italyit
Rendere più solidi gli asset digitali per sconfiggere la criminalità informatica

Rendere più solidi gli asset digitali per sconfiggere la criminalità informatica

22-10-2021 | Visione

Un programma di engagement di Robeco ha riscontrato un atteggiamento più accorto verso la sicurezza dei dati, dal momento in cui i crimini informatici sono diventati una minaccia da migliaia di miliardi di dollari.

  • Peter van der Werf
    Peter
    van der Werf
    Engagement Specialist
  • Carolina Vergroesen
    Carolina
    Vergroesen
    Active Ownership Analyst

In breve:

  • Un percorso di tre anni con nove aziende per migliorare la cybersecurity
  • Molte hanno una strategia chiara, ma sono restie ad ammettere le proprie debolezze
  • A causa della persistente carenza di competenze, le imprese dovrebbero potenziare le proprie capacità interne

Il team Active Ownership di Robeco ha appena completato un programma di engagement triennale con nove aziende, raggiungendo una conclusione positiva con ben sette di esse. Queste imprese sono state selezionate perché utilizzano dati sensibili dei clienti nei settori dei pagamenti, delle telecomunicazioni e dei prodotti per la casa.

Adesso, la maggior parte possiede una chiara strategia focalizzata sul miglioramento della propria cybersecurity, dopo aver subìto una serie di violazioni dei dati. Tuttavia, quasi tutte erano restie a fornire piena trasparenza sulle proprie debolezze, anche per evitare di mostrare eventuali lacune nella gestione del rischio.

Il crimine informatico è diventato un business globale di portata paragonabile al traffico di stupefacenti; secondo le stime, i costi degli attacchi informatici sono aumentati da circa 500 miliardi di dollari nel 2017 a 6.000 miliardi di dollari nel 2020. Visto il grado di digitalizzazione che quasi tutte le aziende ormai possiedono, la necessità di fortificare e proteggere i propri asset digitali non è mai stata così grande.

“Via via che la digitalizzazione si estende al di là del settore tecnologico, altrettanto fanno le minacce di attacchi informatici”, afferma Carolina Vergroesen, analista di Active Ownership. “Il crimine informatico può includere qualsiasi attività, dai piccoli incidenti di sicurezza locali senza gravi conseguenze ai cyberattacchi che possono ripercuotersi su segmenti significativi dell’economia mondiale.”

“La scarsa attenzione alla cybersecurity rappresenta una minaccia chiara ed evidente per i modelli di business delle imprese. Questi rischi si sono palesati in maniera sempre maggiore negli ultimi anni, ma c’è poca chiarezza sulle misure adottate dalle aziende per mitigarli.”

Scopri gli ultimi approfondimenti
Scopri gli ultimi approfondimenti
Abbonati

Cinque argomenti per l’engagement

Il tema dell’engagement si è concentrato su cinque argomenti: governance e supervisione; politica e procedure; gestione del rischio e relativi controlli; trasparenza e informativa; e “privacy by design”. Originariamente, nel 2018, erano state selezionate undici aziende, ma una è uscita dal programma perché esclusa dal portafoglio a causa delle deboli performance finanziarie e un’altra è stata oggetto di un’acquisizione.

“La maggior parte delle imprese del nostro gruppo di engagement ha riconosciuto i rischi legati alla cybersecurity, pur avendo approcci molto diversi alla loro gestione”, osserva Vergroesen. “Mentre alcune la consideravano una priorità assoluta e una componente essenziale della loro licenza a operare, altri la vedevano come un rischio aziendale tra tanti. Questa varietà di approcci ha condotto a tassi di successo chiaramente diversi tra le aziende in relazione ai vari obiettivi.”

“Per quanto concerne l’obiettivo di governance e supervisione, quasi l’80% delle imprese aveva una chiara strategia e una gerarchia di governance in atto per la gestione della cybersecurity. Tuttavia, su svariate questioni di trasparenza abbiamo incontrato una forte resistenza, perché la maggior parte delle aziende si è rifiutata di scoprire le proprie carte.”

Aggirare le barriere

“Questo è comprensibile, poiché gli hacker possono aggirare più facilmente le barriere se sanno esattamente quali sistemi di sicurezza sono stati implementati. Tuttavia, questa esitazione a fornire informazioni ha influenzato il tasso di successo, in particolare, per gli obiettivi di politica e procedure, da un lato, e trasparenza e informativa, dall’altro, dove l’engagement ha prodotto buoni risultati con cinque aziende su nove.”

Il team ha riscontrato una maggiore apertura delle imprese sul fronte della gestione del rischio e dei relativi controlli. “Pur essendo esitanti a rivelare le loro particolari risposte alle minacce informatiche, le imprese coinvolte hanno discusso più volentieri della sensibilità e dell’integrità dei loro controlli di sicurezza”, dice Vergroesen.

“Molte di loro hanno team dedicati che verificano regolarmente le difese dell’azienda per identificare possibili lacune nelle loro pratiche esistenti. Abbiamo trovato questo aspetto particolarmente rassicurante vista la continua evoluzione del panorama delle minacce informatiche; le imprese dovrebbero essere preparate ad adattare le loro misure di sicurezza di conseguenza e a rispondere rapidamente alle minacce emergenti.”

