Premessa
Nell’ultimo articolo da me proposto in tema di miopia strategica e governo dei rischi davo evidenza del difetto di percezione che la comunità globale ha manifestato nei confronti dei rischi tecnologici considerati una minaccia prevalentemente solo nel breve termine(1). Mi riferivo a quanto segnalato nel Global Risk Report 2022 che parla, appunto, di difetto di percezione dei rischi globali (blind spot in risk perceptions)(2).
In questo articolo intendo svolgere qualche riflessione su questa forma di miopia provando a comprendere come ed in che modo con un più consapevole approccio ai rischi, possiamo curarla(3).
Va premesso come certamente appare giustificato che l’attenzione della comunità globale abbia orientato la percezione ai temi di cambiamento climatico, agli effetti della pandemia anche in termini di rischi economici, peraltro esacerbati dal recente conflitto in Ucraina. E questo terribile evento fa emergere la crescente rilevanza che i rischi tecnologici stanno assumendo e, quindi, pone i conseguenti interrogativi di come aumentare la nostra capacità di resilienza.
Diversamente ritengo non corretto, ai fini del governo e controllo dei rischi, pensare che il tema sia di esclusiva competenza “degli addetti ai lavori”, limitandosi agli aspetti di natura prettamente tecnologica. Certamente gli esperti hanno l’ultima parola sull’efficacia delle misure di mitigazione che non possono essere affrontate se non con il contributo di specifiche competenze tecnologiche. Ma un corretto inquadramento del tema in ambito strategico può aiutarci a comprendere come contribuire a soluzioni che possano proteggere le nostre organizzazioni sul lungo periodo, coerentemente alla missione che le funzioni di assurance e compliance devono proporsi.
L’affermazione della dimensione Cyber come quinto dominio della conflittualità mondiale
Nel settembre del 2010, il vice-segretario della Difesa americano William J. Lynn III ha pubblicamente qualificato il cyber-spazio come il quinto dominio della conflittualità dopo terra, mare, aria e spazio. In tal senso, la maggior parte degli Stati si sono immediatamente mossi per disegnare, attraverso la lente della propria cultura strategica, una strategia anche per il cyber-spazio, al fine di delineare le direttrici fondamentali verso quei precisi obiettivi di medio-lungo termine posti dal proprio governo.
Un passaggio, in realtà, quasi obbligatorio e forse “naturale”, per far fronte a una minaccia che anche solo sul piano della mera criminalità informatica e dello spionaggio elettronico cresce da anni con ritmi vertiginosi, incidendo profondamente sull’economia e la competitività di ciascuna nazione.
I rischi emergenti evidenziati travalicano i temi specifici del business assumendo una valenza molto ampia che episodi ormai quotidiani di pirateria informatica ed “hackeraggio” pongono all’attenzione delle cronache, peraltro amplificati dall’emergenza pandemica. Rammentiamo peraltro che(4) “da quando nell’aprile del 2007 l’Estonia è stata oggetto di una serie di attacchi di tipo DDoS (Distributed Denial of Service) capaci di paralizzare quasi completamente l’intera infrastruttura informatica del Paese, il settore della cybersecurity è stato oggetto di particolari attenzioni da parte dei governi di tutto il mondo. Questi nuovi “timori”, uniti all’accensione dei riflettori da parte dei media sulle tematiche del cyber-crime, della cyber-intelligence e del cyber-warfare, hanno creato a livello internazionale da un lato grandi opportunità di business e di mercato, ma dall’altro hanno attirato contestualmente un numero nel tempo sempre maggiore – per quantità e qualità – di attacchi informatici.“
Si comprende quindi che un’efficace strategia di mitigazione dei rischi può solo derivare da uno sforzo che veda diversi attori impegnati nella definizione di approcci integrati che siano in grado di prevenire ed intercettare le minacce anziché intervenire a posteriori quando esse si siano manifestate con conseguenze nefaste.
Quali strategie di difesa adottare? The “Zero Trust Approach” (ZTA) ai fini della Information Security
Utili indicazioni ci derivano dall’ AFCEA International (Armed Forces Communications & Electronics Association)(5) che dedica un interessante approfondimento sul tema illustrando il modello Zero Trust Approach (in seguito ZTA). Secondo tale approccio, nessun utente o dispositivo è considerato affidabile per accedere a una risorsa fino a quando non ne vengono verificate l’identità e l’autorizzazione. “Questo processo si applica a tutti coloro che normalmente si trovano all’interno di una rete privata, come un dipendente che lavora in modalità remota da casa con un computer aziendale o utilizza il proprio dispositivo mobile durante una conferenza in qualsiasi parte del mondo”(6). Si applica anche a tutte le persone e ai dispositivi esterni alla rete. Non importa se l’utente ha già effettuato l’accesso alla rete una o più volte, perché l’identità non viene considerata attendibile se non viene verificata continuamente. In pratica, tutti gli utenti, i sistemi e i server devono essere considerati non attendibili fino a prova contraria.
