La cybersecurity ha oggi acquisito un’accentuata visibilità nel contesto aziendale per le conseguenze delle crescenti minacce informatiche, per le iniziative legislative europee e nazionali volte a migliorare la cybersicurezza aziendale, e in generale per la comune esperienza dei responsabili di funzioni e attività aziendali. A fronte di una sempre più diffusa percezione della rilevanza della sicurezza informatica, vi sono tuttavia diversi gradi di consapevolezza all’interno delle realtà imprenditoriali, conseguenza del valore percepito della cybersecurity correlato alle industry di appartenenza, alla natura dei sistemi informatici prevalenti, alle funzioni aziendali di appartenenza. A titolo esemplificativo, aziende impegnate nell’erogazione di servizi essenziali e aziende venditrici di servizi a mercato possono presentare profili di valore percepito delle tematiche cyber diversificati in relazione alla consapevolezza delle conseguenze indotte da eventi avversi.

I soggetti che operano facendo ampio ricorso ad ambienti OT (Operation Technology) gestiscono attività per le quali è necessario garantire continuità dei processi produttivi e dei servizi, in particolare nel caso di servizi pubblici essenziali. Vi è chiara percezione dell’importanza dei sistemi di monitoraggio e gestione di infrastrutture, impianti, linee di produzione, reti e delle conseguenze di un loro improprio funzionamento o indisponibilità. La protezione di tali asset, la capacità di intercettare anomalie, la prontezza di intervento in caso di rilevazione di comportamenti fuori standard, sono in genere adeguatamente apprezzati e sollecitati dal management.

Analoga importanza viene attribuita alla sicurezza degli ambienti IT (Information Technology), i sistemi informativi utilizzati nei processi transazionali di business, siano essi di natura amministrativa o a servizio della customer experience. Anche per tali sistemi vi è un evidente ed esplicito valore percepito da parte del business: se ad esempio i canali digital di contatto, vendita e gestione dei clienti sono indisponibili per un attacco hacker, rendendo inutilizzabile la piattaforma gestionale a supporto, si riducono le opportunità di business e soprattutto aumenta la pressione sui canali fisici alternativi, non sempre in grado di assicurare il medesimo livello di servizio. Le conseguenze derivano anche dal maggiore costo di processamento e gestione delle procedure commerciali e amministrative. Sono inoltre facilmente intuibili le potenziali conseguenze sul piano reputazionale connesse alla percezione di affidabilità dell’azienda stessa.

Un’area in cui il valore percepito della sicurezza cyber da parte del business non è talora in linea con la sua rilevanza è costituita dai rischi di compliance della protezione dei dati (GDPR). Le conseguenze derivanti dalla mancata adesione agli standard previsti dalle norme possono determinare, oltre agli oneri per il ripristino a seguito di un data breach, anche sanzioni irrogate dalle autorità di settore e impatti reputazionali che mettono a dura prova il ruolo dell’azienda quali partner affidabile del cliente. La mancata esperienza di eventi di tale natura e l’apparente intangibilità dell’impatto reputazionale rendono il business talora meno sensibile a tale rischio specifico.

Il CISO (Chief Information Security Officer) è una figura organizzativa chiave nel rendere percepibile il valore del cyber risk, favorendo l’accrescimento della sensibilità aziendale alla gestione dei rischi cyber e la promozione della cultura della sicurezza. Non è tuttavia sufficiente la sua presenza se manca l’articolazione della governance a supporto della sua attività. È fondamentale cioè che sia definito l’insieme delle politiche, delle procedure e dei processi per gestire e monitorare i rischi attraverso le opportune leve aziendali a garanzia degli obiettivi di business.

L’approccio più efficace prevede che il CISO/DPO incanali la governance dei rischi gestiti in quella più ampia dei rischi di gruppo o, ove essa sia assente, la solleciti.  A sua volta la governance dei rischi diviene parte del Risk Appetite Framework (RAF) aziendale, ovvero dell’insieme dei criteri che consentono di definire e gestire il profilo di rischio aziendale, identificando

• le responsabilità, ovvero chiha le leve per fare cosa, distinguendo tra chi valuta e indirizza la strategia di resilienza e chi la mette in atto (action owner)
• i processi di gestione, ovvero come si affrontano i rischi, inclusa la gestione incident, l’escalation e il recovery
• l’infrastruttura di supporto attraverso cui si fa la gestione, sia essa materiale (risorse economiche e tecnologiche) che immateriale (metodologie e risorse umane)

Un’ultima considerazione connessa al tema del valore della sicurezza riguarda l’importanza della comunicazione aziendale. È possibile identificare tre tipi di comunicazione afferenti ai rischi e nello specifico alla cybersecurity

• le comunicazioni tecniche e l’interlocuzione con organismi esterni di settore, diretta responsabilità del CISO/DPO
• le comunicazioni esterne non tecniche, da sviluppare con il giusto accento e le appropriate modalità, verso i media, i clienti, le istituzioni non di settore, che sono svolte sia in forma preventiva, consolidando la percezione di presidio e affidabilità dell’azienda sulle tematiche in questione, sia in caso di emergenza, la cui responsabilità è di solito attribuita alla funzione istituzionale di comunicazione
• le comunicazioni interne non tecniche verso l’universo di soggetti non specialisti del rischio, per valorizzare anche il loro contributo alla sicurezza aziendale e assicurare un’adeguata formazione e diffusione della cultura del rischio, accrescendo al contempo il valore percepito dai colleghi verso tali iniziative

È bene che le tre tipologie di comunicazione, pur nella distinzione di linguaggio, contenuti, destinatari e tempistiche, siano coerenti e seppur finalizzate al loro scopo specifico, contribuiscano a rendere evidente il valore della sicurezza informatica.