Per lungo tempo parlare di rischi ESG voleva dire parlare di rischi ambientali, di processi produttivi responsabili di emissioni incontrollate o di esposizione a eventi metereologici estremi. Il radar dei fattori di rischio legati alle logiche ESG sta però cambiando e nel suo raggio d’azione stanno entrando in modo sempre più importante i temi legati alla cybersecurity. Le minacce alla sicurezza non sono più solo una delle principali preoccupazioni per CISO o CIO, ma sono ormai tra le priorità delle figure responsabili del posizionamento e delle performance ESG delle aziende.
E così come il digitale è determinante nella creazione di valore delle imprese, così lo è anche nell’identificare nuove vulnerabilità che possono mettere a repentaglio la competitività o la reputazione delle imprese. ESG360 ha voluto fare il punto sul rapporto tra cybersecurity e ESG con Alessio Pennasilico, Information e Cyber Security Advisor di P4I, Partner4Innovation, realtà del Gruppo Digital360.
Per quali ragioni le strategie ESG devono comprendere e gestire i temi legati alla cybersecurity?
Le ESG strategy devono comprendere e gestire i temi legati alla cybersecurity per molteplici ragioni. Innanzitutto, dobbiamo considerare che la cybersecurity costituisce una delle componenti essenziali alla governance delle organizzazioni, garantendo la protezione delle informazioni e la continuità operativa. Come evidenziato anche dalle analisi del Clusit, i tentativi di attacco, e di conseguenza gli incidenti, alle organizzazioni sono in costante aumento da molti anni e le aziende devono prepararsi a questi attacchi, non solo per tutelare i loro asset, ma anche per ridurre i fattori di rischio e per mantenere la fiducia di tutti gli stakeholder. È molto importante evidenziare che l’integrazione delle pratiche di cybersecurity nelle strategie ESG incide direttamente sulla competitività delle imprese, facilita le relazioni commerciali ed è alla base del rapporto di fiducia con clienti e partner.
Quali sono i principali rischi di cybersecurity che devono essere considerati come rischi ESG per un’azienda?
Volendo seguire la logica ESG si può osservare che i rischi cyber possono riguardare la dimensione ambientale, quella sociale e naturalmente la governance delle imprese.
Un attacco che dovesse compromettere i sistemi industriali potrebbe presentare gravi conseguenze sull’ambiente e sul territorio in cui opera l’azienda, potrebbe mettere a rischio la salute e la sicurezza delle persone.
Dal punto di vista più spiccatamente sociale, nel momento in cui un attacco provoca l’interruzione delle attività produttive di una impresa si deve considerare anche un impatto sui dipendenti e sulle comunità locali. La eventuale necessità di ricorrere a misure come la cassa integrazione può produrre ripercussioni economiche e sociali sulle famiglie e sulle comunità locali, compromettendo la stabilità economica e il benessere generale.
Guardando poi alla “G” di Governance un attacco cyber può minare gravemente la reputazione di una organizzazione, danneggia il rapporto di fiducia con gli stakeholder, ha ripercussioni spesso molto negative presso i clienti e i partner commerciali. Di fatto produce un danno alla fiducia nell’azienda che può avere risvolti anche a lungo termine in termini di performance e di competitività. Nello stesso tempo, sempre in relazione al governo dell’azienda la mancata conformità alle normative di protezione dei dati rappresenta un fattore di rischio che espone l’azienda a sanzioni legali.
Dal punto di vista dell’approccio strategico quali sono i punti di riferimento per ridurre l’esposizione a questi rischi?
Considerando che si tratta nel complesso di rischi che non solo minacciano la stabilità operativa, ma che possono metter in evidenza carenze a livello di governance o nella gestione interna dei processi, devono affrontati predisponendo un approccio organico e pervasivo alla gestione delle possibili minacce. Dal punto di vista strategico è determinante dare vita a una organizzazione in grado di coinvolgere e gestire il contributo di diverse funzioni aziendali.
Guardando anche all’esterno dell’azienda, come si gestisce, in chiave ESG la collaborazione con partner e fornitori per garantire che le pratiche di cybersecurity siano allineate con gli obiettivi ESG?
La gestione della collaborazione con partner e fornitori in chiave ESG richiede un approccio integrato alla sicurezza, allineato con gli obiettivi di sostenibilità. Numerose aziende hanno iniziato a richiedere il conseguimento di certificazioni, come l’ISO 27001, e il raggiungimento di un certo rating ESG ai loro partner, come requisito per l’iscrizione al registro fornitori. Questo approccio assicura che i partner siano impegnati a rispettare standard di sostenibilità simili, inclusi quelli relativi alla protezione dei dati e alla cybersecurity, promuovendo la sicurezza e la resilienza lungo tutta la filiera e garantendo un allineamento con gli obiettivi ESG anche all’esterno dell’organizzazione.
Con la diffusione del digitale in ambiti come il manifatturiero o come la digitalizzazione delle reti elettriche la cybersecurity non è più solo una questione che attiene all’area IT. Come sta cambiando, in questi scenari, il perimetro della cybersecurity?
