Cyber security

Allineati strategicamente, distinti dal punto di vista organizzativo

È ora di unire cyber security e data privacy in un’unica funzione dedicata al rischio digitale

Lo sviluppo dell’informazione digitale ha moltiplicato le possibilità di creare un vantaggio competitivo per aziende di ogni tipo e dimensione. Basti pensare a come le imprese sfruttino la tecnologia per migliorare le proprie performance, raccogliendo dati sui clienti per la creazione di servizi personalizzati e campagne marketing mirate, o monitorando i dati sulle prestazioni dei dipendenti o sulla supply chain per migliorarne l’efficienza.

Se da un lato tutto questo presenta un enorme potenziale, dall’altro può creare delle vulnerabilità ed impattare a catena su elementi che fino a ieri erano separati. È il caso in particolare dei rischi legati alla cyber security e alla protezione dei dati, che, in seguito alla crescita delle analisi informatizzate di dati personali, sono ora interrelati. Un attacco cyber può portare verosimilmente ad una violazione dei dati, avendo così anche implicazioni per quanto riguarda la privacy.

Gli sforzi dei business leader di gestire la natura mutevole di queste minacce sono stati ostacolati dal fatto che negli ultimi 3 anni le imprese di tutto il mondo si sono dovute focalizzare prevalentemente sugli adempimenti relativi alla privacy. In Europa sono ancora alle prese con il GDPR, in Australia, California e Canada con altre nuove normative.

Non stupisce quindi che due terzi delle imprese coinvolte nell’ultimo Grant Thornton International Business Report (IBR) si stiano concentrando più sulla privacy che sulla cyber security. E la maggioranza, il 59%, si sta attivamente preparando ad affrontare la nuova ondata di regolamentazioni in ambito privacy. Parallelamente, sono aumentate anche le minacce relative alla cyber security. Negli ultimi 3 anni si è registrato un aumento pari al 63% di attacchi cyber che hanno causato perdite superiori a 1 milione di dollari. 

È quindi fondamentale per le imprese gestire in maniera efficace ed efficiente sia la protezione dei dati che la cyber security. Tuttavia, spesso vi sono fattori che ostacolano questa gestione congiunta. Solitamente le due tematiche sono gestite da team separati, il primo guidato da un chief privacy officer (CPO), il secondo da un chief information security officer (CISO) o da un chief technology officer (CTO).

In quest’ottica, Alessandro Leone, Partner di Grant Thornton Financial Advisory Services per l’area Business Risk Services, afferma: “È giusto continuare a gestire in modo separato cyber security e protezione dei dati personali? Sono due temi con fortissime interrelazioni grazie allo sviluppo tecnologico che ha portato ad una gestione dei dati, inclusi quelli personali, basata su complessi sistemi informatici, spesso residenti presso vari fornitori. Si pensi a mero titolo esemplificativo al sempre più frequente utilizzo da parte delle aziende di algoritmi predittivi del comportamento dei consumatori, basati su una mole di dati costituiti sia dalle tracce delle attività digitali, sia dalle tracce “fisiche” (ad esempio monitorando gli spostamenti tramite sistemi di localizzazione dei device, etc.).”

“Benché siano intuitivi i vantaggi di una gestione unificata del tema cyber con il tema della protezione dei dati” – prosegue Leone – “molte aziende ancora non lo fanno, talvolta per mancanza delle specifiche competenze in un’unica funzione. La situazione diventa ancora più critica in quelle realtà con canali di comunicazione cross-funzionali insufficienti. Potrebbe essere così necessario creare una nuova figura professionale, quella del chief digital risk officer con competenze informatiche e legali, che sia di supporto ai vertici aziendali nel perseguimento delle strategie attraverso la gestione del rischio digitale.”

Sarebbe quindi auspicabile e conveniente che entrambe le tematiche fossero gestite dallo stesso team. Infatti una componente rilevante del lavoro per garantire il rispetto della normativa privacy può essere indirizzato a rafforzare la cyber security e viceversa. Oltre che impattare positivamente sulla gestione del rischio digitale, questo approccio creerebbe un ulteriore valore aggiunto, consentendo di reagire più velocemente alle iniziative di trasformazione digitale.

Ottimizzare la classificazione dei dati

Un unico team dedicato alla gestione dei rischi digitali permetterebbe una classificazione dei dati maggiormente coordinata ed allineata tra i vari compartimenti aziendali. 

Le imprese potrebbero utilizzare la classificazione dei dati effettuata ai fini degli adempimenti richiesti dalla normativa privacy, come il GDPR, per potenziare la sicurezza informatica. In modo analogo potrebbero categorizzare i dati in base al loro valore per l’impresa. Identificare i dati di maggior valore significa essere in grado di proteggerli meglio attraverso misure cyber più sofisticate.

