Key4biz

Aziende e risk management, quale prospettive per la cybersecurity?

Negli ultimi anni è cresciuto notevolmente l’interesse delle aziende per le tematiche relative al risk management in quanto nel corso delle proprie attività ogni impresa è soggetta ad una serie di minacce (rischi), di natura competitiva e non competitiva, che influenzano la propria operatività e, quindi la capacità di generare valore.

Cos’è il risk management

Il risk management è un processo aziendale volto alla gestione integrata dei rischi, mediante attività sistematiche di eliminazione, riduzione, trasferimento e controllo dei rischi. È l’unico approccio organico e strutturato che permette di salvaguardare il patrimonio aziendale e la continuità operativa nel tempo.

In passato invece la consapevolezza sull’esistenza dei rischi era si presente nella mente del management ma troppo spesso trascurata perché non razionalizzata o sottomessa alla frenesia della gestione corrente. Ogni organizzazione deve assicurarsi che l’attività di risk management non sia uno sterile esercizio separato dal business, ma diventi parte integrante del sistema di gestione ed una componente essenziale del processo decisionale.

Tutte le aziende devono affrontare eventi incerti e la sfida del management è di determinare il quantum di incertezza accettabile per creare valore; l’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente ridurre o accrescere il valore dell’azienda.

Il management massimizza il valore quando formula strategia ed obiettivi al fine di conseguire un equilibrio ottimale tra target di crescita, di redditività e rischi conseguenti.

Il processo ERM

Il processo di gestione integrata dei rischi (ERM) ha la finalità di supportare il management e il CDA nell’assumere decisioni compatibili con il profilo di rischio della società e coerenti con gli obiettivi aziendali.

Il modello ERM si articola essenzialmente in 5 processi interconnessi:

  1. Processo di CONTEST ANALYSIS: l’ambiente interno costituisce l’identità essenziale di un’organizzazione, determina la forma mentis delle persone che operano in azienda riguardo i livelli di accettabilità del rischio, l’integrità e i valori etici;
  2. Processo di RISK ASSESSMENT: consiste nell’identificazione, classificazione, quantificazione dei principali eventi che potrebbero minacciare il raggiungimento degli obiettivi aziendali;
  3. Processo TREATMENT: consiste nel mettere in atto azioni per ridurre il livello di rischio ad un livello considerato accettabile;
  4. Processo di MONITORING: la fase di monitoring, prevede un monitoraggio continuo da parte del risk management integrato su:
    1. Andamento dei rischi;
    1. Lo stato d’implementazione dei piani di trattamento;
    1. L’insorgere di nuovi rischi.
  5. Processo di REPORTING: la fase di reporting consente ai diversi livelli aziendali di avere la disponibilità dei dati relativi alla gestione del rischio, dei risultati ottenuti e delle azioni di miglioramento programmate.

Lo standard C.O.S.O

Lo standard internazionale di riferimento dei modelli ERM è rappresentato dal C.O.S.O (Committee of Sponsoring Organization of Treadway Commission) una commissione indipendente U.S.A. sponsorizzata dalle maggiori associazioni professionali ed industriali.

Il C.O.S.O. framework costituisce l’insieme di best practice, riconosciute a livello internazionale, impiegate per la gestione dei controlli interni e della corporate governance.

Il settimo principio del C.O.S.O. definisce che gli obiettivi aziendali debbano essere pensati passando attraverso un’efficace analisi dei rischi.

Un altro standard di riferimento è il CODICE DI AUTODISCIPLINA delle società quotate che enfatizza la centralità del rischio nella governance aziendale e introduce il concetto di “sistema integrato dei controlli interni e di gestione dei rischi” (SCIGR).

Un ultimo standard di riferimento è rappresentato dalla ISO31000. Per la ISO 31000 ogni organizzazione è concepita come realtà dinamica, impegnata costantemente a crescere e perfezionare i propri livelli di produttività e di qualità. In un contesto in continua evoluzione è quindi fondamentale adattarsi ai cambiamenti e sapersi rinnovare se necessario; tale spinta al rinnovamento non può prescindere dall’attività di pianificazione offerta dall’approccio olistico del risk management.

