Un criminale informatico, impossibilitato ad accedere direttamente alla rete di una nota compagnia petrolifera, ha infettato con un malware il menù online di un ristorante frequentato abitualmente dai dipendenti dell’azienda. Quando questi hanno ordinato il pranzo attraverso il sito, il cybercriminale ha ottenuto l’accesso non autorizzato al sistema informatico della compagnia, riuscendo infine a violarne la sicurezza.

Questo esempio emblematico illustra con crudezza come la vulnerabilità di un’intera infrastruttura aziendale possa essere sfruttata partendo da un punto d’accesso esterno e apparentemente irrilevante. I danni economici globali causati annualmente da attacchi informatici superano i 400–500 miliardi di dollari, una cifra che impone una riflessione radicale sul concetto stesso di protezione digitale all’interno delle organizzazioni.

In un mondo iperconnesso, i benefici della globalizzazione possono essere pienamente realizzati solo a condizione che le infrastrutture digitali siano sicure e robuste. La protezione degli stakeholder, dunque, non è più un’opzione accessoria ma un imperativo strategico da integrare sin dall’origine nei protocolli di cybersicurezza. Tuttavia, troppo spesso i consigli di amministrazione subordinano queste esigenze a priorità come l’innovazione tecnologica o l’incremento della redditività. Questo squilibrio decisionale si traduce in costi economici, reputazionali e regolamentari altissimi.

Le tecnologie emergenti come il cloud computing o i dispositivi intelligenti, se implementate in modo inadeguato, possono diventare veicoli di vulnerabilità. Viceversa, quando gestite correttamente, rafforzano la sicurezza informatica. Ciò che occorre è una governance consapevole che sappia bilanciare innovazione e rischio, redditività e protezione. Il ruolo del consiglio di amministrazione, in questo senso, diventa cruciale: non solo per approvare strategie, ma per imprimere un orientamento culturale che permei ogni livello dell’organizzazione.

L’integrazione delle pratiche di cybersecurity in ogni processo aziendale non può essere lasciata all’iniziativa del reparto IT. Limitare i privilegi amministrativi, aggiornare regolarmente i software, applicare politiche di whitelisting: sono tutti controlli basilari in grado di prevenire più dell’85% delle intrusioni. Tuttavia, per essere efficaci, queste misure richiedono una leadership informata e determinata.

La sicurezza informatica deve essere affrontata come un problema di gestione del rischio su scala aziendale, e non come una mera questione tecnica. Storicamente, le aziende hanno trattato la sicurezza dei dati come una responsabilità esclusiva del dipartimento IT, marginalizzando il problema dal punto di vista strategico. Questo approccio ha generato una disconnessione tra la governance e la gestione del rischio, impedendo valutazioni critiche, investimenti mirati e comunicazioni efficaci.

Il consiglio di amministrazione deve avere piena consapevolezza della tipologia e della gravità dei rischi informatici cui l’azienda è esposta. Solo così potrà autorizzare la direzione a predisporre strategie adeguate di prevenzione e risposta. Ma non basta: è necessaria una cultura organizzativa condivisa, in cui ogni dipartimento sia coinvolto nella consapevolezza e gestione del rischio. L’ignoranza o l’indifferenza anche in un solo segmento dell’organizzazione può trasformarsi in un punto d’ingresso per gli attacchi.

Non si tratta solo di proteggere i dati, ma di garantire la continuità operativa, la reputazione aziendale, la fiducia degli investitori e la conformità normativa. Per questo, i consigli di amministrazione devono adottare un approccio proattivo, capace di generare intelligence, anticipare le minacce, testare costantemente la resilienza dei sistemi e aggiornare le strategie di conseguenza.

L’associazione europea dei direttori e l’Internet Security Alliance indicano cinque principi fondamentali per la gestione del rischio cibernetico. Il primo e più fondamentale è che la cybersecurity dev’essere compresa come un rischio trasversale e sistemico, non confinato alla sfera tecnica. Ogni impresa, indipendentemente dal settore, dipende oggi da infrastrutture digitali il cui malfunzionamento può paralizzare interi ecosistemi produttivi.

