Come rafforzare la cybersecurity integrando il risk management nella governance aziendale: continuità operativa, protezione dei dati e resilienza del business
L’approccio delle organizzazioni alla sicurezza informatica si sta evolvendo. Questo cambio è certamente tecnologico: gli strumenti di detection e rilevamento degli attacchi utilizzano l’intelligenza artificiale, per contrastarne l’uso che ne fanno anche gli attaccanti. Ma il cambio di approccio è soprattutto culturale ed organizzativo, perché – è importante esserne consapevoli – la cybersecurity è soprattutto un problema culturale, prima ancora che tecnico. Questo “cambio di paradigma” è molto evidente anche nelle numerose normative e framework che sono arrivati negli ultimi anni.
Nel NIST Cybersecurity Framework (CSF), di cui è stata pubblicata la versione 2.0 il 26 febbraio 2024, è stata aggiunta una sesta funzione GOVERN (GV) – oltre alle cinque già presenti nella versione precedente – proprio per enfatizzare l’importanza della governance della gestione del rischio di cybersecurity.
Questa funzione GOVERN è descritta così: “La strategia, le aspettative e la politica di gestione del rischio di cybersecurity dell’organizzazione sono stabilite, comunicate e monitorate. Le attività di governance sono fondamentali per incorporare la cybersecurity nella più ampia strategia di gestione del rischio aziendale (ERM) di un’organizzazione”. Anche la Direttiva (UE) 2022/2555, nota come NIS2, pone una forte enfasi sull’importanza della governance nella gestione della cybersecurity. L’art.20 della NIS2 è proprio dedicato nel titolo alla Governance ed al comma 2 recita: “Gli Stati membri provvedono affinché i membri dell’organo di gestione dei soggetti essenziali e importanti siano tenuti a seguire una formazione e incoraggiano i soggetti essenziali e importanti a offrire periodicamente una formazione analoga ai loro dipendenti…”.
Questa priorità è richiamata anche nel D.Lgs. 138/2024 con cui l’Italia ha recepito la NIS2. All’art. 23 – Organi di amministrazione e direttivi – si stabilisce esplicitamente che gli organi direttivi dell’azienda “approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendono all’implementazione degli obblighi…”. Si aggiunge poi che “sono responsabili delle violazioni di cui al presente decreto” e che sono tenuti a seguire una formazione in materia di sicurezza informatica e che la devono promuovere anche ai loro dipendenti.
Quindi la NIS2 stabilisce in modo inoppugnabile che i vertici aziendali (definiti appunto “organi direttivi”) non possono lasciare la gestione della sicurezza informatica semplicemente ai loro collaboratori tecnici. La cybersecurity deve uscire dagli uffici IT, dove era confinata – e spesso trascurata – per entrare nei consigli d’amministrazione, perché questi devono comprendere l’importanza della cybersecurity e integrarla nella gestione del rischio aziendale e nelle pianificazioni del budget.
Tutto ciò diventa fondamentale per stabilire una strategia chiara, elaborare procedure operative di sicurezza informatica e garantire la coerenza nella gestione della sicurezza a tutti i livelli aziendali. Perché un incidente di cybersecurity non blocca solo i computer, può pregiudicare l’operatività aziendale e quindi avere un impatto importante sul business. Per lo stesso motivo, anche la gestione di risposta degli incidenti – quindi i piani di Incident Response richiesti espressamente dalla NIS2 all’art. 21 – deve essere costruita con il coinvolgimento diretto dei vertici aziendali, che si devono far carico di formalizzare procedure chiare per la gestione delle violazioni di sicurezza e per la comunicazione interna ed esterna.
Una governance aziendale efficace deve integrare la cybersecurity nella strategia globale. Solo una gestione integrata e consapevole dei rischi può garantire la continuità operativa, proteggendo integrità, riservatezza e disponibilità dei dati aziendali da minacce sempre più sofisticate.
Giorgio Sbaraglia, comitato direttivo CLUSIT