La norma definisce il rischio come “l’effetto dell’incertezza sui risultati attesi, quindi sugli obiettivi” precisando che tale effetto può essere sia positivo che negativo; quando è positivo parliamo dunque di opportunità.

PMI e Risk Management

Anche nelle PMI oggi grazie all’introduzione del risk management in alcune certificazioni sulla qualità (vedi la ISO9001 2015 e la IATF per l’automotive) si sente sempre più spesso parlare di attività di coordinamento e gestione dei rischi.

I rischi identificati e successivamente quantificati nella predisposizione dei modelli ERM riguardano qualsiasi ambito specifico dei processi aziendali: si passa dai rischi operativi (quelli cioè legati alle criticità dei reparti produttivi per esempio..), ai rischi patrimoniali (quelli per esempio legati alle catastrofi naturali),a quelli EH (legati per esempio all’accentramento delle competenze nelle mani di pochi key man), quelli relativi a fattori esogeni (vedi dipendenza dai fornitori/clienti strategici), di compliance, strategici e di information technology.

La prospettiva della Cybersecurity

È una priorità da sempre per le grandi organizzazioni, sembra lapalissiano ripeterlo, concentrarsi sulla gestione dei rischi, ma l’avvento della rivoluzione digitale ha aumentato di n volte il focus e l’attenzione che queste devono porre su questo aspetto sia per l’aumento del rischio intrinseco che per l’aumentare delle potenziali minacce.

Il mondo del Cyber crimine è in continua espansione, di conseguenza le misure e le strategie di Cyber difesa devono muoversi di pari passo.

Non a caso, è stato recentemente stimato che il “mercato” del Dark Web raggiungerà un volume di fatturato pari a 6 trilioni (!) di dollari entro il 2021.

La sfida è sicuramente impegnativa e c’è sicuramente una mole di lavoro considerevole, anche perché ci sono tre grandi aree di criticità da affrontare per intervenire sull’aspetto Cyber Security:

Alcuni consigli per migliorare il proprio Cybersecurity Framework

Questi passaggi sopra esemplificati sono compresi nel servizio di Cyber Security Framework Check-up. Questo è stato pensato per fornire un accurata valutazione del Framework aziendale di sicurezza in essere. Inoltre effettua una Gap Analysis tra l’As Is (ovvero lo status attuale delle cose interamente all’azienda dal punto di vista della Cyber Security) e gli standard e best practice di Cyber Security Governance.

Il processo ha inizio attraverso la fase di mapping dove vengono elencati e mappati tutti gli asset aziendali, i sistemi di sicurezza e vengono analizzate e prese in esame le procedure di gestione. Dopo questa fase si procede con l’analisi delle vulnerabilità in essere e potenziali presenti sul perimetro. Il processo prevede dei Vulnerability Assessment, Network Scan, IT Security Assessment, Penetration Test e Phishing Simulation Attack. Questo copre sia la parte strettamente tecnica e strutturale sia la parte legata al rischio umano.

Completata l’attività di Assess Threats vengono analizzati i Security KPI. In questa fase si determinano i Security KPI in uso, vengono identificati quelli applicabili e si valutano quelli che dovrebbero essere adottati. Nella fase sono compresi tutti i sistemi di Alarm, Early Warning, Security Policy e procedure.

Terminata la terza fase si procede con la Gap Analysis che, come accennato confronta l’As Is con le best practice del mercato.

Al termine viene redatta una Road Map per definire:

Non è neppure da sottovalutare la possibilità di approntare un Incident Response plan. Sembra un’esagerazione, ma oramai siamo quasi al punto in cui non ci dobbiamo chiedere “se”, ma “quando” avverrà un Cyber Security Incident.

Avere già pronto un piano per contenere e rimediare a questo scenario può spesso significare la differenza tra avere un piccolo “fastidio” e una perdita catastrofica di business, operatività e brand reputation. Un Data Breach incident Response ben strutturato deve obbligatoriamente seguire questi passaggi per risultare efficace:         

Naturalmente nel nostro Paese come in tutta Europa in caso di Incident vi è la necessità di rispettare quanto normato nell’Art.32 del GDPR. Un piano di risposta ben congeniato deve essere ugualmente in grado di rispettare queste predisposizioni per non incorrere in eventuali sanzioni.

Articolo a cura di Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Paolo Borghetti, CEO di Futurage

Exit mobile version