Quali sono le principali sfide per le imprese?
Per affrontare questi rischi, molte aziende stanno spostando i data center e i sistemi di sicurezza on-site verso soluzioni basate su cloud. Il ritmo di questa transizione sta accelerando, in quanto gli utenti con minore capacità di archiviazione su cloud migrano per sincronizzare meglio i loro sistemi. Tuttavia, la sicurezza basata su cloud suscita nuove preoccupazioni. Di seguito elenchiamo alcuni temi ricorrenti esposti dai professionisti della cybersecurity.
Costruzione dell'infrastruttura: le imprese si trovano ad affrontare due importanti dilemmi: scegliere una soluzione da una folta schiera di fornitori di soluzioni di sicurezza e gestire i sistemi. Secondo un fornitore che installa diverse piattaforme di sicurezza basate su cloud, un problema comune è quello di creare un unico dashboard per gestire una rete di soluzioni diverse, che vanno dalla protezione degli end point alle soluzioni di parametrizzazione dei sistemi cloud. Inoltre, visto il gran numero di soluzioni simili disponibili sul mercato, alcune imprese non sanno che fare: impiegano troppo tempo per trovare la soluzione perfetta, anziché creare un'infrastruttura iniziale da aggiornare nel tempo.
Monitoraggio, formazione e governance dei sistemi: dopo aver costruito l'infrastruttura, le imprese hanno bisogno di personale adeguatamente formato per monitorare e gestire i sistemi, nonché di una struttura di governance per preservarne l'integrità. L'ottimizzazione dei sistemi interni e dei prodotti dei fornitori esterni richiede tempo e risorse ed è ulteriormente complicata dal fatto che molti dei principali fornitori di cybersecurity acquisiscono attivamente concorrenti più piccoli, con il rischio di creare incompatibilità tra i prodotti.
Cosa definisce una solida struttura di governance della cybersecurity? In primo luogo, riteniamo essenziale approntare una chiara struttura di riporto alla commissione del consiglio responsabile della supervisione, con relazioni scritte in un linguaggio non gergale che possano essere facilmente comprese da amministratori privi di competenze informatiche avanzate. Analogamente, è utile predisporre una semplice matrice con una classificazione dei rischi nelle categorie "Alto, Medio, Basso" nonché elaborare report sulle azioni di mitigazione e tassonomie delle minacce. Con la maturazione del processo di governance, il responsabile legale, il consiglio di amministrazione e i dirigenti dell'azienda dovrebbero interagire più spesso con il team di sicurezza informatica. La supervisione deve estendersi ai dipendenti preposti alla gestione e al monitoraggio dei sistemi. Infine, le aziende devono essere consapevoli dell'importanza di scegliere i fornitori giusti; quanto più diffuso è un servizio, tanto più numerosi saranno i professionisti in grado di gestire i sistemi.
Aumento dei costi di implementazione/reperimento delle risorse: molti CIO ci hanno detto di avere difficoltà con la gestione dei costi. In alcuni casi, basta una singola modifica a un server per incrementare notevolmente nel tempo i costi complessivi di un intero sistema. Inoltre, spesso i fornitori non espongono chiaramente i crescenti costi del monitoraggio e del mantenimento di una solida infrastruttura di cybersecurity. Per evitare queste insidie è utile eseguire controlli sulle integrazioni apportate da dipendenti e adottare un modello lungimirante dei costi dell'infrastruttura, soprattutto nelle aziende che hanno meno risorse dedicate all'informatica. Un altro fattore è il costo dell'assicurazione dei sistemi; le prestazioni assicurative possono ridursi se si aggiungono nuovi fornitori e si aggiornano i sistemi, o se la copertura diminuisce. Ad esempio, Lloyd's of London ha recentemente annunciato che smetterà di vendere assicurazioni contro gli attacchi informatici sponsorizzati da uno Stato.
Come valutare la gestione del rischio informatico?
Per valutare la strategia e le misure prese da un'azienda sul fronte della cybersecurity, gli investitori devono porre le domande giuste e focalizzarsi sulle risorse finanziarie stanziate. Come vengono segnalati i problemi informatici al consiglio di amministrazione? Come sono monitorati i rischi e come si procede all'escalation? Quali collaudi di sistema e piani di risposta sono stati attuati? I dipendenti sono preparati ad affrontare un attacco?
I colloqui con gli amministratori e i dirigenti possono fornire importanti indicazioni sulle competenze di cybersecurity. In occasione di recenti iniziative di engagement abbiamo scoperto che le imprese fortemente consapevoli dei rischi sono più disposte a discutere dell'argomento e a fornire informazioni sulla governance, sul reporting e sulla formazione. Una risposta vaga o generica potrebbe indicare che un'azienda è meno preparata alle minacce, in ritardo rispetto ai concorrenti e più vulnerabile agli attacchi. Altre importanti indicazioni sulle strategie e le azioni intraprese sono fornite dalle somme stanziate per la cybersecurity. Completa il quadro la trasparenza sulle spese per l'assicurazione informatica, le risorse, i fornitori o lo sviluppo in-house.
Strategie coerenti per affrontare minacce complesse
All'aumentare delle minacce, le aziende devono intensificare gli sforzi per contrastare gli attacchi e proteggere i propri dati e sistemi. Le piccole e medie imprese possono essere esposte a rischi maggiori, poiché molte sono agli inizi del loro percorso di cybersecurity e i loro sistemi presentano lacune che potrebbero attirare i malintenzionati.
Per le società di tutte le dimensioni, gli investitori dovrebbero esaminare i sistemi informatici esistenti e approfondire la governance, le risorse e il reporting sulla sicurezza. Con strategie coerenti in ciascuna area, le imprese saranno più preparate a prevenire e rispondere agli attacchi informatici. Attuando un engagement regolare con i team manageriali su questi temi, gli investitori avranno più frecce al loro arco per incorporare il profilo di cybersecurity di un'azienda in una più ampia valutazione del rischio delle posizioni in portafoglio e delle società candidate all'inclusione.
Ha contribuito alla presente analisi Robert Keehn, Proxy and ESG Engagement Associate del team Responsible Investing di AB.