La privacy come priorità

Le violazioni dei dati che coinvolgono informazioni personali sono particolarmente dannose sia per i clienti interessati che per la reputazione e la responsabilità legale dell’azienda. Nel complesso, l’engagement sull’obiettivo “privacy by design” è stato chiuso con successo per sei delle nove imprese.

“Le aziende devono indicare chiaramente ai loro clienti quali tipi di dati vengono raccolti e per quale scopo, ed essere informate in caso di violazioni accidentali”, rileva Vergroesen.

“Benché la maggior parte delle imprese avesse una qualche forma di politica sulla privacy, la qualità di queste politiche variava notevolmente. Alcune erano di livello globale e molto dettagliate, altre erano locali e soddisfacevano unicamente i requisiti di legge, invece di essere realmente informative per i clienti.”

L’impulso fornito dalla regolamentazione

Intanto la legislazione sulla cybersecurity sta assumendo portata globale, notevolmente potenziata nel 2018 con l’introduzione del Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Questo provvedimento ha inasprito le norme applicabili alla raccolta di informazioni per uso commerciale nell’UE ed è stato già usato contro le aziende che non ne rispettano le disposizioni. Il California Privacy Rights Act (CPRA), la cui approvazione è prevista entro fine anno, dovrebbe avere sulle aziende statunitensi un impatto analogo a quello prodotto dal GDPR nell’UE.

“Troviamo incoraggiante che quasi l’80% dei paesi a livello mondiale ha varato leggi in materia di cybersecurity”, afferma Vergroesen. “È essenziale continuare a espandere questa legislazione per fornire alle aziende chiari standard a cui attenersi.”

“Anche se diverse imprese coinvolte nell’azione di engagement si sono spinte ben oltre gli obblighi di legge, molte strategie di cybersecurity erano direttamente collegate a una legislazione specifica.”

Carenza di competenze

Esiste, purtroppo, un rovescio della medaglia: la maggiore attenzione alla cybersecurity ha alimentato la domanda di specialisti IT, creando di conseguenza una carenza di competenze. Secondo un rapporto della Information Systems Security Association, questo scarto tra domanda e offerta di tecnici qualificati si è manifestato anche nel 2021 per il quinto anno consecutivo.

“Con l’innalzamento degli standard di cybersecurity a livello globale, le aziende dovranno fare a gara per assumere persone in grado di lavorare in questo campo”, osserva Vergroesen. “Riteniamo quindi che le imprese dovrebbero concentrarsi sullo sviluppo di competenze informatiche all’interno delle loro organizzazioni, poiché la semplice acquisizione di talenti esterni potrebbe rivelarsi una sfida impegnativa.”

Ulteriore lavoro sulla cybersecurity

Adesso che lo specifico programma di engagement è terminato, il team si concentrerà sul tema della cybersecurity laddove questa diventi una conseguenza indiretta del processo di digitalizzazione.

“Anche se questo percorso di engagement si è concluso, la sicurezza informatica rimane un tema importante in quasi tutti i settori”, afferma Vergroesen.

“In particolare, i nostri temi di engagement sulla digitalizzazione della sanità e sull’impatto sociale dell’intelligenza artificiale continuano a focalizzarsi sulla diligente attuazione di pratiche di cybersecurity e riservatezza dei dati da parte delle imprese. C’è ancora molto lavoro da fare; come la tecnologia stessa, è un processo in continuo movimento.”

Logo

Disclaimer

Confermo di essere un cliente professionale

Le informazioni e le opinioni contenute in questa sezione del Sito cui sta accedendo sono destinate esclusivamente a Clienti Professionali come definiti dal Regolamento Consob n. 16190 del 29 ottobre 2007 (articolo 26 e Allegato 3) e dalla Direttiva CE n. 2004/39 (Allegato II), e sono concepite ad uso esclusivo di tali categorie di soggetti. Ne è vietata la divulgazione, anche solo parziale.

Al fine di accedere a tale sezione riservata, si prega di confermare di essere un  Cliente Professionale, declinando Robeco qualsivoglia responsabilità in caso di accesso effettuato da una persona che non sia un cliente professionale.

In ogni caso, le informazioni e le opinioni ivi contenute non costituiscono un'offerta o una sollecitazione all'investimento e non costituiscono una raccomandazione o consiglio, anche di carattere fiscale, o un'offerta, finalizzate all'investimento, e non devono in alcun caso essere interpretate come tali.

Prima di  ogni investimento, per una descrizione dettagliata delle caratteristiche, dei rischi e degli oneri connessi, si raccomanda di esaminare il Prospetto, i KIIDs delle classi autorizzate per la commercializzazione in Italia, la relazione annuale o semestrale e lo Statuto, disponibili sul presente Sito o presso i collocatori.
L’investimento in prodotti finanziari è soggetto a fluttuazioni, con conseguente variazione al rialzo o al ribasso dei prezzi, ed è possibile che non si riesca a recuperare l'importo originariamente investito.

Rifiuto