Nell’economia digitale odierna, le organizzazioni si trovano di fronte alla sfida di bilanciare gli obiettivi ESG (ovvero obiettivi ambientali, sociali ed economici) con la necessità di garantire la cyber security e la privacy dei dati a fronte del continuo aumento di minacce informatiche che possono avere un impatto significativo sulle operations, sulla continuità e sulla reputazione.
Indice degli argomenti
Futuro sostenibile e cyber security
Negli ultimi anni le organizzazioni sono sempre più sotto pressione per dimostrare trasparenza riguardo al loro impegno verso la cyber security e i fattori ESG.
La cyber security, in particolare, ha attirato l’attenzione delle autorità di regolamentazione, che ora richiedono una notifica tempestiva e completa degli incidenti e la divulgazione del livello di controllo della cyber security di un’organizzazione (come stabilito da normative quali: GDPR, DORA e NIS2). Inoltre, l’intersezione tra cyber security e l’agenda ESG sta svolgendo un ruolo cruciale nel plasmare il futuro della responsabilità sociale delle imprese.
Di fatto, le infrastrutture critiche e importanti per il futuro sostenibile richiedono livelli di cyber security più elevati a causa dell’introduzione di nuove tecnologie e la mancanza di cyber resilience può renderle più vulnerabili, come dimostrato dagli attacchi informatici a fornitori di energia in diversi paesi.
Pertanto, le organizzazioni che guidano la transizione energetica – i.e.: servizi pubblici, produttori di energia, organizzazioni di energia rinnovabile, fornitori e prestatori di servizi – hanno la responsabilità di prepararsi e mitigare i rischi della cyber security creando infrastrutture digitali e fisiche resilienti.
Rischio climatico nella business continuity: ecco come valutarne gli effetti
Inoltre, le iniziative sostenibili possono avere successo solo se la tecnologia – su cui si basano – è in grado di resistere agli attacchi informatici, garantendo:
- Operazioni affidabili – Si gratta di implementare un’infrastruttura digitale sicura in modo da prevenire le interruzioni che possono provocare sprechi e inefficienze.
- Integrità dei dati – È fondamentale che le informazioni raccolte dai progetti sostenibili siano accurate e, soprattutto, protette attraverso una strategia di cyber security permette di salvaguardare i dati in modo da mantenere la loro integrità e da consentire scelte ben informate per indirizzare attività sostenibili.
- Sostenibilità a lungo termine – Le attività sostenibili devono essere continue, ne consegue che la cyber security si converte in una leva strategica atta a prevenire errori – che potrebbero eventualmente mettere a repentaglio la redditività dei progetti di sostenibilità – e a garantire la resilienza della complessa rete di sistemi interdipendenti che favorisce la sostenibilità.
Obiettivi ESG 2030 e cyber security
La sostenibilità implica un utilizzo responsabile delle risorse, soddisfacendo le esigenze attuali e garantendo la disponibilità di tali risorse anche in futuro.
Inoltre, anche se la cyber security non utilizza le risorse in modo simile ai settori tradizionali focalizzati sul prodotto, è importante considerare la sostenibilità in questo ambito. Pertanto, nella cyber security, la sostenibilità significa lavorare per ridurre al minimo i rischi e i costi per le organizzazioni attuali, assicurando l’efficacia delle nostre pratiche anche nel tempo.
Di seguito un evidenza di alcuni obiettivi di sostenibilità che non possono trascendere dalla gestione della cyber security. E, precisamente:
- Obiettivo 9 – Industria, innovazione e infrastrutture: costruire infrastrutture resilienti, promuovere un’industrializzazione inclusiva e sostenibile e favorire l’innovazione – La tecnologia svolge un ruolo fondamentale nell’innovazione e nella crescita delle industrie, comprese quelle considerate tradizionalmente “a bassa tecnologia”. L’accesso alla tecnologia aiuta le organizzazioni a adattarsi al cambiamento, a sviluppare resilienza e ad affrontare le sfide economiche. Tuttavia, affinché un numero maggiore di organizzazioni possa beneficiare dell’adozione di prodotti e servizi digitali innovativi, è essenziale garantire la sicurezza tecnologica. Le misure di cyber security sono, quindi, fondamentali per proteggere le tecnologie dell’informazione e della comunicazione (ICT) che supportano l’industrializzazione, nonché l’infrastruttura che le sostiene.
Inoltre, è importante sottolineare che gli attacchi informatici possono causare danni significativi alle piccole e medie imprese. Si stima che circa il 60% di queste organizzazioni, colpite da un incidente di questo tipo, fallisca entro sei mesi con conseguenti danni non solo per la crescita economica e la stabilità, ma anche per l’occupazione e la mobilità sociale.