È essenziale, infine, che i principi di cybersecurity siano adattati alle caratteristiche specifiche di ciascuna impresa: dalla fase del ciclo di vita del prodotto alla dimensione dell’organizzazione, dai piani strategici alla cultura interna, dalla localizzazione geografica alle istanze degli stakeholder. Solo un modello flessibile, ma rigorosamente guidato dalla governance, può garantire la sicurezza sostenibile in un contesto digitale sempre più esposto e complesso.

Il Ruolo del Consiglio di Amministrazione nella Supervisione dei Rischi Cibernetici e la Protezione dei Dati Aziendali

Il settore della cybersecurity è diventato sempre più cruciale per le organizzazioni di ogni dimensione, specialmente con l'ascesa delle tecnologie finanziarie e l'evoluzione del panorama delle minacce cibernetiche. Le minacce alla sicurezza informatica non solo mettono a rischio le operazioni aziendali quotidiane, ma possono anche compromettere la fiducia dei clienti e danneggiare irreparabilmente la reputazione di un'azienda. Le politiche di sicurezza informatica, sempre più sofisticate e complesse, sono dunque diventate un elemento essenziale nelle agende di governance aziendale, con il consiglio di amministrazione chiamato a svolgere un ruolo fondamentale nella supervisione e gestione di questi rischi.

Con l'evoluzione rapida delle tecnologie, anche i rischi associati sono in continua espansione, richiedendo che le organizzazioni sviluppino e implementino misure di protezione sempre più avanzate. La protezione dei dati e la gestione della privacy sono aspetti centrali di questo processo, e sono regolati da normative sempre più severe, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, che ha avuto un impatto significativo anche sui paesi dell'America Latina. Questi stati stanno progressivamente adattando le loro normative nazionali sulla protezione dei dati per allinearsi con gli standard europei, un passo importante per garantire una protezione uniforme e un'efficace gestione della cybersecurity su scala globale.

Nonostante gli sforzi legislativi per migliorare la protezione dei dati, è fondamentale che le aziende comprendano come la sicurezza informatica debba essere gestita all'interno della loro struttura. Il consiglio di amministrazione, in particolare, deve sviluppare requisiti organizzativi e tecnici che favoriscano l'adozione di misure appropriate per garantire un elevato livello di protezione e privacy. La protezione delle informazioni aziendali non si limita alla sicurezza dei dati dei clienti, ma include anche la salvaguardia dei propri asset aziendali da attacchi informatici che potrebbero compromettere la stabilità finanziaria dell'azienda stessa.

L'importanza di una supervisione adeguata da parte del consiglio di amministrazione è amplificata dal fatto che la maggior parte delle aziende, in particolare quelle che operano nel settore delle tecnologie finanziarie, si trovano ad affrontare minacce cibernetiche sempre più sofisticate. La gestione dei rischi cibernetici non può più essere una risposta reattiva e limitata alla difesa del perimetro aziendale, ma deve essere anticipata, strutturata e proattiva. Il consiglio di amministrazione ha il compito di garantire che l'azienda sviluppi una strategia globale che non solo risponda agli attacchi, ma che li prevenga in modo mirato e continuo.

Una delle sfide principali che i consigli di amministrazione devono affrontare riguarda la mancanza di conoscenza adeguata dei rischi informatici. Secondo un sondaggio condotto dalla National Association of Corporate Directors (NACD) nel 2016, solo una piccola percentuale dei membri dei consigli di amministrazione ha una conoscenza adeguata dei rischi cibernetici. Questo gap di competenze è preoccupante, poiché impedisce una gestione efficace dei rischi cibernetici. Non è sufficiente che i membri del consiglio abbiano una comprensione superficiale; è necessario che abbiano una conoscenza approfondita dei principali rischi a cui l'azienda è esposta, delle strategie di attacco informatico più comuni e dei protocolli di difesa sviluppati dall'organizzazione.

