-
Transactional advisory services
Supportiamo i nostri clienti a completare processi di acquisizione, vendita ed in generale di trasformazione
-
Valuations
Il nostro team valutazioni fornisce un supporto essenziale in caso di strutturazione di operazioni straordinarie, transazioni e contenziosi.
-
Merger and acquisition
Lavoriamo con imprenditori e manager di aziende del mid market aiutando loro ad affrontare qualsiasi tipo di operazione straordinaria
-
Forensic and investigation
Le imprese devono sapersi adattare a gestire indagini, contenziosi e risoluzioni di conflitti a livello multigiurisdizionale e ad affrontare la minaccia di attacchi informatici, proteggendo nel contempo il valore dell’organizzazione
-
Recovery & reorganisation
Assistiamo le imprese nell’individuazione di performance insoddisfacenti ed elaborare soluzioni attuabili che massimizzino il valore e consentano una ristrutturazione sostenibile.
-
Business risk services
Supportiamo le imprese nella gestione del rischio, nella prevenzione e nella gestione delle situazioni di incertezza al fine di minimizzare gli effetti negativi
-
Business consulting
Aiutiamo le imprese a governare processi ed evoluzioni ed il conseguente impatto sul business e l’organizzazione aziendale
-
Capital Market
Accompagniamo le imprese nella creazione di un percorso di eccellenza, supportandone la crescita e lo sviluppo tramite l’apertura del capitale
-
Business tax services
Offriamo assistenza e consulenza fiscale ordinaria in materia di imposte dirette e indirette e può supportarvi nella gestione degli aspetti contabili
-
Direct international tax
Supportiamo i gruppi, italiani ed esteri, in tutte le fasi in cui si articola il processo di internazionalizzazione dell’impresa
-
Global mobility services
Il nostro approccio alla global mobility garantisce soluzioni all’avanguardia in conformità con i vari adempimenti
-
Indirect international tax
Forniamo un’assistenza completa, in tema di imposte indirette, per l’implementazione delle strategie commerciali internazionali
-
Transfer pricing
La gestione proattiva dei prezzi di trasferimento ha come obiettivo la gestione del rischio fiscale, secondo le diverse possibili gradazioni
-
Litigation
Supportiamo le aziende nella gestione del rapporto con l’Amministrazione Finanziaria e nel contenzioso
-
Family business
Offriamo una consulenza su tutti gli aspetti riguardanti la pianificazione successoria e nel processo del passaggio generazionale
-
Legal
Grazie alla nostra esperienza e professionalità possiamo assistervi in ogni fase, sia essa stragiudiziale o giudiziale
-
Back office outsourcing
Assistiamo le imprese nella tenuta della contabilità, negli adempimenti relativi al payroll e alle dichiarazioni fiscali
-
Business process outsourcing
I nostri professionisti condurranno un'analisi della vostra organizzazione, fornendo una valutazione approfondita dei punti di forza e delle criticità
-
Compilation of Financial Statements
Grazie al nostro approccio proattivo e attento vi aiuteremo a fornire documenti chiari e accurati ai vostri stakeholders, sia nazionali che stranieri
-
Tax compliance
Offriamo servizi specialistici ad elevato valore aggiunto, impossibili da gestire internamente con la medesima efficienza e convenienza
-
Fatturazione elettronica
Assistiamo le imprese nelle differenti fasi necessarie all’implementazione della Fatturazione Elettronica, identificando le soluzioni più aderenti alle specifiche realtà
-
Conservazione sostitutiva
La conservazione sostitutiva è una procedura di archiviazione che garantisce la validità legale di un documento informatico conservato digitalmente
-
Rivalutazione beni d'impresa
Offriamo assistenza preliminare per il calcolo del beneficio fiscale teorico
-
Human resources consulting
Possiamo gestire l’intero processo HR o alcuni singoli aspetti della vostra strategia
-
Payroll
Gestiamo gli adempimenti per vostro conto, consentendovi di concentrare la vostra attenzione sulla crescita della vostra impresa
-
Portale HR
Consulta i tuoi cedolini accedi al portale HR con le tue credenziali
-
Lavoro e Notizie
Le circolari informative mensili realizzate dai professionisti di Leoni & Partners, per restare aggiornato sulle ultime novità relative al mondo human resources
-
Cybersecurity
GT Digital aiuta i propri clienti a strutturare le funzioni interne di information security management, anche attraverso outsourcing parziali o totali
-
Agile and Programme Management
GT Digital fornisce il supporto nell'adozione e nell'implementazione di diverse metodologie di portfolio management
-
Robotic Process Automation
La nostra “BOT Farm” è dotata di digital workers in grado di aiutare i nostri clienti nelle attività ripetitive
-
Data strategy and management
GT Digital può supportare i propri clienti nello sfruttamento delle potenzialità dei Big Data, dalla definizione delle strategie all’implementazione dei sistemi
-
Enterprise Resource Planning
Supportiamo i nostri clienti nella selezione del Sistema ERP più adeguato alle loro esigenze, aiutando anche la comprensione dei modelli di licensing
-
IT strategy
GT Digital aiuta i propri clienti nelle scelte strategiche, li supporta ad individuare opportunità di innovazione, li aiuta a confrontarsi con i competitor
-
IT service management
Possiamo supportare la software selection, l’implementazione e l’adozione di strumenti dedicati alla gestione dei processi dell’ICT dedicati
-
DORA e NIS 2
L’entrata in vigore del DORA e di NIS2 rappresenta un passo significativo verso l’uniformità nella gestione della cybersecurity nel settore finanziario e non solo
Cybersecurity e data privacy in un’unica funzione
Lo sviluppo dell’informazione digitale ha moltiplicato le possibilità di creare un vantaggio competitivo per aziende di ogni tipo e dimensione. Basti pensare a come le imprese sfruttino la tecnologia per migliorare le proprie performance, raccogliendo dati sui clienti per la creazione di servizi personalizzati e campagne marketing mirate, o monitorando i dati sulle prestazioni dei dipendenti o sulla supply chain per migliorarne l’efficienza.
