Investire in Cybersecurity

difese digitali e buona governance

23 novembre 2022

4 min read

Con gli attacchi hacker e le violazioni dei dati, la cybersecurity e la sicurezza dei dati sono diventate questioni prioritarie per le aziende di tutto il mondo. In un mondo digitale alle prese con la necessità di rafforzare le difese informatiche, gli investitori devono affrontare problemi di governance e rischi aziendali crescenti.

La cybersecurity e la sicurezza dei dati sono temi caldi in tutti i settori. Minacce sempre nuove costringono le imprese a testare continuamente le proprie difese e la propria reattività, per cercare di ridurre al minimo i danni di un potenziale attacco. Le dichiarazioni pubbliche in merito al grado di preparazione spesso esagerano il livello delle difese effettivamente approntate.

A dispetto della consapevolezza delle aziende, per molti investitori la cybersecurity non è una priorità. Riteniamo che questo sia un errore, soprattutto perché le questioni di governance sono un aspetto importante nell’ambito delle questioni ambientali, sociali e di governance (ESG). Le aziende impreparate rischiano di andare incontro a perdite finanziarie, sanzioni e danni alla reputazione che possono compromettere l'attività operativa, il brand e il potenziale di rendimento di un titolo azionario o obbligazionario. Abbiamo parlato con professionisti della cybersecurity in diversi settori e abbiamo esaminato il panorama normativo per fornire agli investitori qualche indicazione per valutare la gestione del rischio informatico.

Quantificare i costi di attacchi sempre più intensi

Gli attacchi informatici sono molto costosi. Secondo la società di cybersecurity SonicWall, nella prima metà del 2022 si sono registrati almeno 2,8 miliardi di attacchi malware a livello globale, in aumento dell'11% rispetto ai 12 mesi precedenti.

Stando a uno studio del Ponemon Institute e di IBM Security, nel 2022 il costo per singola violazione di dati ha raggiunto a livello globale la cifra record di 4,4 milioni di dollari. I costi di ripristino variano a seconda del grado di sofisticazione dei sistemi dell'impresa e dell'importanza del lavoro in remoto, che tende ad accrescere le spese.

Alcuni settori sono più a rischio di altri (cfr. Grafico). Tuttavia, in un mondo sempre più connesso, nessuna azienda è al sicuro. L'aumento dei rischi ha condotto a una maggiore regolamentazione. Solo negli Stati Uniti, nell'ultimo anno sono state emanate tre nuove norme: la SEC Cybersecurity Rule, il Cyber Incident Reporting for Critical Infrastructure Act e il Ransomware and Financial Stability Act del 2021. Intanto i governi sono in stato di massima allerta, visto l'aumento degli attacchi informatici dall'inizio della guerra tra Russia e Ucraina. In questo quadro in continua evoluzione, le imprese non possono permettersi di ignorare il problema.

Nessun settore è immune dagli attacchi informatici

Ripartizione degli attacchi sui primi 10 settori a livello globale (percentuale)

Al 31 dicembre 2021
Fonte: IBM Security X-Force

Quali sono le principali sfide per le imprese?

Per affrontare questi rischi, molte aziende stanno spostando i data center e i sistemi di sicurezza on-site verso soluzioni basate su cloud. Il ritmo di questa transizione sta accelerando, in quanto gli utenti con minore capacità di archiviazione su cloud migrano per sincronizzare meglio i loro sistemi. Tuttavia, la sicurezza basata su cloud suscita nuove preoccupazioni. Di seguito elenchiamo alcuni temi ricorrenti esposti dai professionisti della cybersecurity.

Costruzione dell'infrastruttura: le imprese si trovano ad affrontare due importanti dilemmi: scegliere una soluzione da una folta schiera di fornitori di soluzioni di sicurezza e gestire i sistemi. Secondo un fornitore che installa diverse piattaforme di sicurezza basate su cloud, un problema comune è quello di creare un unico dashboard per gestire una rete di soluzioni diverse, che vanno dalla protezione degli end point alle soluzioni di parametrizzazione dei sistemi cloud. Inoltre, visto il gran numero di soluzioni simili disponibili sul mercato, alcune imprese non sanno che fare: impiegano troppo tempo per trovare la soluzione perfetta, anziché creare un'infrastruttura iniziale da aggiornare nel tempo.

Monitoraggio, formazione e governance dei sistemi: dopo aver costruito l'infrastruttura, le imprese hanno bisogno di personale adeguatamente formato per monitorare e gestire i sistemi, nonché di una struttura di governance per preservarne l'integrità. L'ottimizzazione dei sistemi interni e dei prodotti dei fornitori esterni richiede tempo e risorse ed è ulteriormente complicata dal fatto che molti dei principali fornitori di cybersecurity acquisiscono attivamente concorrenti più piccoli, con il rischio di creare incompatibilità tra i prodotti.