Tale necessità si estende anche al progresso climatico, considerando che, quando ci spostiamo verso un’infrastruttura energetica digitale più sostenibile, diventiamo più vulnerabili all’exploit digitale delle nostre risorse più preziose.
Ne è un esempio l’attacco ransomware all’oleodotto della compagnia petrolifera statunitense Colonial Pipeline che ha causato sei giorni di interruzione delle forniture e ha comportato un costo di 4,4 milioni di dollari solo per il riscatto.
- Obiettivo 12 – Consumo e produzione responsabili: garantire modelli di consumo e produzione sostenibili – Il consumo e la produzione non sostenibili hanno un impatto significativo sul cambiamento climatico, la perdita di biodiversità e l’inquinamento. Una parte importante di questo problema è rappresentata dai rifiuti elettronici, poiché ogni anno vengono prodotte circa 54 milioni di tonnellate di dispositivi elettronici, come telefoni e computer, ma solo il 17% di essi viene riciclato. Si prevede che questa quantità di rifiuti elettronici raddoppierà entro il 2050 se non saranno adottate misure adeguate. Inoltre, solo una piccola parte di questi rifiuti viene gestita in modo sicuro, creando potenziali rischi per la salute umana a causa delle sostanze tossiche presenti. Di conseguenza, le organizzazioni di cyber security stanno sempre più impegnandosi per promuovere un consumo e una produzione responsabili. Ciò include l’utilizzo di energia rinnovabile per alimentare server e data center, il sostegno al diritto di riparazione per prolungare la vita utile dei dispositivi e la riduzione degli sprechi tecnologici attraverso il riutilizzo e il riciclaggio.
- Obiettivo 16 – Pace, giustizia e istituzioni forti: promuovere società pacifiche e inclusive per lo sviluppo sostenibile, garantire l’accesso alla giustizia per tutti e costruire istituzioni efficaci, responsabili e inclusive a tutti i livelli – Gli attacchi informatici rappresentano una minaccia sempre più significativa per la stabilità della nostra società. Negli ultimi anni abbiamo assistito a diversi attacchi informatici che hanno causato caos e interruzioni alle nostre infrastrutture critiche, alle reti finanziarie, all’assistenza sanitaria e ad altri sistemi collegati in rete.
Un esempio di ciò è l’attacco informatico che nel 2022 ha colpito il Ministero delle Finanze in Costa Rica, mettendo in ginocchio le operazioni finanziarie del Paese e causando una dichiarazione di emergenza nazionale legata al ransomware, oltre ad aver avuto un impatto significativo sulle attività di import/export.
Gli attacchi informatici perpetrati da criminali organizzati o per motivi geopolitici minacciano la sicurezza, l’economia e i diritti umani, oltre a generare, spesso, conseguenze durature che minano la nostra capacità di prenderci cura del nostro mondo e della sua popolazione.
Mano a mano che le organizzazioni, le organizzazioni pubbliche e le infrastrutture critiche e i governi espandono la propria presenza online – e, di conseguenza, il loro valore immateriale – il vettore di potenziali attacchi diventa più ampio, così come il rischio. Pertanto, le organizzazioni possono contribuire a proteggere le nostre infrastrutture essenziali e la nostra sicurezza economica dalla criminalità informatica solo implementando forti misure di cyber security e promuovendo, allo stesso tempo, la pace, la giustizia e istituzioni forti.
- Obiettivo 17 – Partenariati per gli Obiettivi: Rafforzare i mezzi di attuazione e rivitalizzare il Partenariato Globale per lo Sviluppo Sostenibile – Mantenere le risorse digitali al sicuro richiede comprensione e cooperazione a tutti i livelli, tra organizzazioni, governi e individui. Inoltre, uno degli obiettivi dell’Obiettivo 17 è continuare ad aumentare il numero di persone in tutto il mondo in grado di utilizzare Internet. Di fatto, la percentuale di coloro che operano online è aumentata considerevolmente e ne consegue che più informazioni e servizi preziosi possono essere diffusi. Pertanto, possiamo identificare e affrontare le sfide della cyber security che influiscono sulla sostenibilità e sviluppare soluzioni che supportino il raggiungimento degli obiettivi di sostenibilità delle Nazioni Unite, solo collaborando con coloro che utilizzano la tecnologia e che determinano le politiche che la governano.
La cyber security come priorità nelle strategie e nelle attività ESG aziendali
Le organizzazioni dovrebbero prendere in considerazione sempre più l’idea di intraprendere azioni immediate per assicurarsi di essere ben preparate per qualsiasi problema relativo alla cyber security che potrebbe sorgere e che potrebbe impattare negativamente in termini di conseguimento degli obiettivi ESG.