Se da un lato tutto questo presenta un enorme potenziale, dall’altro può creare delle vulnerabilità ed impattare a catena su elementi che fino a ieri erano separati. È il caso in particolare dei rischi legati alla cyber security e alla protezione dei dati, che, in seguito alla crescita delle analisi informatizzate di dati personali, sono ora interrelati. Un attacco cyber può portare verosimilmente ad una violazione dei dati, avendo così anche implicazioni per quanto riguarda la privacy.
Gli sforzi dei business leader di gestire la natura mutevole di queste minacce sono stati ostacolati dal fatto che negli ultimi 3 anni le imprese di tutto il mondo si sono dovute focalizzare prevalentemente sugli adempimenti relativi alla privacy. In Europa sono ancora alle prese con il GDPR, in Australia, California e Canada con altre nuove normative.
Non stupisce quindi che due terzi delle imprese coinvolte nell’ultimo Grant Thornton International Business Report (IBR) si stiano concentrando più sulla privacy che sulla cyber security. E la maggioranza, il 59%, si sta attivamente preparando ad affrontare la nuova ondata di regolamentazioni in ambito privacy. Parallelamente, sono aumentate anche le minacce relative alla cyber security. Negli ultimi 3 anni si è registrato un aumento pari al 63% di attacchi cyber che hanno causato perdite superiori a 1 milione di dollari.
È quindi fondamentale per le imprese gestire in maniera efficace ed efficiente sia la protezione dei dati che la cyber security. Tuttavia, spesso vi sono fattori che ostacolano questa gestione congiunta. Solitamente le due tematiche sono gestite da team separati, il primo guidato da un chief privacy officer (CPO), il secondo da un chief information security officer (CISO) o da un chief technology officer (CTO).
In quest’ottica, Alessandro Leone, Partner di Grant Thornton Financial Advisory Services per l’area Business Risk Services, afferma: “È giusto continuare a gestire in modo separato cyber security e protezione dei dati personali? Sono due temi con fortissime interrelazioni grazie allo sviluppo tecnologico che ha portato ad una gestione dei dati, inclusi quelli personali, basata su complessi sistemi informatici, spesso residenti presso vari fornitori.
Si pensi a mero titolo esemplificativo al sempre più frequente utilizzo da parte delle aziende di algoritmi predittivi del comportamento dei consumatori, basati su una mole di dati costituiti sia dalle tracce delle attività digitali, sia dalle tracce “fisiche” (ad esempio monitorando gli spostamenti tramite sistemi di localizzazione dei device, etc.).”
“Benché siano intuitivi i vantaggi di una gestione unificata del tema cyber con il tema della protezione dei dati” – prosegue Leone – “molte aziende ancora non lo fanno, talvolta per mancanza delle specifiche competenze in un’unica funzione. La situazione diventa ancora più critica in quelle realtà con canali di comunicazione cross-funzionali insufficienti. Potrebbe essere così necessario creare una nuova figura professionale, quella del chief digital risk officer con competenze informatiche e legali, che sia di supporto ai vertici aziendali nel perseguimento delle strategie attraverso la gestione del rischio digitale.”
Sarebbe quindi auspicabile e conveniente che entrambe le tematiche fossero gestite dallo stesso team. Infatti una componente rilevante del lavoro per garantire il rispetto della normativa privacy può essere indirizzato a rafforzare la cyber security e viceversa. Oltre che impattare positivamente sulla gestione del rischio digitale, questo approccio creerebbe un ulteriore valore aggiunto, consentendo di reagire più velocemente alle iniziative di trasformazione digitale.
Ottimizzare la classificazione dei dati
Un unico team dedicato alla gestione dei rischi digitali permetterebbe una classificazione dei dati maggiormente coordinata ed allineata tra i vari compartimenti aziendali.