Il punto di incontro tra data privacy e cyber security

 Avere una funzione interamente dedicata al rischio digitale, che sia in grado di valutare sia i rischi legati alla protezione dei dati sia quelli relativi alla sicurezza informatica diventa ancor più rilevane nel momento in cui ci si trova davanti ad una violazione dei dati. Le imprese hanno bisogno di sapere come si è verificata la violazione e quali difese di cyber security non hanno funzionato. Hanno inoltre necessità di capire in che modo i dati sono stati compromessi valutando il rischio per i diritti e le libertà delle persone fisiche e, in tal caso, se è necessario, darne comunicazione e in che modo.

Eppure, ad oggi, la maggior parte delle imprese non è adeguatamente attrezzata per fare ciò. Solo il 28% di quelle intervistate dichiara di essere ‘molto soddisfatta’ della propria capacità di proteggersi dal rischio di una violazione grave dei dati. La percentuale scende al 26% per quanto riguarda la capacità di rispondere coerentemente ad una grave violazione che interessi tutta l’impresa, ovunque e in qualsiasi momento si verifichi.

Con l’integrazione di privacy e cyber security in una singola funzione, le imprese sarebbero in grado di rispondere in maniera più efficace ad un’eventuale violazione dei dati grazie alle risorse combinate e ad una comprensione complessiva della minaccia.

Verifica sui servizi di terze parti

La crescente interconnessione tra cyber security e data privacy ha implicazioni sul modo in cui vengono effettuate le verifiche relative alle certificazioni di terze parti.

Le normative sulla privacy quali il GDPR, ad esempio, impongono alle imprese di ottenere elevate garanzie dai fornitori che gestiscono i dati per loro conto. E dal momento che le imprese sono tenute anche a verificare se i fornitori sono esposti ad attacchi cyber, sarebbe auspicabile valutare nel contempo anche la loro conformità alla normativa privacy.

Una singola funzione che svolga una verifica integrata del rischio digitale, cyber e privacy sui servizi erogati dalle terze parti sarebbe in grado di fornire una maggior comprensione del rischio. Tale approccio dovrebbe essere di supporto anche nel processo di selezione fornitori.

Sebbene sia intuitivo il vantaggio di un simile approccio integrato, si rileva che nella realtà non è molto diffuso.

La supervisione dei vertici aziendali e la gestione combinata sono essenziali

La necessità di avere una funzione integrata dedicata ai rischi digitali è chiara, ma chi dovrebbe gestire tale funzione?

Ad oggi non c’è chiarezza circa chi dovrebbe avere la responsabilità ultima e ciò sta ostacolando una corretta gestione dei rischi. È significativo che le imprese intervistate dichiarino che la mancanza di consapevolezza circa la responsabilità sia al secondo posto tra i maggiori punti di debolezza nella gestione del rischio digitale.

Così come per il rischio finanziario, la gravità di quello digitale comporta che i livelli direttivi debbano giocare un ruolo di primo piano nella supervisione. Idealmente, dovrebbe essere istituito uno specifico comitato legato al rischio digitale all’interno del consiglio di amministrazione composto da esperti in materia.

La maggior parte delle imprese infatti, incarica il chief risk officer o il responsabile IT/chief technology officer della gestione giornaliera di tali rischi, ma una gestione efficace del rischio digitale si basa su molti altri aspetti che vanno oltre la tecnologia. Il chief risk officer si focalizza tipicamente sul rischio finanziario e potrebbe non avere le competenze necessarie per gestire efficacemente anche il rischio digitale. Ecco perché c’è bisogno di istituire un digital risk officer, una figura cioè che abbia complessivamente sotto controllo tutti gli aspetti correlati al rischio digitale.

 

Tre step per una gestione integrata del rischio digitale:

  1. Identificare chi ha la responsabilità della gestione di cyber security e data privacy, mappare le loro attività e i loro flussi di lavoro giornalieri e verificare l’esistenza di eventuali sovrapposizioni. Eliminare le duplicazioni.
  2. Assicurarsi che i processi relativi al rischio digitale siano gestiti su base end-to-end. Ad esempio attraverso verifiche integrate in ambito cyber security e data privacy dei servizi di terze parti. Entrambi i fattori dovrebbero essere inoltre valutati nella classificazione dei dati.
  3. Creare un team integrato di gestione del rischio digitale o una funzione che abbia le competenze per gestire sia le minacce derivanti dalla cyber security che dalla data privacy, con a capo un chief digital risk officer in grado di presidiare il rischio digitale e assicurare che sia integrato nelle decisioni strategiche e operative dell’impresa. Assicurarsi che i vertici aziendali supervisionino il rischio digitale.