livello di cyber security siano coerenti con il risk appetite dell’organizzazione e supportino la missione e gli obiettivi strategici complessivi.
La seguente sezione offre un’analisi concisa su come integrare l’ERM con le funzioni di cyber security all’interno di un contesto aziendale complesso. Si esplorano in particolare i fondamenti e i presupposti necessari per una collaborazione e uno scambio informativo efficaci tra questi due ambiti.
Challenge di integrazione del cyber risk con Enterprise Risk Management
Negli ultimi anni, la cyber security ha assunto un ruolo strategico nelle aziende, segnando una transizione da un impatto precedentemente limitato a una rilevanza cruciale sia a livello di potenziale danni che, generalmente, per la gestione strategica aziendale.
Questa evoluzione presenta sfide notevoli nell’integrazione del Cybersecurity Risk Management (CSRM) con l’Enterprise Risk Management (ERM), principalmente a causa delle differenze di tassonomia, di natura delle funzioni e degli approcci tra la governance dell’ERM e le funzioni tecniche del CSRM.
Questa sfida viene esacerbata dalla divisione delle competenze all’interno della struttura responsabile della cyber security, originando potenziali divari nella governance laddove non sia stato definito un perimetro specifico di ruoli e responsabilità. Su questo tema si potrebbe ipotizzare che i criteri normativi del DORA e della NIS 2, in particolare attraverso l’introduzione della funzione “Govern”, vadano in questa direzione.
Al di là delle evoluzioni che potenzialmente saranno originate dalle iniziative di compliance normativa e delle nuove best practices, sulla base di quanto osservato possiamo identificare alcune challenge da risolvere per garantire una corretta integrazione a livello strategico, tattico e operativo tra le funzioni tecniche e le funzioni di governance aziendali.
Di seguito ne vengono riportate alcune:
- La percezione del rischio varia significativamente tra le diverse funzioni aziendali. Nel CSRM, l’analisi del rischio è spesso limitata a valutazioni specifiche, concentrata sui sistemi individuali, portando eventualmente ad una visione frammentata. In alcuni casi, ad esempio il perimetro degli asset considerati si limita a quelli propri delle funzioni IT / cyber, mentre non vengono considerati tutti gli altri asset appartenenti al presidio della funzione di Risk Management. L’overlap delle responsabilità rispetto agli asset è infatti una tematica di rilievo per le funzioni di governance, che si può verificare ad esempio nel caso dei datacenter in quanto comprendono asset IT e non-IT, quali infrastrutture fisiche, hardware di rete e sistemi di supporto all’operatività. In questo caso la funzione della governance cyber deve essere resa edotta sulla natura interconnessa e sulla criticità di tali asset per garantire una protezione efficace. L’asimmetria informativa tra le funzioni può quindi risultare un ostacolo alla condivisione di informazioni utili per supportare l’ERM, impedendo una comprensione e gestione efficace dei rischi cyber che può anche impattare la readiness di risposta alle crisi.
- La differenza nelle tassonomie e nelle competenze tra le funzioni tecniche e la funzione di governance può riflettersi nelle attività di reporting. Le funzioni tecniche, focalizzate su aspetti IT, tendono a adottare un approccio basato su misure tecniche e specifiche degli asset digitali. Il tipo di reportistica prodotta dalle funzioni tecniche include rapporti dettagliati sulla sicurezza, analisi delle vulnerabilità, incidenti di sicurezza e indicatori di compromissione, che sono essenziali per la gestione delle operazioni IT ma possono risultare eccessivamente di dettaglio per l’utilizzo della governance nell’ambito dell’ERM. L’assenza di KPI comuni può complica ulteriormente la situazione, rendendo difficile per l’ERM valutare e integrare le informazioni provenienti dal CSRM.
- Nel contesto di nuove iniziative di business come M&A o product launch le valutazioni di cybersecurity sono utili al fine di prevenire eventuali data loss durante la fusione di sistemi IT in un’acquisizione, o valutare le azioni di rimedio rispetto a vulnerabilità delle tecnologie da integrare tra gli asset acquisiti. Anche per quanto riguarda i product launch la capacità di comunicare eventuali vulnerabilità e dirimere le questioni legate alle tempistiche di rilascio nel contesto dell’ERM risulta di fondamentale importanza. La diversità di linguaggio e priorità potrebbe quindi generare disallineamenti durante questi momenti di natura strategica per il business determinando una visione frammentata del rischio legato alle nuove iniziative di business.
Le challenge di integrazione delle informazioni provenienti dalle funzioni cyber all’interno dell’ERM hanno dei principi comuni che risiedono nell’origine della cyber security come tematica specialistica compartimentata in termini di risorse e competenze e nell’assenza di tassonomie e lessico comune per rappresentare i rischi cyber nel contesto strategico aziendale.
La consapevolezza di queste root-cause, risulta essere un primo passo essenziale per identificare alcune potenziali soluzioni, ipotizzate di seguito.
Possibili soluzioni: i vettori di integrazione del CSRM con l’ERM
Le considerazioni di rischio inerenti alla cybersecurity non divergono rispetto a quelle afferenti ad altre tematiche basandosi sostanzialmente sulla definizione di un risk appetite coerente con il business e le priorità aziendali.
Ad alto livello, possiamo ipotizzare che le soluzioni di integrazione risiedano nella capacità di operare una sintesi tra:
- Una valutazione di rischio efficiente rispetto agli scenari cyber considerando probabilità e asset potenzialmente impattati.
