Negli ultimi anni, la crescente consapevolezza riguardo l’importanza dei criteri ESG (Environmental, Social, and Governance) ha trasformato profondamente il modo in cui le aziende operano e sono valutate. Allo stesso tempo, l’evoluzione delle minacce informatiche ha reso la cybersecurity una priorità critica per le organizzazioni di ogni settore.
L’intersezione tra questi due ambiti, ESG e cybersecurity, rivela una correlazione significativa: le aziende che adottano pratiche ESG solide tendono a sviluppare sistemi di cybersecurity più robusti. Questo legame si basa sulla convergenza di valori etici, trasparenza, gestione del rischio e sostenibilità, che non solo migliorano la resilienza contro gli attacchi informatici, ma rafforzano anche la fiducia degli stakeholder e la reputazione aziendale.
L’integrazione degli ESG nella strategia aziendale è diventata sempre più importante per gli investitori, gli stakeholder e le autorità di regolamentazione poiché riflette un impegno verso una gestione aziendale sostenibile e responsabile.
La relazione tra ESG e cybersecurity
La relazione che può esistere tra sicurezza informatica e ESG risulta sicuramente meno chiara e difficile da comprendere in maniera diretta ma con un piccolo atto di fiducia vi spiegheremo a breve il motivo di tale affermazione.
Tanto per iniziare, entrambi gli aspetti sono cruciali per la sostenibilità e la responsabilità aziendale, ma sostanzialmente le interrelazioni possono avere uno sviluppo in ambiti aziendali che possono comportare un beneficio esclusivo per le aziende che pianificano con attenzione entrambi gli aspetti inerenti agli ESG e la cybersecurity.
Ad esempio, riportiamo di seguito alcune aree di interesse su cui è preferibile per l’azienda studiare, pianificare e prevedere le evoluzioni che il mercato chiede in modo da anticipare le esigenze del mercato e creare per tempo un considerevole vantaggio competitivo.
Le cinque dinamiche fondamentali
Al fine di creare i supporti per una gestione responsabile, coloro che si sforzano nella creazione di valore, devono tassativamente considerare cinque dinamiche fondamentali:
- Gestione del rischio
- Reputazione e fiducia
- Efficienza operativa
- Compliance normativa
- Innovazione sostenibile
Vediamo meglio quali siano le dinamiche dei punti appena espressi.
Gestione del rischio: La sicurezza informatica è essenziale per mitigare i rischi legati alla gestione dei dati e delle informazioni. Un incidente di sicurezza informatica può avere impatti negativi e significativi sull’ambiente aziendale (ad esempio, se coinvolge la perdita o la manipolazione di dati ambientali), sulla società (ad esempio, se compromette la privacy dei clienti o dei dipendenti) e sulla governance (ad esempio, se mina la fiducia degli investitori e degli stakeholder).
Reputazione e fiducia: Una buona gestione della sicurezza informatica può contribuire alla reputazione di un’azienda come entità responsabile e fidata. La mancanza di sicurezza informatica può portare a violazioni della fiducia degli investitori, dei clienti e degli altri stakeholder, con impatti negativi sull’ESG complessivo dell’azienda.
Efficienza operativa: Investire in sicurezza informatica può migliorare l’efficienza operativa riducendo il rischio di interruzioni del servizio, perdite di dati e altre conseguenze negative che potrebbero danneggiare l’azienda e il suo impegno verso gli obiettivi ESG.
Compliance normativo: Le normative ESG richiedono alle aziende di essere trasparenti riguardo ai loro impatti ambientali, sociali e di governance. La sicurezza informatica è spesso una componente chiave di queste normative, in quanto la protezione dei dati personali e la sicurezza delle informazioni sono spesso regolamentate da leggi e normative a livello locale e globale.
Innovazione sostenibile: Le aziende che integrano la sicurezza informatica nei loro processi di innovazione possono sviluppare soluzioni tecnologiche più sostenibili e responsabili, contribuendo così agli obiettivi ambientali e sociali.
La sicurezza informatica sta emergendo come un importante fattore ESG di prossima generazione per gli investitori, con un forte allineamento al rischio finanziario e di investimento, un crescente controllo normativo e un potenziale impatto nel mondo reale.
In sintesi, la sicurezza informatica deve diventare una componente essenziale della strategia ESG di un’azienda, poiché contribuisce alla gestione dei rischi, alla conformità normativa, alla reputazione aziendale, all’efficienza operativa e all’innovazione sostenibile.
Gli investitori sono incentivati quindi a identificare nuovi fattori ESG non finanziari che potrebbero influenzare materialmente la creazione di valore aziendale, tra cui appunto la cybersecurity.
La sicurezza informatica è il più grande rischio ESG latente
La sicurezza informatica sta rapidamente diventando il principale rischio globale e si posiziona è al quarto posto (Global Risk Report 2024) del World Economic Forum in termini di impatto e probabilità, insieme al cambiamento climatico e ai conflitti geopolitici. In risposta, gli investitori hanno bisogno di un modello efficiente per integrare la sicurezza informatica nelle loro decisioni di investimento.