Cosa definisce una solida struttura di governance della cybersecurity? In primo luogo, riteniamo essenziale approntare una chiara struttura di riporto alla commissione del consiglio responsabile della supervisione, con relazioni scritte in un linguaggio non gergale che possano essere facilmente comprese da amministratori privi di competenze informatiche avanzate. Analogamente, è utile predisporre una semplice matrice con una classificazione dei rischi nelle categorie "Alto, Medio, Basso" nonché elaborare report sulle azioni di mitigazione e tassonomie delle minacce. Con la maturazione del processo di governance, il responsabile legale, il consiglio di amministrazione e i dirigenti dell'azienda dovrebbero interagire più spesso con il team di sicurezza informatica. La supervisione deve estendersi ai dipendenti preposti alla gestione e al monitoraggio dei sistemi. Infine, le aziende devono essere consapevoli dell'importanza di scegliere i fornitori giusti; quanto più diffuso è un servizio, tanto più numerosi saranno i professionisti in grado di gestire i sistemi.

Aumento dei costi di implementazione/reperimento delle risorse: molti CIO ci hanno detto di avere difficoltà con la gestione dei costi. In alcuni casi, basta una singola modifica a un server per incrementare notevolmente nel tempo i costi complessivi di un intero sistema. Inoltre, spesso i fornitori non espongono chiaramente i crescenti costi del monitoraggio e del mantenimento di una solida infrastruttura di cybersecurity. Per evitare queste insidie è utile eseguire controlli sulle integrazioni apportate da dipendenti e adottare un modello lungimirante dei costi dell'infrastruttura, soprattutto nelle aziende che hanno meno risorse dedicate all'informatica. Un altro fattore è il costo dell'assicurazione dei sistemi; le prestazioni assicurative possono ridursi se si aggiungono nuovi fornitori e si aggiornano i sistemi, o se la copertura diminuisce. Ad esempio, Lloyd's of London ha recentemente annunciato che smetterà di vendere assicurazioni contro gli attacchi informatici sponsorizzati da uno Stato.

Come valutare la gestione del rischio informatico?

Per valutare la strategia e le misure prese da un'azienda sul fronte della cybersecurity, gli investitori devono porre le domande giuste e focalizzarsi sulle risorse finanziarie stanziate. Come vengono segnalati i problemi informatici al consiglio di amministrazione? Come sono monitorati i rischi e come si procede all'escalation? Quali collaudi di sistema e piani di risposta sono stati attuati? I dipendenti sono preparati ad affrontare un attacco?

I colloqui con gli amministratori e i dirigenti possono fornire importanti indicazioni sulle competenze di cybersecurity. In occasione di recenti iniziative di engagement abbiamo scoperto che le imprese fortemente consapevoli dei rischi sono più disposte a discutere dell'argomento e a fornire informazioni sulla governance, sul reporting e sulla formazione. Una risposta vaga o generica potrebbe indicare che un'azienda è meno preparata alle minacce, in ritardo rispetto ai concorrenti e più vulnerabile agli attacchi. Altre importanti indicazioni sulle strategie e le azioni intraprese sono fornite dalle somme stanziate per la cybersecurity. Completa il quadro la trasparenza sulle spese per l'assicurazione informatica, le risorse, i fornitori o lo sviluppo in-house.

Strategie coerenti per affrontare minacce complesse

All'aumentare delle minacce, le aziende devono intensificare gli sforzi per contrastare gli attacchi e proteggere i propri dati e sistemi. Le piccole e medie imprese possono essere esposte a rischi maggiori, poiché molte sono agli inizi del loro percorso di cybersecurity e i loro sistemi presentano lacune che potrebbero attirare i malintenzionati.

Per le società di tutte le dimensioni, gli investitori dovrebbero esaminare i sistemi informatici esistenti e approfondire la governance, le risorse e il reporting sulla sicurezza. Con strategie coerenti in ciascuna area, le imprese saranno più preparate a prevenire e rispondere agli attacchi informatici. Attuando un engagement regolare con i team manageriali su questi temi, gli investitori avranno più frecce al loro arco per incorporare il profilo di cybersecurity di un'azienda in una più ampia valutazione del rischio delle posizioni in portafoglio e delle società candidate all'inclusione.

Ha contribuito alla presente analisi Robert Keehn, Proxy and ESG Engagement Associate del team Responsible Investing di AB.

Le opinioni espresse nel presente documento non costituiscono ricerca, consulenza di investimento o raccomandazioni di acquisto o di vendita, e non rappresentano necessariamente le opinioni di tutti i team di gestione di AB; tali opinioni sono soggette a revisione nel corso del tempo.

Questa è una comunicazione di marketing. Le presenti informazioni sono fornite da AllianceBernstein (Luxembourg) S.à r.l. Société à responsabilité limitée, R.C.S. Lussemburgo B 34 305, 2-4, rue Eugène Ruppert, L-2453 Lussemburgo. Autorizzata in Lussemburgo e regolamentata dalla Commission de Surveillance du Secteur Financier (CSSF). Vengono fornite unicamente a scopo informativo e non rappresentano una consulenza d’investimento né un invito all’acquisto di titoli o altri investimenti. I giudizi e le opinioni espressi sono basati sulle nostre previsioni interne e non vanno intesi come indicazioni della futura performance dei mercati. Il valore degli investimenti in qualsiasi fondo può diminuire o aumentare e un investitore può anche non riottenere l’intera somma investita. La performance passata non costituisce garanzia di risultati futuri.