Lo ZTA assume quindi che non esiste nessuna implicita garanzia per un utente basato solo sulla locazione fisica della sua rete o basato sulla proprietà dei dispositivi dai quali accede. Questo approccio viene attuato mediante il ricorso a specifiche architetture e sistemi ed avviene mediante un adeguato utilizzo di “enabling technologies “ ai fini dei controlli. La stessa AFCEA riferisce come i “ Network defenders” necessitino di adeguate “dashboards to monitor the digital landscape“. Se ad esempio un utente o un dispositivo sembra cambiare continuamente modalità operative, viene contrassegnato e monitorato come potenziale minaccia su base continuativa (in altri termini: Continuous Monitoring).
Il passaggio da una strategia di difesa perimetrale ad una strategia basato su logiche ”Zero Trust”. Cosa cambia
Mentre per la progettazione di architetture tecnologiche e sistemi IT non possiamo che affidarci agli esperti, non dobbiamo invece trascurare le implicazioni che questo passaggio ha sui sistemi di controllo interno e gestione dei rischi essendo questo ambito di piena competenza delle funzioni di assurance, di secondo e terzo livello.
Ed a questo proposito va rammentato come tradizionalmente il sistema di controllo interno viene rappresentato come articolato in tre livelli o “linee di difesa” (three line of defence). L’analogia mutuata dalla strategia militare rappresenta l’organizzazione come un’entità protetta da tre livelli di fortificazione che presidiano gli “attacchi” (eventi di rischio) che possono verificarsi. Questa modalità di rappresentazione che mantiene una sua efficacia in termini di sintesi va allora ripensata tenendo conto che “un tempo era possibile adottare un approccio alla sicurezza in cui l’azienda veniva vista come un castello da difendere con mura e fossati, utilizzando il perimetro della rete per distinguere i buoni (all’interno) dai cattivi (all’esterno). Ma, così come castelli e fossati appartengono al passato, anche questo tipo di approccio alla sicurezza è ormai ampiamente superato.
Basta pensare alle attuali modalità di lavoro remoto. Oggi la forza lavoro e il posto di lavoro sono cambiati: il luogo, l’orario e il modo in cui le persone lavorano vanno ben oltre le quattro mura dell’ufficio. Con la diffusione del cloud, il classico perimetro di rete non esiste più. Molto spesso gli utenti e le applicazioni si trovano al di là del fossato, e non al suo interno. Questo approccio introduce varie vulnerabilità di sicurezza, che potrebbero essere sfruttate da utenti malintenzionati. Una volta entrati nel fossato, questi utenti sono liberi di muoversi, accedere alle risorse e agli asset di alto valore, come i dati dei clienti (o i gioielli della corona), oppure sferrare un attacco ransomware”(6).
Quali implicazioni e sfide per il governo e controllo dei Cyber Risk (CR)
Quanto rappresentato costituisce il campo nel quale gli attori della governance (ed in particolare i Board delle società) e le funzioni di Assurance dovranno confrontarsi.
Può essere d’ausilio a tal fine, un documento recente emesso dal WEF (World Economic Forum), in collaborazione con NACD (National Association of Cyber Director), che sintetizza alcuni temi fondamentali inerenti alla corporate governance dei Cyber rischi (CR), delineando linee di indirizzo importanti ai fini delle funzioni di indirizzo e controllo che devono svolgere gli organi di governo delle aziende(7).
I Board se vogliono supportare le organizzazioni affinché siano Cyber-Resilienti devono aderire ai seguenti 6 principi-cardine.
1) Considerare la sicurezza informatica come uno strumento (enabled) per la strategia aziendale
Come già evidenziato, la sicurezza informatica è più di un semplice problema IT, né può essere considerato come un tema formale di compliance. La sicurezza informatica, infatti, contribuisce sia al mantenimento del business sia a nuove opportunità per creare valore per l’impresa ed i suoi stakeholder.
- Il Board deve considerare gli impatti dei rischi IT sia a livello operativo e strategico, come punto ricorrente all’ordine del giorno per le riunioni consiliari con riferimento sia alla strategia e sia al modello di business.
- Il management, dal suo canto, deve identificare le opportunità, utilizzando la sicurezza informatica come elemento di differenziazione del mercato e criterio di decisione.
2) Comprendere i fattori (driver) economici e l’impatto dei Cyber Risk
Il processo decisionale aziendale richiede analisi delle tematiche economiche connesse ai Cyber Risk: molte iniziative aziendali che promuovono la redditività possono farlo aumentando anche l’esposizione ad essi.
Usando strumenti di analisi e pianificazione di scenario, i manager possono considerare potenziali guadagni e perdite in relazione a altri obblighi e priorità aziendali. Il Board dovrebbe, quindi, periodicamente rivedere e approvare l’appetito ai Cyber Risk come parte integrante del risk appetite e della tolleranza al rischio aziendale. Ciò anche richiedendo un esame continuo di comparazione misurazioni e metriche comparabili con altre imprese operanti nello stesso settore.
3) Allineare la gestione dei Cyber Risk alle esigenze aziendali (business needs)
Management e Board dovrebbero capire e valutare come gestire efficacemente i Cyber Risk nel perseguimento di obiettivi aziendali. Ciò concentrandosi su come trattare i Cyber Risk attraverso le leve del risk management (eliminazione o riduzione, accettazione, mitigazione o trasferimento). In tal modo, le organizzazioni possono creare un profilo di sicurezza che si allinei con esigenze aziendali e tolleranze al rischio definite.