Il consiglio di amministrazione deve essere proattivo nella gestione dei rischi informatici, cercando di individuare vulnerabilità prima che si verifichino danni significativi. Inoltre, deve monitorare regolarmente l'evoluzione delle normative in ambito di cybersecurity, in particolare quelle riguardanti la protezione dei dati e la sicurezza finanziaria, in modo da poter adattare rapidamente le proprie strategie alle nuove direttive internazionali e nazionali. La formazione continua e gli aggiornamenti costanti da parte della direzione sono fondamentali per garantire che il consiglio di amministrazione rimanga allineato con i cambiamenti normativi e tecnici.

Un altro aspetto cruciale riguarda la gestione della relazione con i consulenti legali, sia interni che esterni all'organizzazione. Questi professionisti sono fondamentali nel mitigare i rischi legali associati agli attacchi cibernetici, aiutando l'azienda a navigare nelle complessità giuridiche che derivano da una violazione dei dati. Il consiglio di amministrazione deve interagire strettamente con il management per sviluppare un piano di risposta agli incidenti che tenga conto delle implicazioni legali e reputazionali, e per garantire che l'azienda sia pronta a fronteggiare potenziali azioni legali da parte di azionisti o altre parti coinvolte.

Un'altra responsabilità chiave del consiglio di amministrazione è quella di assicurarsi che le decisioni strategiche in ambito cybersecurity siano guidate da principi di gestione aziendale ben consolidati, come la sfida costruttiva e la capacità di fare domande critiche. In questo contesto, molte aziende stanno iniziando ad aggiungere esperti di cybersecurity e/o tecnologie dell'informazione al loro consiglio di amministrazione, al fine di colmare il gap di competenze. Tuttavia, questa non è una soluzione universale e dipende dalle dimensioni e dalle risorse di ciascuna organizzazione.

È essenziale che il consiglio di amministrazione sia non solo ben informato sui rischi e le minacce cibernetiche, ma anche in grado di prendere decisioni rapide e adeguate in caso di emergenze. La reputazione dell'azienda, la continuità operativa e la protezione degli asset aziendali dipendono da come il consiglio affronta questi rischi. La resilienza dell'organizzazione di fronte agli attacchi cibernetici non è solo una questione di tecnologia, ma anche di governance e leadership strategica.

Qual è l'importanza della governance della cybersecurity nelle aziende moderne?

La crescente minaccia degli attacchi informatici ha messo in evidenza la necessità fondamentale di una governance della cybersecurity efficace e proattiva. Le conseguenze di queste minacce vanno ben oltre il semplice danno finanziario, includendo danni reputazionali, sanzioni normative e anche interruzioni operative. È quindi essenziale che le aziende, grandi e piccole, sviluppino e implementino strategie robuste per affrontare questo fenomeno in continua evoluzione.

Un esempio evidente di come una gestione inadeguata della cybersecurity possa provocare danni considerevoli è il caso di Colonial Pipeline, un attacco che ha interrotto il flusso di carburante attraverso il più grande oleodotto degli Stati Uniti nel 2021. Gli hacker sono riusciti ad accedere alla rete dell'azienda attraverso una password compromessa, ottenendo l'accesso a dati sensibili e costringendo l'azienda a pagare un riscatto di 4,4 milioni di dollari in criptovalute per evitare la divulgazione di informazioni confidenziali. Questo incidente non solo ha avuto ripercussioni economiche immediate, ma ha anche messo in luce la vulnerabilità delle infrastrutture critiche in un contesto digitale.

Simili episodi sono accaduti in vari settori. JSB Meat Parker, leader mondiale nel settore della carne, ha subito un attacco che ha interrotto la produzione in diverse nazioni, minacciando la disponibilità di carne e aumentando il rischio di un'impennata dei prezzi dei prodotti alimentari. Marriott International, invece, ha visto un massiccio furto di dati personali che ha coinvolto oltre 5 milioni di clienti, mettendo in evidenza l'importanza di proteggere le informazioni sensibili dei consumatori.

