Il concetto di business e operational resilience si presta a così ampie interpretazioni che, spesso, è confuso con quello di business continuity e disaster recovery. In realtà si tratta di una strategia più organica, che abbraccia un numero considerevole di competenze e discipline per arrivare a un obiettivo ambizioso, ben definito dalla Bank of England: l’abilità di assorbire e adattarsi a shock e “disruption”, invece che contribuirvi.
Poche parole, ma piene di significato: non si tratta solo di garantire a un’azienda di continuare a operare anche se sotto attacco, o colpita da qualsiasi avvento avverso. Si tratta, anche, di fare il possibile per non diventare il punto di partenza di attacchi strutturati a suoi clienti o fornitori.
Indice degli argomenti
Serve una cyber security più moderna e strategica
Va da sé che il legame con la cyber security è diretto, ma proprio la sicurezza digitale richiede un drastico cambio di approccio. Serve più strategia, fin dal principio: è la valutazione del rischio, quanto mai essenziale per sviluppare un moderno ed efficace piano di cyber security, per raggiungere un livello accettabile di business e operational resilience, e per interfacciarsi con le crescenti proposte di insurtech scegliendo la soluzione più adatta al proprio contesto aziendale.
Un contesto complesso, ricco di insidie e difficoltà, nel quale districarsi diventa difficile anche per i professionisti più esperti. Ecco perché abbiamo raccolto testimonianze e suggerimenti di due esponenti del settore, con due punti di vista complementari: da una parte Carlo Loveri, Head of Risk & BCM di Emirates Steel Arkan, dall’altra Emanuele Castagno, CEO di Cyber Partners, azienda del team RINA CYBER, leader italiano nella cyber security che vanta un approccio strategico e innovativo alla difesa digitale delle aziende.
Come le aziende percepiscono il rischio cyber
Ma come viene percepito il concetto di rischio nel campo della cyber security da parte delle aziende italiane?
L’Ing. Castagno è chiaro: “Grazie al nostro osservatorio privilegiato e all’esperienza maturata (anche nell’ambito della certificazione) con oltre 90.000 clienti, in RINA abbiamo una visione ampia di come viene percepito il rischio cyber dalle aziende italiane. Purtroppo, però, dobbiamo constatare che l’attenzione ai rischi informatici è ancora bassa e questa componente non viene adeguatamente inserita nella gestione complessiva dei rischi aziendali”.
“Questo vale soprattutto per le PMI dove, al contrario delle grandi aziende, il rischio spesso non viene gestito nella sua totalità”, sottolinea ancora l’Ing. Castagno. “Riteniamo ci sia ancora molta strada da fare per aumentare la consapevolezza e spingere le imprese ad adottare una visione olistica della sicurezza informatica, integrandola nel proprio modello di risk management. Come RINA ci impegniamo quotidianamente nel supportare le organizzazioni in questo percorso di maturazione”.
Se e come è misurabile il rischio digitale
Sottolineata l’importanza del calcolo del rischio digitale, è importante capire se è misurabile e come.
“Faccio una premessa importante”, ci dice il Dott. Loveri, “parlando del mio ruolo in azienda, poiché in questi casi è sempre importante delineare un contesto. Sono a capo della struttura che si occupa dei rischi, tutti, di un’azienda manifatturiera molto grande, di proprietà dell’emirato di Abu Dhabi. Si tratta di Emirates Steel Arkan, ha circa 5.000 dipendenti e qui mi occupo di risk management e continuità operativa, quindi anche di resilience e information security governance. Tra i miei compiti, dunque, rientra anche la gestione del rischio”.
E qui veniamo, appunto, al calcolo del rischio digitale.
Secondo il Dott. Loveri, “Il rischio cyber è ovviamente parte integrante della gestione del rischio, ma va sottolineato che si tratta di uno degli aspetti che concorrono a una strategia che deve essere globale. Poi, per le questioni tecniche, c’è un Chief Technology Officer e un dipartimento molto preparato in materia che affronteranno la gestione del rischio da questo punto di vista. Il mio ruolo, come sempre accade con la gestione del rischio, è più strategico e, nel caso di quello digitale, occorre concentrarsi sull’impatto che certe problematiche hanno sulla produttività di una grossa azienda come quella per cui lavoro”.
Come la cyber resilience influisce sullo sviluppo delle polizze cyber
Visto il suo ruolo, abbiamo quindi chiesto al Dott. Loveri di dirci come influisce il concetto di resilience nello sviluppo di polizze assicurative nel settore cyber.
“Lo sviluppo di una polizza è un tema molto delicato, specie ora che deve considerare anche il rischio digitale. Si tratta di un lavoro che, per lo meno a certi livelli, viene fatto a quattro mani tra il broker assicurativo e l’azienda, poiché c’è il bisogno di definire al meglio gli asset in gioco, il modo in cui vengono protetti, l’area che può presentare delle criticità e quella dove l’assicurazione può offrire il suo apporto. Il tutto vincolandolo a parametri economici, condizioni, franchigie, premi e via dicendo. Ovviamente, il livello di resilienza influisce in modo determinate ma, anche in questo caso, cela una moltitudine di variabili che vanno analizzate e approfondite”.
Come questi calcoli, queste strategie, vengono gestite dalle aziende
Ci risponde l’Ing. Castagno, sottolineando come “nelle grandi realtà dove la cyber security è parte integrante della gestione del rischio complessivo, sicuramente c’è maggiore consapevolezza e capacità di fare queste valutazioni. Rimane ancora un gap da colmare nelle PMI, dove l’approccio alla sicurezza informatica deve maturare”.
Quindi tutto bene?
“Non proprio”, sempre secondo l’Ing. Castagno. “Integrare il rischio cyber con la gestione dei rischi operativi è certamente un passo avanti ma non è sufficiente. La minaccia si fa sempre più sofisticata se pensiamo, ad esempio, all’utilizzo dell’AI a fini malevoli. Servono strumenti per analizzare i rischi in tempo reale, incrociando informazioni anche esterne all’azienda. Troppo spesso riscontriamo problemi di comunicazione e condivisione delle informazioni. Per noi è una priorità abilitare le organizzazioni a gestire la cybersecurity in modo olistico, con l’aiuto di strumenti digitali e dell’AI. Senza dimenticare l’imprescindibile fattore umano e l’importanza di diffondere la cultura del rischio”.
“Riteniamo fondamentale anche la quantificazione economica del rischio”, continua ancora l’Ing. Castagno, “in modo che le aziende possano utilizzare questa informazione per veicolare i propri investimenti”.
E quindi, posta l’importanza e capacità del calcolo del rischio, c’è un modo, per un’azienda, per capire se una polizza fa davvero al caso suo?
Secondo il Dott. Loveri, “il segreto è nel costruirla col proprio partner assicurativo, perché, a certi livelli e con temi multidisciplinari, dove il rischio cyber è rilevante, è impossibile adattare una qualsiasi polizza alle esigenze di un’azienda. Questo richiede, ovviamente, un grosso lavoro a monte fatto di valutazioni e assessment nonché la capacità di dialogare da parte dei broker assicurativi. Mi sento di dire, però, che scegliendo i partner giusti si può seguire questo tipo di percorso senza particolari intoppi”.
Contributo editoriale sviluppato in collaborazione con Cyber Partners