Le imprese potrebbero utilizzare la classificazione dei dati effettuata ai fini degli adempimenti richiesti dalla normativa privacy, come il GDPR, per potenziare la sicurezza informatica. In modo analogo potrebbero categorizzare i dati in base al loro valore per l’impresa. Identificare i dati di maggior valore significa essere in grado di proteggerli meglio attraverso misure cyber più sofisticate.
Il punto di incontro tra data privacy e cyber security
Avere una funzione interamente dedicata al rischio digitale, che sia in grado di valutare sia i rischi legati alla protezione dei dati sia quelli relativi alla sicurezza informatica diventa ancor più rilevante nel momento in cui ci si trova davanti ad una violazione dei dati.
Le imprese hanno bisogno di sapere come si è verificata la violazione e quali difese di cyber security non hanno funzionato. Hanno inoltre necessità di capire in che modo i dati sono stati compromessi valutando il rischio per i diritti e le libertà delle persone fisiche e, in tal caso, se è necessario, darne comunicazione e in che modo.
Eppure, ad oggi, la maggior parte delle imprese non è adeguatamente attrezzata per fare ciò. Solo il 28% di quelle intervistate dichiara di essere ‘molto soddisfatta’ della propria capacità di proteggersi dal rischio di una violazione grave dei dati. La percentuale scende al 26% per quanto riguarda la capacità di rispondere coerentemente ad una grave violazione che interessi tutta l’impresa, ovunque e in qualsiasi momento si verifichi.
Con l’integrazione di privacy e cyber security in una singola funzione, le imprese sarebbero in grado di rispondere in maniera più efficace ad un’eventuale violazione dei dati grazie alle risorse combinate e ad una comprensione complessiva della minaccia.
Verifica sui servizi di terze parti
La crescente interconnessione tra cyber security e data privacy ha implicazioni sul modo in cui vengono effettuate le verifiche relative alle certificazioni di terze parti.
Le normative sulla privacy quali il GDPR, ad esempio, impongono alle imprese di ottenere elevate garanzie dai fornitori che gestiscono i dati per loro conto. E dal momento che le imprese sono tenute anche a verificare se i fornitori sono esposti ad attacchi cyber, sarebbe auspicabile valutare nel contempo anche la loro conformità alla normativa privacy.
Una singola funzione che svolga una verifica integrata del rischio digitale, cyber e privacy sui servizi erogati dalle terze parti sarebbe in grado di fornire una maggior comprensione del rischio. Tale approccio dovrebbe essere di supporto anche nel processo di selezione fornitori.
Sebbene sia intuitivo il vantaggio di un simile approccio integrato, si rileva che nella realtà non è molto diffuso.
Supervisione vertici aziendali e gestione combinata sono essenziali
La necessità di avere una funzione integrata dedicata ai rischi digitali è chiara, ma chi dovrebbe gestire tale funzione?
Ad oggi non c’è chiarezza circa chi dovrebbe avere la responsabilità ultima e ciò sta ostacolando una corretta gestione dei rischi. È significativo che le imprese intervistate dichiarino che la mancanza di consapevolezza circa la responsabilità sia al secondo posto tra i maggiori punti di debolezza nella gestione del rischio digitale.
Così come per il rischio finanziario, la gravità di quello digitale comporta che i livelli direttivi debbano giocare un ruolo di primo piano nella supervisione. Idealmente, dovrebbe essere istituito uno specifico comitato legato al rischio digitale all’interno del consiglio di amministrazione composto da esperti in materia.
La maggior parte delle imprese infatti, incarica il chief risk officer o il responsabile IT/chief technology officer della gestione giornaliera di tali rischi, ma una gestione efficace del rischio digitale si basa su molti altri aspetti che vanno oltre la tecnologia. Il chief risk officer si focalizza tipicamente sul rischio finanziario e potrebbe non avere le competenze necessarie per gestire efficacemente anche il rischio digitale. Ecco perché c’è bisogno di istituire un digital risk officer, una figura cioè che abbia complessivamente sotto controllo tutti gli aspetti correlati al rischio digitale.
Tre step per una gestione integrata del rischio digitale:
- Identificare chi ha la responsabilità della gestione di cyber security e data privacy, mappare le loro attività e i loro flussi di lavoro giornalieri e verificare l’esistenza di eventuali sovrapposizioni. Eliminare le duplicazioni.
- Assicurarsi che i processi relativi al rischio digitale siano gestiti su base end-to-end. Ad esempio attraverso verifiche integrate in ambito cyber security e data privacy dei servizi di terze parti. Entrambi i fattori dovrebbero essere inoltre valutati nella classificazione dei dati.
- Creare un team integrato di gestione del rischio digitale o una funzione che abbia le competenze per gestire sia le minacce derivanti dalla cyber security che dalla data privacy, con a capo un chief digital risk officer in grado di presidiare il rischio digitale e assicurare che sia integrato nelle decisioni strategiche e operative dell’impresa. Assicurarsi che i vertici aziendali supervisionino il rischio digitale.