Questi attacchi, che spaziano da violazioni di dati personali a interruzioni complete delle operazioni aziendali, sono solo alcuni esempi di come la cybersecurity possa diventare un fattore critico per la sostenibilità e la sicurezza delle imprese. L'aumento della sofisticazione degli attacchi e l'evoluzione delle tecniche utilizzate dai cybercriminali rendono ancora più urgente un approccio integrato e multidimensionale alla cybersecurity.

In tale contesto, il ruolo delle alte direzioni, dei consigli di amministrazione e degli executive è cruciale. È necessario che questi leader non solo comprendano i principi fondamentali della cybersecurity, come la riservatezza, l'integrità e la disponibilità dei dati, ma che siano anche in grado di tradurre queste conoscenze in azioni concrete che proteggano l'azienda a livello operativo e strategico. Un'efficace governance della cybersecurity implica la creazione di una struttura che possa monitorare e rispondere prontamente agli incidenti, nonché la gestione proattiva dei rischi, inclusa la gestione dei rischi legati ai terzi, come i fornitori e i partner esterni.

Inoltre, è fondamentale che i leader aziendali siano preparati a rispondere alle crescenti preoccupazioni in ambito ambientale, sociale e di governance (ESG). Integrazione di fattori ESG nella strategia di cybersecurity non solo aiuta a mitigare i rischi reputazionali, ma risponde anche alle aspettative di investitori e consumatori che sono sempre più attenti alla sostenibilità delle operazioni aziendali.

Un altro aspetto cruciale è la gestione dei rischi interni, compreso il pericolo di minacce provenienti dall'interno dell'organizzazione stessa. Le politiche di cybersecurity devono essere in grado di affrontare e prevenire gli attacchi provenienti da dipendenti, collaboratori o ex dipendenti, che possono avere accesso a dati sensibili e risorse aziendali. La creazione di procedure di indagine appropriate e di politiche interne rigide diventa quindi imprescindibile per minimizzare i rischi.

Infine, uno degli elementi più critici nella governance della cybersecurity è il dialogo diretto tra i dirigenti, in particolare tra il CEO, il CIO e il CISO. Le domande strategiche che vengono sollevate durante le discussioni tra questi leader devono essere focalizzate su come l'azienda può migliorare le proprie difese informatiche, come gestire i rischi a livello operativo e come garantire che la sicurezza dei dati e delle risorse aziendali non venga compromessa in alcun modo.

In sintesi, la cybersecurity non è più una questione che riguarda solo il dipartimento IT, ma è un tema centrale nella governance aziendale. Le aziende che desiderano prosperare nell'era digitale devono essere in grado di anticipare le minacce informatiche, rispondere rapidamente agli attacchi e garantire la protezione dei propri dati e delle proprie operazioni. Questo richiede non solo competenze tecniche, ma anche una leadership informata, capace di integrare la cybersecurity nella strategia complessiva dell'organizzazione.

Come gestire la sorveglianza interna e le indagini sulle violazioni informatiche all’interno dell’organizzazione?

La C-suite si trova spesso di fronte a una decisione critica: rivelare o meno ai dipendenti l’esistenza e la portata delle capacità di monitoraggio interno. Alcuni dirigenti sostengono che la trasparenza possa agire come deterrente contro comportamenti dannosi o attività illecite. Rivelare ai dipendenti che le loro azioni sono soggette a sorveglianza può indurre un cambiamento comportamentale positivo, favorendo una maggiore conformità alle policy aziendali e contribuendo alla resilienza informatica dell’organizzazione.

Tuttavia, esiste anche una corrente opposta di pensiero tra i dirigenti di alto livello, secondo cui la discrezione in materia di monitoraggio è più vantaggiosa. La mancata divulgazione delle capacità di sorveglianza renderebbe più difficile per i dipendenti con intenzioni malevole aggirare i sistemi di controllo, aumentando così la probabilità di rilevare comportamenti fraudolenti. La decisione strategica che la C-suite deve prendere consiste, dunque, nel valutare se il potenziale beneficio derivante da un comportamento più virtuoso giustifichi il rischio di compromissione dei meccanismi di rilevamento da parte degli utenti.

