italyit
“L’impatto dei rischi informatici è mutato e le aziende devono adottare standard più rigorosi”

“L’impatto dei rischi informatici è mutato e le aziende devono adottare standard più rigorosi”

24-07-2019 | Visione

Al momento è difficile ottenere informazioni sulla sicurezza informatica delle aziende e dei loro prodotti. Vincent Toms, esperto di cybersecurity di Robeco, parla del mutevole impatto delle minacce informatiche, del quadro e del sistema di classificazione del rischio di cybersecurity che sta sviluppando per le aziende partecipate di Robeco, nonché dei piani di quest’ultima per includere la sicurezza informatica nelle sue attività di engagement sulla sostenibilità.

  • Vincent  Toms
    Vincent
    Toms
    Analyst

Cybersecurity è un campo in rapida evoluzione. Come si può tenere il passo, o meglio tenere testa a tutte le minacce?

“Esistono attualmente più di 90.000 vulnerabilità note e oltre 50.000 exploit di queste vulnerabilità. Questi numeri crescono di giorno in giorno. Tenere il passo con queste ‘note’ vulnerabilità e aggiornare il (vecchio) ambiente IT richiede un notevole dispendio di tempo e risorse.” 

“L’igiene digitale di base è essenziale. Le cause principali della maggior parte delle violazioni dei dati e degli attacchi sono ancora la mancanza di patch puntuali, password troppo semplici e installazioni non sicure, che creano facili occasioni per un attacco informatico. 

Scopri gli ultimi approfondimenti
Scopri gli ultimi approfondimenti
Abbonati

La cybersecurity ha un costo elevato, ma una violazione potrebbe costare di più. In che misura le aziende sono disposte a spendere le somme necessarie per potenziare la sicurezza dei propri sistemi?

“La situazione è cambiata notevolmente negli ultimi anni. I controlli sulla sicurezza informatica ricevono oggi maggiore attenzione da parte dei consigli di amministrazione. Il tema ha persino guadagnato l’attenzione degli azionisti, che votano a favore di mozioni per includere la cybersecurity tra i criteri per la determinazione dei bonus degli alti dirigenti. A questi sviluppi hanno contributo una serie di gravi violazioni e di pressioni a livello normativo e di supply chain.” 

“Tuttavia, nelle normali comunicazioni aziendali non si trovano informazioni dettagliate su quanto spendono le imprese per la sicurezza informatica. Ed è un peccato, perché questo non ci fornisce le rassicurazioni che andiamo cercando.” 

“Inoltre, non abbiamo ancora raggiunto lo stadio in cui possiamo dire, al momento dell’acquisto, se un prodotto è più o meno sicuro. I produttori e i fornitori possono affermare che i loro prodotti sono estremamente sicuri, ma non vi sono garanzie al riguardo. E anche se sono stati progettati per esserlo, bisogna considerare il loro intero ciclo di vita, perché un prodotto che è sicuro oggi potrebbe non esserlo tra due giorni. So che alcune grandi società come Microsoft si adoperano in ogni modo per proteggere il loro ambiente digitale, perché se non riescono a garantire la sicurezza dei loro clienti rischiano di perderli tutti. Il Cybersecurity Council dei Paesi Bassi consiglia alle aziende di spendere il 10% del loro budget sulla sicurezza informatica, ma non è possibile stabilire se questa cifra sia sufficiente, eccessiva o inadeguata.”

Le comuni informazioni aziendali non dicono quanto spende un’impresa sui sistemi informatici e sulla cybersecurity.

Puoi descriverci il framework sul rischio di cybersecurity che si sta adottando?

“Esistono diverse aree di rischio informatico di cui un’organizzazione deve tener conto per minimizzare la probabilità e l’impatto di un attacco. Gli sforzi devono essere commisurati alle minacce (ad es., rischio operativo), al livello dei controlli (costi) e all’impatto del possibile danno (costo dell’attacco).”

“Nella nostra ricerca valutiamo come un’azienda si attiene ai controlli fondamentali per ciascuna area di rischio. I controlli che consideriamo sono basati su diversi quadri internazionali di cybersecurity. Al termine di questo processo assegniamo all’azienda un punteggio, che viene messo a confronto con quello dei concorrenti per stabilire una classificazione relativa. Questo punteggio può influire sulla decisione di investire o meno in un’impresa.” 

I fondi che investono nei trend sono più esposti ai rischi informatici rispetto ad altri?

“La cybersecurity riguarda molti settori. Abbiamo deciso di iniziare dai fondi di trends investing perché i rischi associati ai trend, in particolare al FinTech, sono elevati e la fiducia è molto importante. Le nostre posizioni in questi fondi ci danno un’esposizione a imprese che hanno un’ampia impronta digitale. Il nostro approccio privilegia l’agilità: iniziamo in piccolo, ci assicuriamo che funzioni, lo rendiamo efficiente e poi lo ampliamo. Quando vediamo che il nostro sistema di classificazione funziona, possiamo utilizzarlo per altri fondi.”