La crescente digitalizzazione del settore manifatturiero ha ampliato il perimetro della cybersecurity, trasformandola in una funzione critica che abbraccia l’intera struttura aziendale. Questo cambiamento riflette la crescente interconnessione tra i diversi settori aziendali e la loro dipendenza dalle tecnologie digitali, evidenziando come la sicurezza delle informazioni debba essere gestita in modo integrato. In questo contesto, la cybersecurity deve essere presente in tutte le operazioni aziendali, considerando anche in questo caso l’interdipendenza tra fornitori, clienti e altre parti della filiera. La sicurezza in questo contesto non può più essere limitata alla sola IT, ma deve essere affrontata a tutti gli effetti come un sistema interconnesso che richiede la collaborazione di varie funzioni aziendali per prevenire e mitigare i rischi.
Vediamo in questo caso quali possono essere i rischi relativi alla cybersecurity?
In un contesto prettamente industriale una problematica o un attacco all’IT può provocare danni ecologici considerevoli e danni alle persone. Senza arrivare a situazioni drammatiche occorre considerare anche l’impatto di eventuali interruzioni operative causate da minacce che generano inefficienze e sprechi, e che si traducono in maggiori costi e peggioramento dell’impatto ambientale.
L’attenzione alla cybersecurity deve dunque considerare anche responsabilità a livello di ecosistema e allo scopo di minimizzare queste tipologie di impatto, le organizzazioni dovrebbero adottare pratiche di gestione del rischio informatico in grado di proteggere i sistemi, e di garantire la continuità operativa.
In che modo la cybersecurity può supportare la gestione dei dati e la privacy, in qualità di elementi cruciali per la responsabilità sociale?
La cybersecurity svolge un ruolo fondamentale nel supportare le organizzazioni nella corretta gestione dei dati e nel rispetto della privacy. Implementando robusti sistemi di sicurezza, le organizzazioni possono garantire che le informazioni di tutti gli stakeholder siano protette da accessi non autorizzati, furti e abusi. In questo modo non solo si prevengono violazioni che potrebbero portare a gravi conseguenze legali e reputazionali, ma si assicura anche che i dati vengano gestiti con trasparenza ed in sicurezza.
Non dobbiamo, inoltre, dimenticare il rispetto delle normative vigenti, come ad esempio il GDPR, che richiede l’adozione di pratiche rigorose per la gestione e conservazione delle informazioni personali. In questo contesto, la capacità di dimostrare una gestione responsabile delle informazioni può diventare un vantaggio competitivo, rafforzando la fiducia degli stakeholder e migliorando le relazioni con i clienti e i partner commerciali.
Quali metriche possono essere utilizzate per misurare, valutare e rendicontare l’efficacia delle pratiche di cybersecurity in un contesto ESG?
Per la misurazione, valutazione e rendicontazione dell’efficacia delle pratiche di cybersecurity, una delle metriche più utilizzate, nonché prevista dagli standard, è sicuramente il monitoraggio del numero di incidenti di sicurezza e data breach occorsi. Un KPI ulteriore potrebbe essere il relativo tempo di risposta impiegato per la loro gestione. Questo parametro consente la valutazione di quanto le organizzazioni siano pronte a rispondere agli eventi critici e quanto efficaci siano i loro protocolli di risposta.
Infine, la gestione delle crisi cyber e le modalità di comunicazione con gli stakeholder durante tali eventi, possono essere indicatori chiave dell’efficacia delle pratiche di cybersecurity. Una gestione attenta e trasparente delle crisi non solo minimizza i danni reputazionali, ma contribuisce anche a mantenere un alto livello di fiducia tra l’azienda e i suoi stakeholder.
Tuttavia, anche i KPI relativi gli incidenti cyber vanno messi nella corretta prospettiva rispetto al business aziendale. Un incidente che ha bloccato il CRM interno, infatti, è molto diverso sa un incidente che ha colpito la disponibilità dei servizi ai clienti, che ha avuto impatti ambientali, che ha provocato impatti su persone o altro.
La contestualizzazione è tutto. Per una società che produce device tecnologici, ad esempio, il numero di vulnerabilità dei prodotti ed il tempo di rilascio delle fix può essere un KPI. È fondamentale analizzare la reale value proposition di ciascuna organizzazione e definire le metriche che contribuiscono a rappresentare nel miglior modo possibile la propria diligenza e i possibili impatti sugli stakeholder tutti.
La conformità normativa rappresenta un’ulteriore metrica di valutazione per la valutazione dell’efficacia delle pratiche di cybersecurity nel contesto ESG. Ad esempio, la presenza di certificazioni come la ISO 27001 con le sue estensioni, la ISO 22301, la IEC 62443, la PCI / DSS o certificazioni specifiche, come la TISAX nel mondo automotive, consentono di dimostrare il controllo periodico da parte di un terzo qualificato ed indipendente circa l’adozione di misure di sicurezza efficaci, rafforzando la credibilità dell’azienda in termini di sicurezza.