La visibilità sulle attività degli utenti interni rappresenta una delle maggiori sfide in materia di sicurezza informatica. L’analisi delle vulnerabilità e l’identificazione di indicatori predittivi di comportamenti sospetti devono precedere la risposta agli incidenti. Non è sufficiente analizzare gli eventi passati: bisogna anticipare le minacce attraverso segnali deboli, come picchi insoliti di traffico di rete in orari atipici, l’uso di applicazioni non aziendali o trasferimenti di dati verso destinazioni geografiche non autorizzate, come server FTP in Cina o Russia.

Altri comportamenti da monitorare includono l’accesso a contenuti inappropriati — siti pornografici, portali di ricerca di lavoro o spazi che promuovono l’odio — che possono indicare insoddisfazione lavorativa, rischi legali o cali di produttività. Anche l’uso eccessivo di dispositivi di archiviazione esterni, l’utilizzo anomalo della stampa e l’uso scorretto della crittografia possono essere segnali di rischio. Una volta mappate queste attività sospette, il management deve adottare un piano d’azione efficace per mitigare i danni derivanti da eventuali attacchi interni.

È fondamentale stabilire procedure per gestire e correggere le violazioni non critiche. Automatizzare la risposta a tali eventi consente di ridurre i falsi positivi e concentrarsi sulle violazioni davvero significative. Alcuni sistemi di remediation automatica possono fornire semplici avvisi educativi agli utenti, mentre altri possono attivare meccanismi di escalation, come il blocco della sessione, la quarantena dei dati o la notifica ai responsabili della conformità, i quali devono poi intervenire per fermare i comportamenti non autorizzati.

La C-suite deve inoltre determinare quali eventi meritano un’indagine approfondita. Se viene rilevata una violazione della policy, il management deve decidere se continuare a monitorare l’utente per raccogliere ulteriori prove o intervenire immediatamente, per esempio forzando la disconnessione dal sistema. La definizione delle soglie di escalation dipende dalla natura degli asset aziendali e dai potenziali scenari di rischio identificati.

La quantità e la qualità dei dati raccolti sono centrali: il ritrovamento di un singolo file tecnico salvato su una chiavetta USB potrebbe non essere rilevante, ma il trasferimento massivo di file CAD da parte di un amministratore di sistema o di un dipendente appena licenziato, in orari notturni, richiede sicuramente un’indagine approfondita. Tuttavia, bisogna accettare che non tutti gli incidenti possono essere previsti in anticipo. Alcune indagini si rendono necessarie a seguito di segnalazioni non digitali, come osservazioni del reparto risorse umane o informazioni ricevute da fonti esterne che hanno identificato documenti proprietari in possesso di terzi.

In tali circostanze, i dirigenti devono essere pronti ad attivare politiche sofisticate per il rilevamento delle violazioni, basandosi non solo sugli eventi concreti, ma anche sugli indicatori comportamentali. Può rendersi necessario il coinvolgimento di esperti in recupero forense digital

Qual è il ruolo del consiglio di amministrazione nella gestione dei rischi informatici?

L’aumento delle minacce informatiche non è semplicemente il frutto dell’avanzamento tecnologico o della disponibilità di strumenti digitali sempre più sofisticati. La vera radice del problema risiede nella persistente ignoranza dei consigli di amministrazione riguardo alle loro responsabilità di supervisione nella sicurezza informatica. Le conseguenze di questa disattenzione non sono teoriche: si traducono in costi economici, danni reputazionali, sanzioni normative e, in molti casi, azioni legali nei confronti delle aziende e dei membri del consiglio stesso.

Un caso emblematico è quello di Equifax Inc., dove il consiglio ha dovuto risarcire gli investitori con 149 milioni di dollari a causa della violazione dei dati subita dalla compagnia. Gli investitori hanno sostenuto che l’azienda aveva fornito informazioni fuorvianti sulle proprie vulnerabilità e difese informatiche. Questo episodio ha messo in luce come l’assenza di una supervisione efficace non sia solo una negligenza tecnica, ma un grave fallimento nella governance aziendale.

