I consigli

AssetProtection. Cultura del rischio cyber, le aziende quanto ne sanno?

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |

La presenza di una corretta risk culture fornisce la tranquillità di poter affrontare nuove sfide, sfruttando le nuove funzionalità del digitale, senza il terrore che si verifichino nuove minacce in grado di ritardare o addirittura mandare a monte gli investimenti.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Un socio ANSSAIF, sollecitato dalla nostra recente newsletter, mi ha formulato la seguente domanda: «Come faccio a convincere il Vertice aziendale della necessità di investire nella diffusione di una corretta cultura del rischio cyber?».

Ho accettato con piacere la richiesta, in quanto da anni mi associo a tanti colleghi nell’invitare tutte le aziende a curare questo importante aspetto. Non tanto perché ne parla la normativa, la citano gli standard internazionali ed oramai tutta la stampa specializzata, ma soprattutto perché la sua assenza lascia aperte troppe porte alle crescenti nuove minacce.

Un’azienda nella quale vi è una diffusa e corretta cultura del rischio la si riconosce dopo pochi minuti. Bastano tre o quattro domande ad alcune persone a caso per capire quale è la consapevolezza e la tranquillità tipica di chi sa governare i rischi e specialmente quello cyber.

Prima di iniziare una breve nota, mi sono comunque aggiornato su Internet nei riguardi di quanto recentemente affermano primarie società di consulenza, istituti di ricerca, ed aziende. A tali informazioni ho aggiunto il mio parere.

Riassumo qui di seguito, molto sinteticamente, quanto relazionato al socio, augurandomi di fornire ai lettori qualche utile suggerimento.

Il primo aspetto da trattare a mio parere è porsi nei “panni” del Vertice e fornire degli spunti di riflessione.

Per esempio, interpretare quali possono essere degli interrogativi che il Board si potrebbe porre. Ecco qui di seguito un esempio in parte tratto dai suggerimenti di una nota società di consulenza:

  • Quali sono le nuove minacce di cyber security e in qual modo possiamo esserne colpiti?
  • Il nostro programma di cyber security è in grado di gestire le sfide odierne e di domani?
  • Quali indicatori dobbiamo ricevere ai fini di governare efficacemente questi rischi?
  • Quali obiettivi e benefici si possono raggiungere affrontando un progetto di diffusione della “cyber risk culture”?

All’ultima domanda si potrebbe rispondere come segue: «Creare libertà: la libertà di rispondere alle opportunità che si possono presentare, entrare in nuovi mercati, adattarsi ai cambiamenti con la convinzione che il proprio ambiente digitale è sicuro».

In altre parole, potremmo dire che la presenza di una corretta risk culture fornisce la tranquillità di poter affrontare nuove sfide, sfruttando le nuove funzionalità del digitale, senza il terrore che si verifichino nuove minacce in grado di ritardare o addirittura mandare a monte gli investimenti.

Ma, che significa “cultura del rischio” e come misurarla? Che costo bisogna affrontare? Quali benefici economici?

Non si può non citare una definizione formale di un noto Ente (la traduzione però è mia): «La cultura del rischio è un insieme di valori e comportamenti, anche chiamato “ambizione collettiva”, che conducono ad una robusta comprensione, identificazione e gestione dei rischi.».

Quando si parla di benefici, mi piace di più l’idea espressa da un imprenditore: «Definire la cultura del rischio, vuol dire aver deciso i valori fondamentali, i principi basilari, ossia la “essenza della famiglia”. Questo deve essere il primo obiettivo di una organizzazione e si deve poter dire che essi rappresentano la “famiglia”. In una famiglia i fratelli e le sorelle sono diversi, ma guardandoli si capisce subito che appartengono alla stessa famiglia».

Qualora dovesse avvenire una ispezione in banca, gli ispettori non verificano che la cultura del rischio risponda ad una metodologia in loro possesso, ma bastano poche domande per capire se esiste ed è diffusa a tutti i livelli.

Una efficace ed efficiente cyber risk culture non si improvvisa, non si maschera con la produzione di procedure e policy, né con pacchetti software.

Bisogna capire la “famiglia”, i suoi valori e principi, e quindi, rispettando e capendo le individualità (i vari fratelli e sorelle), accompagnare tutti ad una robusta comprensione, identificazione e gestione dei rischi cyber.

I costi.

Si deve fare una “gap analysis” e, successivamente sulla base delle risultanze, si può fare una ipotesi di impegno graduato nel tempo.

I benefici.

Una nota azienda di consulenza ha scritto sul suo sito: « I dati relativi ai reclami alle aziende mostrano che negligenza degli impiegati o atti di malafede rappresentano i due terzi (66%) delle violazioni informatiche, al contrario solo il 18% è direttamente correlato ad una minaccia esterna, e le cyber estorsioni rappresentano solo il 2% di questi. Inoltre, circa il 90% di tutti i reclami informatici sono il risultato di errore o comportamento umano.».

Se ciò è vero, partendo dal log degli “incidents”, l’azienda può stimare i possibili risparmi nel tempo.

Anthony Cecil Wright

Anthony.wright@anssaif.it