Cosa c’è dietro la spinta a sviluppare questa classifica di cybersecurity per le partecipazioni di Robeco? E quali obiettivi e tempistiche ti sono stati dati quando hai iniziato a lavorare per Robeco?

“La minaccia dei rischi informatici nel mondo digitale è in aumento, ma spesso non viene presa in considerazione nel processo d’investimento. Gli investitori sono avvezzi a valutare i rischi fisici, come quelli associati alle supply chain o alla produzione. Ma dato che la generazione di valore aziendale si sta trasferendo sempre più online, i rischi stanno mutando e anche le analisi degli investitori dovrebbero cambiare. Oggi la comunità finanziaria è ancora molto indietro nella valutazione dei rischi informatici e del loro impatto sugli investimenti. Robeco sta colmando questa lacuna.” 

“All’inizio, come progetto pilota, mi è stato chiesto di valutare dieci aziende. L’obiettivo sul lungo termine è integrare la classificazione di cybersecurity nel processo d’investimento di Robeco e nelle sue attività di engagement sulla sostenibilità. C’è persino l’idea di includerlo in uno degli SDG. Si tratta di un processo in linea con la filosofia di Robeco.”

Gli investitori vogliono essere in grado di scegliere il livello di cybersecurity. E Robeco può metterli nelle condizioni di farlo, proprio come con la sostenibilità.

Come sarà incorporata la sicurezza informatica nell’attività di engagement di Robeco sulla sostenibilità?

“L’idea è che nel tempo si creerà una relazione reciproca tra la classifica di cybersecurity e l’engagement sulla sostenibilità. Ogni qualvolta si scopriranno mancanze nella classifica delle posizioni in portafoglio o nelle imprese candidate all’investimento, il team di engagement lavorerà con l’azienda in questione per migliorare le sue prassi di cybersecurity, con evidenti benefici per l’impresa stessa e per gli investitori. Il risultato di questo engagement potrebbe influenzare la classifica di cybersecurity. 

L’obiettivo è ottenere informazioni approfondite sul profilo di rischio e di sicurezza informatica di un’azienda e integrare queste informazioni nei processi d’investimento e di engagement. Si spera che questo migliorerà anche le comunicazioni sull’argomento. Ad esempio, le informazioni sulle emissioni di CO2 sono adesso incluse nei rapporti di audit e riteniamo che in futuro i dati sulla sicurezza informatica dovrebbero ricevere un pari trattamento.”

A che punto siamo con questa iniziativa e qual è il prossimo passo?

“Attualmente stiamo migliorando il metodo di valutazione dei rischi e gli standard di rendicontazione. Prevediamo di ultimare la revisione del quadro analitico e dei controlli chiave entro la fine di quest’anno. Vogliamo poi testare e automatizzare il sistema, dopo di che ne allargheremo l’applicazione con l’inclusione di altre imprese nella classifica. Il nostro obiettivo è riuscire a valutare da 2.000 a 5.000 aziende nell’arco di tre anni.”

Gli argomenti collegati a questo articolo sono:

Disclaimer

Confermo di essere un cliente professionale

Le informazioni e le opinioni contenute in questa sezione del Sito cui sta accedendo sono destinate esclusivamente a Clienti Professionali come definiti dal Regolamento Consob n. 16190 del 29 ottobre 2007 (articolo 26 e Allegato 3) e dalla Direttiva CE n. 2004/39 (Allegato II), e sono concepite ad uso esclusivo di tali categorie di soggetti. Ne è vietata la divulgazione, anche solo parziale.

Al fine di accedere a tale sezione riservata, si prega di confermare di essere un  Cliente Professionale, declinando Robeco qualsivoglia responsabilità in caso di accesso effettuato da una persona che non sia un cliente professionale.

In ogni caso, le informazioni e le opinioni ivi contenute non costituiscono un'offerta o una sollecitazione all'investimento e non costituiscono una raccomandazione o consiglio, anche di carattere fiscale, o un'offerta, finalizzate all'investimento, e non devono in alcun caso essere interpretate come tali.

Prima di  ogni investimento, per una descrizione dettagliata delle caratteristiche, dei rischi e degli oneri connessi, si raccomanda di esaminare il Prospetto, i KIIDs delle classi autorizzate per la commercializzazione in Italia, la relazione annuale o semestrale e lo Statuto, disponibili sul presente Sito o presso i collocatori.
L’investimento in prodotti finanziari è soggetto a fluttuazioni, con conseguente variazione al rialzo o al ribasso dei prezzi, ed è possibile che non si riesca a recuperare l'importo originariamente investito.

Rifiuto