- Delle assumption precise rispetto alle conseguenze in termini finanziari, reputazionali e normativi.
- La definizione di Risk Appetite e le articolazioni sul business aziendale
Al fine di operare questa sintesi, possiamo identificare delle azioni preliminari e dei processi che siano indirizzati a garantire la consapevolezza degli stakeholder rispetto agli elementi riportati. In particolare, tra le azioni ipotizzabili possiamo identificare:
- Integrazione tramite controlli interni: questa attività prevede che i meccanismi di controllo interni dedicati alla cyber security siano integrati nell’ambito del sistema di gestione dei rischi aziendali complessivo. Ciò comporta un’attenta sincronizzazione dei protocolli di sicurezza informatica con le linee guida e i processi di gestione dei rischi a livello aziendale. L’OMB A-123 richiede infatti che le attività di controllo cyber interno siano integrate in un programma ERM più ampio. Infatti, l’ERM permette di migliorare gli sforzi di controllo interno integrando la gestione del rischio e le attività di controllo per ridurre i costi e focalizzare le azioni correttive sui rischi chiave. In aggiunta, l’ERM consente alle agenzie di visualizzare il portafoglio di rischi in una prospettiva olistica, aiutando a elucidare la relazione tra i rischi organizzativi chiave e come e quali controlli possono essere utilizzati per mitigare o ridurre l’esposizione al rischio.
- Stabilire i sistemi informativi critici e i value asset: l’identificazione dei value asset e degli asset critici permette di prioritizzare la gestione dei rischi per la sicurezza delle informazioni. È dunque necessario che le aziende identifichino le funzioni, le informazioni e i dati più critici e considerino come queste funzioni critiche supportino o siano centrali per le responsabilità della missione dell’organizzazione. Facilitare la valutazione integrata del rischio e la comunicazione con le parti interessate è un elemento chiave di un programma ERM efficace.
- Key Risk Indicators (KRI): Gli executive possono selezionare un insieme specifico di KRIs che sono particolarmente efficaci nel prevedere o segnalare rischi significativi nel contesto della cyber security. Questi KRIs fungono da strumenti di misurazione e allerta precoce, permettendo alle aziende di identificare tendenze o potenziali problemi di sicurezza prima che si manifestino in minacce più gravi. Integrando questi indicatori nel processo di ERM, l’organizzazione può ottenere una visione più articolata dei rischi, garantendo una gestione proattiva e data informed a tutti i livelli aziendali.
- Enterprise Cyber Risk Register: la costruzione dell’ECRR dovrebbe documentare e tenere traccia degli input di rischio di cyber security, conformandosi alle linee guida del programma ERM. Attualmente, molte aziende non comunicano le loro linee guida sul rischio di cyber security o le risposte a tali rischi in modi coerenti e ripetibili. Metodi come la quantificazione del rischio di cyber security in termini monetari e l’aggregazione dei rischi di cyber security sono spesso ad hoc e talvolta non vengono eseguiti con lo stesso rigore utilizzato per quantificare altri tipi di rischio all’interno dell’azienda. Tuttavia, l’implementazione di un registro di rischio ben strutturato e conforme può essere di supporto, fornendo un metodo standardizzato e rigoroso per registrare, valutare e gestire i rischi di cyber security, facilitando così una migliore integrazione con le pratiche generali di gestione dei rischi aziendali.
- Cybersecurity Risk Data Conditioned for Enterprise Risk Rollup: questa attività dovrebbe consistere nella cura e nella preparazione dei dati relativi ai rischi cyber in modo che siano pronti per essere consolidati e valutati all’interno del più ampio sistema di Enterprise Risk Management (ERM). Il processo include l’armonizzazione e la sintesi delle informazioni tecniche provenienti dalla sicurezza informatica in modo che rispecchino e si allineino con gli obiettivi e le metriche aziendali di più alto livello. Questo approccio comporta l’allineamento dei diversi tipi di rischio cyber rispetto agli obiettivi aziendali strategici, operativi, di reporting e di compliance. Evidenziando chiaramente come i rischi di cyber security si colleghino agli obiettivi aziendali, la governance può promuovere un’efficace aggregazione, normalizzazione e assegnazione delle priorità dei rischi. Questo processo supporta l’aggregazione di vari registri, facilitando così un approccio più integrato nella gestione dei rischi aziendali.
- Reporting integrato: tradurre il profilo di rischio per informare le decisioni della leadership implica che le informazioni relative ai rischi cyber siano presentate in un formato che sia comprensibile e rilevante per i decision maker. Questo permette ai leader di comprendere pienamente l’impatto dei rischi cyber sulle operazioni aziendali e di prendere decisioni informate su come gestirli. Inoltre, l’adozione di un modello di maturità consente all’organizzazione di misurare il proprio livello di readiness per la gestione dei rischi identificati.
Le lesson learnt
In conclusione, l’armonizzazione dell’ERM con le strategie di cyber security è determinante per creare l’allineamento dei vari livelli aziendali rispetto ai rischi informatici, il che, a sua volta, può fortificare la resilienza operativa.
La collaborazione tra i responsabili cyber e gli stakeholder coinvolti nell’ERM promuove una gestione dei rischi cyber che è strategicamente informata e radicata nelle realtà operative dell’azienda.
Questa unione di competenze e responsabilità permette un’aggregazione, normalizzazione e prioritizzazione dei rischi calata sul contesto aziendale, indispensabile per promuovere una cultura aziendale resiliente.