Gestire il rischio cyber con una nuova cultura PA, a tutti i livelli
L’obiettivo a cui si deve tendere è la piena integrazione del cyber risk all’interno dell’enterprise risk management framework aziendale, partendo dalla definizione di una strategia precisa e con un processo gestionale rigoroso. Questo è tanto più vero per le pubbliche amministrazioni che storicamente sono molto lontane da questo approccio. I gap da sanare in questo caso sono molteplici
25 Novembre 2016
Pamela Pace, amministratore unico Obiectivo Technology
Nell’ultimo decennio si è assistito ad un crescente trend di “digitalizzazione” di molti processi di business sia interni all’azienda che nell’interazione tra azienda/Amministrazioni e clienti/utenti. Questo trend non mostra una curva di crescita lineare ma, al contrario, un’evidente accelerazione. I processi sono quindi sempre più dipendenti da asset informatici che, se in passato rappresentavano una risorsa importante, oggi sono diventati una risorsa strategica.
In tale contesto il cyber risk, considerato sino a poco tempo fa un rischio “residuale”, sta assumendo una rilevanza molto maggiore e inizia ad essere considerato uno dei rischi più critici per tre motivi:
- La strategicità degli asset informatici di per sé
- L’incremento degli “attacchi” alle infrastrutture informatiche naturalmente guidato dalla maggior rilevanza e dal maggior valore che queste hanno per le aziende
- La facilità di compiere “attacchi” anche dovuta ai bassissimi costi di realizzazione della maggior parte delle azioni offensive (basti pensare ad esempio a CryptoLocker)
Molte aziende stanno quindi rafforzando la propria capacità di gestione del cyber risk passando da una conduzione che sinora è stata prevalentemente delegata ai reparti tecnici, ad una gestione di risk management, attraverso la definizione di strategie di governo, modelli di valutazione e conseguentemente con interventi di mitigazione del rischio. Si tratta in molti casi di primi passi verso una gestione più strategica del cyber risk che però richiede un approccio molto diverso da quanto fatto sinora.
Uno degli elementi di cambiamento è la ponderazione dei diversi metodi di mitigazione del cyber risk, che tipicamente portano alla valutazione (possibile solo a seguito di una preventiva analisi e misurazione economica dello stesso) di quanto di questo rischio deve essere mitigato, con interventi interni (ad esempio organizzativi o tecnologici), quanto ceduto a terzi (ad esempio tramite outsourcing di attività o assicurazione) e quanto ci si possa consentire di mantenere.
Un approccio di questo tipo richiede però un profondo cambiamento culturale nella gestione del tema.
Gli attacchi cyber si declinano ormai in molteplici e mutevoli forme che vanno dai ransomware al social engineering e sfruttano falle in ambito tecnico, organizzativo, di processo e culturale.
Anche gli obiettivi di questi attacchi sono molto cambiati e risultano sempre più mirati a carpire o compromettere dati ed informazioni andando così a colpire una parte importante del patrimonio aziendale. Risulta pertanto chiaro che la gestione del rischio cyber non sia un problema squisitamente tecnologico, ma che riguarda ed impatta su tutti i livelli dell’azienda e che se sottovalutato ne può mettere a rischio financo la stessa sopravvivenza. L’information security deve essere gestita in modo organico e perfettamente integrato all’interno delle diverse funzioni organizzative, ma soprattutto deve divenire sempre più una tematica all’attenzione del top management, al pari del rischio di mercato, finanziario e patrimoniale.
L’obiettivo a cui si deve tendere è la piena integrazione del cyber risk all’interno dell’enterprise risk management framework aziendale, partendo dalla definizione di una strategia precisa e con un processo gestionale rigoroso.
Questo è tanto più vero per le pubbliche amministrazioni che storicamente sono molto lontane da questo approccio. I gap da sanare in questo caso sono molteplici, derivanti da una scarsa consapevolezza del reale valore delle informazioni trattate, da investimenti tecnologici non adeguati a sostenere una corretta strategia di mitigazione del rischio, dalla scarsa preparazione del personale su questi temi e da un errato approccio del top management, a cui nella maggior parte dei casi non appartiene una cultura della dimensione, della governance e della gestione del rischio.
E’ necessario che le amministrazioni comprendano che ad un progetto di sviluppo digitale si debba affiancare sempre una corretta strategia di security. L’Information security deve divenire parte del processo organico di sviluppo digitale di qualsiasi Pubblica Amministrazione, ma questo obiettivo sarà raggiungibile solo nella misura in cui vi sarà una totale comprensione a tutti i livelli della rilevanza vitale di questa tematica. La realizzabilità di questo obiettivo passerà in primis per la chiara visione con cui i manager pubblici affronteranno questo tema e riusciranno a farlo calare all’interno di tutta l’organizzazione. Formazione ed awareness saranno strumenti indispensabili attraverso cui veicolare questo messaggio, l’analisi quantitativa del rischio permetterà di renderne reale il valore economico e di valutare, in un rapporto rischio/beneficio, le azioni da intraprendere e l’entità degli investimenti, non solo opportuni ma anche convenienti, da effettuare. Solo così le Amministrazioni potranno avvicinarsi al livello di efficienza ancora caratteristico prevalentemente del settore privato.