Gli investitori hanno un interesse crescente nel valutare il rischio di sicurezza informatica sottostante insito nei loro portafogli di investimenti aziendali. La criminalità informatica colpisce le singole imprese attraverso una maggiore frequenza di violazioni dei dati e attacchi ransomware, una maggiore difesa informatica aziendale e spese assicurative e danni alla reputazione. Gli attacchi informatici su larga scala possono causare interruzioni operative e aziendali e generare notevoli rischi di contenzioso.
La spesa aziendale per la difesa informatica si sta rivelando un costo importante per le aziende. Si stima che il mercato complessivo della spesa aziendale per prodotti e servizi di sicurezza informatica raggiungerà 1,75 trilioni di dollari nel quinquennio 2021-2025, rispetto a 1,0 trilioni di dollari spesi dal 2017 al 2021.
Recentemente grandi attacchi informatici hanno preso di mira ospedali e aziende farmaceutiche, aziende di viaggi e tempo libero, servizi finanziari e operatori di infrastrutture energetiche. I singoli eventi non solo interrompono le operazioni e comportano danni aziendali e responsabilità legali per milioni di euro, ma possono compromettere dati personali sensibili e minacciare funzioni critiche nazionali.
Da una prospettiva sociale più ampia, protezioni inadeguate nel cyberspazio possono portare a danni macroeconomici con implicazioni strategiche nazionali, spionaggio industriale, erosione degli incentivi per l’innovazione e gli investimenti e violazione della privacy dei dati. Includono anche minacce alle funzioni critiche che sono alla base della sicurezza economica e nazionale, della salute pubblica e della sicurezza e libertà dei cittadini.
Il ruolo della Direttiva Europea NIS2
Entro il 17 ottobre 2024 dovrà essere recepita anche in Italia, da alcune tipologie di aziende operanti in determinati settori, la Direttiva Europea NIS2 per cui le aziende con determinate caratteristiche saranno chiamate a rispettare requisiti che spaziano dalla governance della cybersicurezza, all’adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura), fino alla gestione della continuità operativa e alla segnalazione degli incidenti.
La pianificazione aziendale per integrare la cybersecurity nei ESG
La risposta alle problematiche sopra esposte sta nell’integrazione dei quadri di sicurezza informatica nei parametri ESG. Elementi di standard di sicurezza di base come ISO 27001 possono essere facilmente incorporati nel reporting ESG per fornire una comprensione completa del rischio, della governance e della responsabilità.
I costi legati a una violazione dei dati, tuttavia, non sono solo finanziari e per molti investitori anche le responsabilità sociali dell’organizzazione nei confronti degli interessati sono degni della massima importanza. Alcuni investitori etici sosterranno solo coloro che possono dimostrare di voler sostenere l’aspetto sociale dell’ESG e lo utilizzano anche per guidare i propri investimenti nelle risorse scegliendo fornitori che rispettano obiettivi onorevoli come quelli stabiliti dallo Sviluppo Sostenibile delle Nazioni Unite.
I 17 obiettivi di sviluppo sostenibile (Sustainable Development Goals SDGs) e i 169 sotto-obiettivi ad essi associati costituiscono il nucleo vitale dell’Agenda 2030.
Gli Obiettivi di sviluppo sostenibile mirano ad affrontare la povertà, la disuguaglianza, il cambiamento climatico, il degrado ambientale, la pace e la giustizia su scala universale e sono applicabili anche alla sicurezza informatica. L’SDG 9, ad esempio, si riferisce alla necessità di costruire infrastrutture resilienti che rispecchino la spinta a proteggere le infrastrutture nazionali critiche dagli attacchi, mentre l’SDG 16 afferma la necessità di costruire istituzioni efficaci, responsabili e inclusive, con accesso pubblico alle informazioni, che riflettano la necessità di dare agli interessati il controllo sui propri dati ma di proteggerli mentre sono custoditi dall’azienda.
Manca una supervisione e uno scarso livello di sicurezza informatica
Tuttavia, molti investitori hanno difficoltà a ottenere le informazioni di cui hanno bisogno per effettuare una valutazione accurata per quanto riguarda gli aspetti informatici in ambito ESG, e questo perché vi è una mancanza di supervisione e uno scarso livello di sicurezza informatica.
Oggi, le agenzie di rating ESG tengono conto anche della resilienza informatica nei loro punteggi ESG, con un peso che varia a seconda del settore.
Ciò che è chiaro è che la sicurezza informatica non è più un’eccezione quando si parla di ESG. Coloro che sono in grado di prendere l’iniziativa, snellire le proprie operazioni e il proprio reporting e utilizzarlo per creare maggiore trasparenza su come i dati vengono gestiti, protetti e difesi, inevitabilmente trarranno vantaggio creando valore per l’azienda e per tutti i suoi stakeholders.