Il team Active Ownership di Robeco ha appena completato un programma di engagement triennale con nove aziende, raggiungendo una conclusione positiva con ben sette di esse. Queste imprese sono state selezionate perché utilizzano dati sensibili dei clienti nei settori dei pagamenti, delle telecomunicazioni e dei prodotti per la casa.
Adesso, la maggior parte possiede una chiara strategia focalizzata sul miglioramento della propria cybersecurity, dopo aver subìto una serie di violazioni dei dati. Tuttavia, quasi tutte erano restie a fornire piena trasparenza sulle proprie debolezze, anche per evitare di mostrare eventuali lacune nella gestione del rischio.
Il crimine informatico è diventato un business globale di portata paragonabile al traffico di stupefacenti; secondo le stime, i costi degli attacchi informatici sono aumentati da circa 500 miliardi di dollari nel 2017 a 6.000 miliardi di dollari nel 2020. Visto il grado di digitalizzazione che quasi tutte le aziende ormai possiedono, la necessità di fortificare e proteggere i propri asset digitali non è mai stata così grande.
“Via via che la digitalizzazione si estende al di là del settore tecnologico, altrettanto fanno le minacce di attacchi informatici”, afferma Carolina Vergroesen, analista di Active Ownership. “Il crimine informatico può includere qualsiasi attività, dai piccoli incidenti di sicurezza locali senza gravi conseguenze ai cyberattacchi che possono ripercuotersi su segmenti significativi dell’economia mondiale.”
“La scarsa attenzione alla cybersecurity rappresenta una minaccia chiara ed evidente per i modelli di business delle imprese. Questi rischi si sono palesati in maniera sempre maggiore negli ultimi anni, ma c’è poca chiarezza sulle misure adottate dalle aziende per mitigarli.”
Cinque argomenti per l’engagement
Il tema dell’engagement si è concentrato su cinque argomenti: governance e supervisione; politica e procedure; gestione del rischio e relativi controlli; trasparenza e informativa; e “privacy by design”. Originariamente, nel 2018, erano state selezionate undici aziende, ma una è uscita dal programma perché esclusa dal portafoglio a causa delle deboli performance finanziarie e un’altra è stata oggetto di un’acquisizione.
“La maggior parte delle imprese del nostro gruppo di engagement ha riconosciuto i rischi legati alla cybersecurity, pur avendo approcci molto diversi alla loro gestione”, osserva Vergroesen. “Mentre alcune la consideravano una priorità assoluta e una componente essenziale della loro licenza a operare, altri la vedevano come un rischio aziendale tra tanti. Questa varietà di approcci ha condotto a tassi di successo chiaramente diversi tra le aziende in relazione ai vari obiettivi.”
“Per quanto concerne l’obiettivo di governance e supervisione, quasi l’80% delle imprese aveva una chiara strategia e una gerarchia di governance in atto per la gestione della cybersecurity. Tuttavia, su svariate questioni di trasparenza abbiamo incontrato una forte resistenza, perché la maggior parte delle aziende si è rifiutata di scoprire le proprie carte.”
Aggirare le barriere
“Questo è comprensibile, poiché gli hacker possono aggirare più facilmente le barriere se sanno esattamente quali sistemi di sicurezza sono stati implementati. Tuttavia, questa esitazione a fornire informazioni ha influenzato il tasso di successo, in particolare, per gli obiettivi di politica e procedure, da un lato, e trasparenza e informativa, dall’altro, dove l’engagement ha prodotto buoni risultati con cinque aziende su nove.”
Il team ha riscontrato una maggiore apertura delle imprese sul fronte della gestione del rischio e dei relativi controlli. “Pur essendo esitanti a rivelare le loro particolari risposte alle minacce informatiche, le imprese coinvolte hanno discusso più volentieri della sensibilità e dell’integrità dei loro controlli di sicurezza”, dice Vergroesen.
“Molte di loro hanno team dedicati che verificano regolarmente le difese dell’azienda per identificare possibili lacune nelle loro pratiche esistenti. Abbiamo trovato questo aspetto particolarmente rassicurante vista la continua evoluzione del panorama delle minacce informatiche; le imprese dovrebbero essere preparate ad adattare le loro misure di sicurezza di conseguenza e a rispondere rapidamente alle minacce emergenti.”
La privacy come priorità
Le violazioni dei dati che coinvolgono informazioni personali sono particolarmente dannose sia per i clienti interessati che per la reputazione e la responsabilità legale dell’azienda. Nel complesso, l’engagement sull’obiettivo “privacy by design” è stato chiuso con successo per sei delle nove imprese.
“Le aziende devono indicare chiaramente ai loro clienti quali tipi di dati vengono raccolti e per quale scopo, ed essere informate in caso di violazioni accidentali”, rileva Vergroesen.
“Benché la maggior parte delle imprese avesse una qualche forma di politica sulla privacy, la qualità di queste politiche variava notevolmente. Alcune erano di livello globale e molto dettagliate, altre erano locali e soddisfacevano unicamente i requisiti di legge, invece di essere realmente informative per i clienti.”
Scopri gli ultimi approfondimenti iscrivendoti alla nostra newsletter mensile
L’impulso fornito dalla regolamentazione
Intanto la legislazione sulla cybersecurity sta assumendo portata globale, notevolmente potenziata nel 2018 con l’introduzione del Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Questo provvedimento ha inasprito le norme applicabili alla raccolta di informazioni per uso commerciale nell’UE ed è stato già usato contro le aziende che non ne rispettano le disposizioni. Il California Privacy Rights Act (CPRA), la cui approvazione è prevista entro fine anno, dovrebbe avere sulle aziende statunitensi un impatto analogo a quello prodotto dal GDPR nell’UE.
“Troviamo incoraggiante che quasi l’80% dei paesi a livello mondiale ha varato leggi in materia di cybersecurity”, afferma Vergroesen. “È essenziale continuare a espandere questa legislazione per fornire alle aziende chiari standard a cui attenersi.”
“Anche se diverse imprese coinvolte nell’azione di engagement si sono spinte ben oltre gli obblighi di legge, molte strategie di cybersecurity erano direttamente collegate a una legislazione specifica.”
Carenza di competenze
Esiste, purtroppo, un rovescio della medaglia: la maggiore attenzione alla cybersecurity ha alimentato la domanda di specialisti IT, creando di conseguenza una carenza di competenze. Secondo un rapporto della Information Systems Security Association, questo scarto tra domanda e offerta di tecnici qualificati si è manifestato anche nel 2021 per il quinto anno consecutivo.
“Con l’innalzamento degli standard di cybersecurity a livello globale, le aziende dovranno fare a gara per assumere persone in grado di lavorare in questo campo”, osserva Vergroesen. “Riteniamo quindi che le imprese dovrebbero concentrarsi sullo sviluppo di competenze informatiche all’interno delle loro organizzazioni, poiché la semplice acquisizione di talenti esterni potrebbe rivelarsi una sfida impegnativa.”