Il Board deve, quindi, esaminare in modo critico l’attività dell’organizzazione, la strategia e i driver (in termini di crescita digitale) nel contesto delle loro implicazioni di Cyber Risk. Il management deve sottoporre al consiglio piani di sicurezza adeguatamente sviluppati, scritti e testati (o ruoli nel piano generale) per contrastare i potenziali eventi negativi. Ciò anche in occasione di nuove iniziative quali il lancio di un nuovo prodotto o di una nuova app digitale, ponendo anche attenzione sulle implicazioni in termini di rischi di compliance.
4) Garantire che la progettazione organizzativa supporti la sicurezza informatica
Le organizzazioni dovrebbero progettare una governance interna che affronti la sicurezza informatica in una logica di sistema di gestione integrato.
Ciò include la chiara identificazione di indicatori di performance chiave (Key Performance Indicator, KPI) tra tutti gli stakeholder interni per la gestione e il reporting dei rischi critici e l’integrazione delle pratiche di sicurezza informatica.
L’organo di governo deve svolgere la sua funzione di supervisione e garanzia (oversight) per garantire che la funzione di sicurezza informatica sia adeguatamente strutturata e dotata dei sufficienti poteri e mezzi.
5) Includere nei Board competenze ed esperienze in ambito Cyber Risk
I consigli di amministrazione devono avvalersi di advisor esterni e competenze interne per presidiare efficacemente la sicurezza informatica dell’organizzazione all’interno di un appropriato struttura incentrata sulla supervisione.
In tal senso vanno costruite relazioni con stakeholder che possano fornire competenze per guidare decisioni strategiche sulla sicurezza informatica. Ciò comprende anche:
- aumentare il livello di conoscenza di base degli amministratori mediante formazione e comunicazione anche con l’ausilio di consulenti e Advisor;
- effettuare audit periodici, test di penetrazione della sicurezza informatica e benchmarking di terze parti indipendenti
- effettuare sessioni regolari con il consiglio di amministrazione sui recenti incidenti informatici, tendenze, vulnerabilità e previsioni di rischio.
6) Incoraggiare la resilienza sistemica e la collaborazione
Il crescente livello di integrazione e interconnessione delle organizzazioni porta a propagare il rischio di eventi negativi che si diffondono oltre il perimetro aziendale per interessare intere filiere di industrie, settori ed economie. La cyber-resilienza richiede che le organizzazioni lavorino di concerto riconoscendo che solo l’azione collettiva e il partenariato possono fronteggiare la sfida dei rischi in modo efficace.
In conclusione, gli organi di governo, con il supporto delle funzioni di assurance dovranno:
- garantire che la direzione abbia piani efficaci collaborazione, soprattutto con il settore pubblico, sul miglioramento della resilienza informatica.
- assicurarsi che la gestione tenga conto dei rischi derivanti da terzi (ad es. terze parti, fornitori e partner)
- incoraggiare la partecipazione a piattaforme di condivisione delle informazioni
Ciò nell’ottica di affrontare in modo integrato i temi del controllo e la compliance che appare l ‘unico percorso perseguibile per operare in una logica di prevenzione delle minacce globali.
Intervento di Fabio ACCARDI, Docente di vari master ed executive programme presso Università di Roma Tor Vergata, Luiss Business School, Associazione Italiana Internal Auditors (AIIA) nonché membro di diversi OdV.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Fabio ACCARDI (2022) “Miopia Strategica e Governo e Controllo dei Rischi“, Risk & Compliance Platform Europe; www.riskcompliance.it
(2) The World Economic Forum (WEF) (2022), Global Risk Report 2022
(3) Questo articolo riprende temi trattati nel testo Fabio ACCARDI (2021) “Governo e controllo dei rischi -Manuale per scelte consapevoli e sostenibili. Metodologia, casi ed esemplificazioni“; Edizione Franco Angeli
(4) Mele (2013) “I principi strategici delle politiche di cybersecurity”; www.sicurezzanazionale.gov.it
(5) ACFEA nasce nel 1946 negli Stati Uniti d’America (USA) come ente no-profit con l’obiettivo di svolgere il ruolo di punto di congiunzione tra la Difesa, la Pubblica Amministrazione, l’Industria ed il mondo Accademico, al fine di sviluppare le conoscenze professionali e le relazioni nel campo delle Comunicazioni, dell’IT, dell’Intelligence e della Sicurezza Globale (fonte: sito AFCEA ).L ‘articolo al quale si fa riferimento (The Zero Trust approach to Information Security for the mobile work force) e’comparso sulla Rivista Signal (rivista ufficiale dell’Associazione) in agosto 2021.
(6) ripreso da Akamai “Che cos’è il modello Zero Trust?” www.akamai.com
(7) NACD (National Association of Cyber Director), World Economic Forum, Internet Security Alliance in collaborazione con Price Waterhouse Coopers (2021) “Principle for Board governance of Cyber Risk”; www.weforum. org