Di seguito alcune azioni chiave che si possono considerare per mitigare i rischi legati alla cyber security:
- Integrare la cyber security nella strategia ESG – Si tratta di riconoscere che la cyber security è ora una componente fondamentale delle considerazioni ESG e di incorporare iniziative e di garantire il reporting in termini di cyber security nella propria agenda ESG. Inoltre, è fondamentale che questa spinta provenga dall’alto e sia supportata dal Top Management.
- Stabilire forti meccanismi di governance – È quanto mai necessario creare responsabilità per la cyber security a livello di C-suite, trattandola come un rischio aziendale, piuttosto che semplicemente come un rischio IT, istituendo comitati ed effettuando valutazioni periodiche del rischio.
- Investire nella formazione e nella cultura dei dipendenti – Si tratta di formare tutti i dipendenti sulle migliori pratiche di cyber security e di promuovere una cultura di consapevolezza della sicurezza attraverso attività regolari di sensibilizzazione, quiz e simulazioni di attacchi informatici.
- Investire in Tecnologia – Gli investimenti in tecnologie, competenze e strumenti avanzati di cyber security aiutano le organizzazioni a stare al passo con le minacce informatiche. Pertanto, si consiglia di investire in:
- Intelligenza artificiale (AI) e machine learning – Tali tecnologie possono rilevare anomalie e potenziali minacce in tempo reale, migliorando la risposta agli incidenti.
- Cyber Threat Intelligence – Si tratta di fruttare l’intelligence sulle minacce per identificare in modo proattivo le minacce e le vulnerabilità emergenti e prevenire gli attacchi.
- Architettura Zero Trust – L’adozione di un approccio basato sul “non fidarsi mai, verificare sempre”, garantisce che l’accesso viene concesso solo a chi ne ha diritto, riducendo le possibilità di attacchi.
Cyber security e sostenibilità, un legame sempre più necessario
KPMG Report – Cyber security in ESG
Il Report Cyber security in ESG di KPMG del 2022 ribadisce come il legame tra ESG e cyber security stia diventando sempre più importante, oltre ad evidenziare come le organizzazioni abbiano bisogno di una solida cyber security per proteggere dalle minacce alla loro tecnologia operativa sofisticata e interconnessa.
Dal report si evince, altresì, come le organizzazioni possono trarre grandi vantaggi dall’esplorazione della stretta connessione tra rischi informatici ed ESG, dal momento che entrambe le aree si concentrano sull’identificazione e sulla gestione dei rischi e delle opportunità, migliorando i prodotti, le soluzioni ed anche la società.
Inoltre, questa interconnessione tra ESG e cyber security è sempre più riconosciuta dai mercati, compresi i fornitori di rating ESG che si impegnano per una maggiore trasparenza ed equità nella misurazione e nel confronto delle organizzazioni.
Ne consegue che le organizzazioni, per proteggere le infrastrutture critiche, i sistemi di controllo industriale e i dati dei clienti, dovrebbero disporre di solide misure di privacy e cyber security, investendo in soluzioni tecnologiche sostenibili per contribuire a ridurre l’impatto ambientale e minimizzare l’esposizione ai rischi informatici, oltre a disporre di solide strutture di governance per supervisionare la gestione dei rischi per la privacy e la cyber security e garantire la conformità ai requisiti legali e normativi.
DI fatto, le organizzazioni, affrontando i rischi informatici nel contesto ESG, potranno salvaguardare le loro operazioni, i loro clienti e la loro reputazione, adempiendo al contempo ai loro obblighi sociali e ambientali più ampi.
Conclusioni
La cyber security è sempre più riconosciuta come una componente critica della resilienza aziendale e, poiché le considerazioni ESG continuano a guadagnare terreno, sta diventando chiaro che ESG, cyber security e gestione del rischio sono strettamente intrecciate.
Di fatto la sostenibilità della nostra società moderna e digitalizzata, senza cyber security è a rischio, sia per gli individui, le comunità, le imprese, le nazioni e sia per l’economia globale.
È giunto il momento di inserire la C (cyber security) negli ESG non come un pilastro separato, ma come un elemento fondamentale alla base di ciascuna delle considerazioni ESG.
Di fatto, il cammino verso il conseguimento dei principi EGS e della cyber resilience scaturisce ancora una volta dalla intersezione dei principi di risk management, business continuity e cyber security in modo tale da mettere in atto misure, processi e governance adeguati a garantire un futuro sempre più sostenibile e sicuro.