Secondo le analisi di esperti del settore, la prevenzione efficace degli attacchi informatici dipende direttamente dalla capacità del consiglio di comprendere, gestire e supervisionare i rischi digitali. È fondamentale che il consiglio sia non solo coinvolto attivamente, ma che istituisca anche un comitato dedicato alla gestione del rischio informatico. Il ruolo di tale comitato, insieme a quello degli altri organi consiliari, deve essere continuamente riesaminato per garantire una supervisione integrata e coerente.

La mancanza di supervisione può portare a interventi drastici da parte delle autorità regolatorie. Il caso Wells Fargo ne è la prova: nel 2018 la Federal Reserve ha avviato un’azione esecutiva contro l’azienda, denunciando una rottura della conformità attribuibile a una governance del rischio gravemente carente. Le linee guida sulla governance aziendale di Wells Fargo, che stabilivano i compiti e le responsabilità del consiglio, non sono state rispettate. La risposta dell’autorità è stata chiara: sostituzione dei membri del consiglio, riallineamento della struttura di governance con la strategia aziendale e la tolleranza al rischio, e rafforzamento dei sistemi di gestione del rischio a supporto delle strategie di crescita.

Il consiglio di amministrazione deve, pertanto, formulare aspettative chiare nei confronti del management sulla necessità di garantire l’efficacia dei sistemi di gestione del rischio implementati. Non basta creare dei reparti di conformità: è indispensabile che il consiglio richieda indagini puntuali e approfondite ogni volta che emergono segnali di un fallimento nei meccanismi di conformità, supportate da piani concreti e dettagliati di intervento.

Eppure, nonostante l’evidenza del danno causato dagli attacchi informatici, molti consigli di amministrazione continuano a ignorare il proprio ruolo fiduciario nella supervisione della sicurezza informatica. Molti non possiedono le competenze, le risorse né l’esperienza per affrontare queste responsabilità. Il divario tra la crescente esposizione ai rischi informatici e le misure adottate dai consigli è ancora significativo. Studi recenti mostrano che spesso i consigli non prestano attenzione né allocano risorse adeguate per affrontare questi problemi. L’assenza di competenze specifiche impedisce di svolgere attività fondamentali come la revisione annuale dei budget per programmi di sicurezza e privacy, la valutazione dei report su rischi informatici e violazioni dei dati, o l’assegnazione di ruoli chiari nella governance della cybersecurity.

In molte aziende, la mancanza di iniziative proattive ha lasciato spazio a minacce informatiche che hanno compromesso la continuità operativa, danneggiato la fiducia dei clienti e attratto sanzioni legali e normative. È imprescindibile che il consiglio assuma un ruolo centrale nello sviluppo e nella supervisione delle strategie per la protezione delle informazioni riservate e nella prevenzione degli attacchi digitali.

Non si tratta più solo di una questione tecnica o specialistica. La cybersecurity è diventata un pilastro della governance aziendale moderna, e la sua supervisione non può essere delegata o ignorata. Solo un consiglio di amministrazione informato, competente e coinvolto può garantire che le organizzazioni siano in grado di affrontare le sfide digitali con la dovuta resilienza.

È inoltre fondamentale che i consigli di amministrazione riconoscano che la sicurezza informatica non è un progetto da portare a termine, ma un processo continuo, adattivo e strategico. I comitati consiliari devono essere in grado di leggere i segnali deboli, di prevedere scenari futuri, di porre le giuste domande al management e di pretendere risposte basate su dati e misurazioni concrete. In assenza di questo tipo di leadership, l’organizzazione rimane esposta, vulnerabile e impreparata a fronteggiare eventi che possono minarne la sopravvivenza stessa.

Come migliorare le prestazioni di estrazione dell'energia nelle tecnologie di conversione dell'energia dalle onde tramite tecniche multi-resonanti
Come il ritorno di Trump influenzerà l'Australia: economia, clima e relazioni internazionali
L'America può imparare qualcosa dall'Europa?