Cybersecurity e Privacy: BDO Italia per un approccio olistico alla sicurezza dei dati e delle informazioni aziendali
La cybersecurity, intesa come strategia evoluta per la tutela degli assets, delle informazioni e dei dati aziendali, nonché per la difesa attiva dalle varie minacce sia fisiche sia informatiche, è un tema sempre più centrale negli scenari di risk management, come evidenziato anche da alcuni studi del network BDO.
Uno dei risultati salienti emerge dal BDO Global Risk Landscape Report, ove le minacce dallo cyberspazio sono indicate al quarto posto tra i rischi che le imprese di tutto il mondo temono maggiormente, a seguire quello della concorrenza sleale, la perdurante crisi economica e i cambiamenti di mercato che hanno un forte impatto sull’economia globale, come ad esempio Brexit1.
In Italia le istanze legate alla cyber-sicurezza stanno diventando sempre più all’ordine del giorno sia nel pubblico sia nel privato. Non solo, il tema della sicurezza in ambito cyberspace, deve anche necessariamente passare dall’ottemperanza alla normativa a livello UE sulla privacy (GDPR – General Data Protection Regulation – regolamento UE 2016/679), adottato il 27 aprile 2016 che gli stati membri devono ratificare entro il maggio 2018, Italia compresa. Appare chiaro come un approccio alla privacy basato sul rischio, come richiede il nuovo regolamento EU, non possa prescindere dagli aspetti di sicurezza informatica, essendo ormai la quasi totalità dei dati aziendali gestiti tramite sistemi informatici più o meno permeabili a cyber-minacce.
In attesa dell’adozione di un indirizzo strategico nazionale, come annunciato dall’attuale Governo Gentiloni, condiviso da tutte le organizzazioni per fronteggiare il Cyber Crime, BDO Italia promuove l’applicazione del CyberSecurity Framework (CSF) – pubblicato dal NIST – U.S. National Institute of Standards and Technology – nel 2014, e già adottato con successo dal 30% delle aziende statunitensi, i cui principi generali sono stati ripresi nel Framework Nazionale per la CyberSecurity Italiana, documento pubblicato nel febbraio 2016, su iniziativa del CIS (Centro di Ricerca di Cyber Intelligence and Information Security) dell’Università La Sapienza, che individua una serie di attività volte alla riduzione e alla gestione proattiva del livello di rischio cyber.
“Con il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) e la Direttiva NIS (Network and Information Security) il processo di gestione e notifica nei casi di violazione di sicurezza dei dati personali e di incidenti con impatto significativo sulla continuità dei servizi essenziali, sono cambiati notevolmente e l’Italia dovrà essere pronta non appena attuati. I tempi sono maturi, e per certi versi non prorogabili, perché gli Organi Amministrativi e di Controllo aggiornino in maniera integrata le proprie strategie di cybersecurity e protezione dei dati, anche ai fini dell’ottemperanza al nuovo regolamento europeo sulla privacy” dichiara Stefano Minini, Risk & Advisory Services partner di BDO Italia.
La sicurezza informatica non è più materia dei soli reparti IT ma deve essere affrontata a livello strategico e apicale. Per tale ragione, lo sviluppo di una strategia efficace per il presidio integrato della cybersecurity e della privacy può partire dalle risposte, da parte dei Consigli di Amministrazione, ad alcune domande “chiave” e da tutte le conseguenti riflessioni rispetto ai criteri d’aggiornamento dei processi, dell’organizzazione e del sistema di controllo interno:
1. Esiste una mappatura dei sistemi fisici e informatici per la gestione dei dati e delle informazioni aziendali? Se sì, con quali metodologie e rispetto a quali standard è stata implementata?
2. Sono stati individuati i rischi di violazione dei sistemi fisici e informatici per la gestione dei dati e delle informazioni aziendali, tenuto conto sia di possibili attacchi informatici che di possibili perdite derivanti da comportamenti umani?
3. Sono stati valutati e quantificati gli effetti economici, reputazionali e di business derivanti da eventuali violazioni dei sistemi o perdite di dati?
4. Il sistema di controllo interno adottato, in termini di analisi dei processi, procedure di governance delle infrastrutture e dei sistemi, attività di monitoraggio e auditing, si estende anche agli aspetti di cybersecurity e tutela della privacy? Sono stati pianificati test e simulazioni per valutarne l’efficacia (es. penetration test)?
5. Le diverse Funzioni aziendali con compiti di controllo e supporto al business sono adeguatamente coordinate per assicurare che il presidio dei rischi di violazione di sistemi o perdita dei dati sia sufficientemente solido? È stata considerata la necessità di introdurre nuove funzioni organizzative di presidio come il Data Protection Officer previsto dal nuovo regolamento europeo sulla privacy e l’eventuale sua obbligatorietà in base alle attività svolte?
6. Le competenze tecniche delle risorse aziendali sono sufficienti per identificare i rischi, prevenire attacchi e violazioni ed intervenire tempestivamente in caso di minaccia? Sono stati implementati piani di formazione generale e specialistica?
7. Sono stati istituiti canali di comunicazione immediata al vertice (flussi di reporting) in caso di attacchi, violazione di sistemi o perdita di dati, in grado di garantire una immediata gestione e comunicazione apicale in situazioni di crisi (es. data breach notification prevista dal GDPR)?
8. Le terze parti (fornitori, partner, outsourcer, IT provider, ecc.) coinvolte in processi aziendali chiave o nella gestione di dati e informazioni aziendali sensibili, offrono adeguate garanzie per la loro conservazione e tutela? Sono stati mappati e condivisi i rischi afferenti le terze parti?
9. Sono stati adeguatamente valutati gli aspetti legali relativi alle garanzie di conservazione e tutela sopra indicate e alla possibilità di effettuare presso terzi interventi di monitoraggio e controllo, anche in termini di clausole contrattuali e misure di tutela nei contratti con terze parti?
10. Sono state valutate eventuali coperture assicurative in caso di violazione o perdita dei dati? Sono stati valutati adeguatamente i massimali delle coperture rispetto alla portata economica dei rischi?
Per il documento “Cyber-security e nuovo regolamento europeo per la privacy (GDPR): i quattro consigli di BDO per mettere al sicuro i propri dati e le dieci domande che i C.d.A. dovrebbero porsi”, rappresentato in modo schematico, cliccare qui.
1BDO Global Risk Landscape Report 2016 – Indagine effettuata nella prima metà del 2016 presso 500 top manager e manager esperti in 44 paesi nel mondo presso medie imprese con meno di 1000 dipendenti fino alle grandi corporation con decine di migliaia di dipendenti. L’indagine, che ha cadenza annuale, ha lo scopo di intercettare la percezione di rischio tra i business leader a livello internazionale.
la Redazione