La cybersecurity non è più solo una questione tecnica: è una responsabilità strategica che coinvolge direttamente il vertice aziendale. In un contesto di minacce informatiche crescenti e normative sempre più stringenti (come il GDPR o la Direttiva NIS2), i leader d’impresa non possono più delegare, ma devono guidare con consapevolezza la governance della sicurezza digitale. La Governance in Cybersecurity è il tema di questo nuovo articolo della serie “Le Chiavi della Cyber”.
Cosa si intende per Cybersecurity Governance?
In un contesto digitale sempre più complesso, caratterizzato da un progresso tecnologico rapido e articolato, sotto i riflettori delle emergenti ed elevate minacce informatiche, la governance della cybersicurezza (il governo responsabile) non può più essere “parcheggiata” e delegata in ambito tecnico.
La cybersecurity governance può essere definita come un sistema di obiettivi, ruoli, responsabilità, politiche, processi e procedure volti a garantire la sicurezza dei dati e la continuità operativa di un’organizzazione (o un insieme di organizzazioni). È dunque una irrinunciabile questione strategica che appartiene direttamente ai vertici aziendali che, in qualità di organi amministrativi, anche attraverso una cultura della cybersecurity e formazione consapevole, debbono saper apprendere ed esercitare questa responsabilità. Le amministrazioni di governo, all’interno dei loro tradizionali compiti di vertice, devono oggi saper introdurre all’interno dei propri ruoli, anche una nuova forma di responsabilità: garantire che, a partire dai top manager sino a tutta la filiera gestionale operativa, l’azienda sia gestita attraverso una organizzazione che sia preparata e formata adeguatamente a prevenire, rilevare e rispondere prontamente a possibili attacchi informatici o comunque a forme di incidente informatico all’interno dell’azienda.
Governance Cybersecurity nelle PMI: situazione attuale e sfide
La governance della sicurezza informatica e più specificatamente della cybersicurezza (ovvero di quella sicurezza ormai allargata ed estesa a confini e perimetri talvolta non definibili con esattezza) implica la creazione prima e l’applicazione poi di politiche, procedure, evidenze documentabili e controlli che possano determinare con la massima soglia di responsabilità, commisurata alla misurazione del rischio informatico e alla natura aziendale, la protezione dei dati e dei sistemi delle proprie reti informatiche ed informative.
Tuttavia, senza un impegno concreto e gestito da parte degli organi amministrativi, anche le migliori tecnologie per la cybersecurity, seppur implementate con la massima attenzione dalle figure più consulenziali e tecniche, possono dimostrarsi talvolta poco efficaci o non adeguate. Gli organi amministrativi si trovano dunque ad essere parte attiva e catalizzante di un processo di governo: non più esclusivi decisori ma corresponsabili di azioni da implementare e gestire con una regia aziendale che risulti strategica e vitale per l’azienda che governano.
Le responsabilità legali e reputazionali non sono unicamente legate a normative e direttive europee e nazionali che con forza entrano in gioco, ma veri e propri assetti responsabili veicolati da un approccio proattivo e consapevole verso ogni persona che partecipa al lavoro quotidiano in azienda a stretto contatto con ogni forma di dato e tecnologia. Questo include la protezione dei dati aziendali a tutti i livelli.
Best practices per una cybersecurity governance efficace
Una corretta governance della cybersicurezza può essere articolata correttamente seguendo precisi obiettivi, individuando corretti metodi e formando ogni reparto aziendale. Per organizzare questi cinque macro ambiti occorre gestire:
- La responsabilità del vertice aziendale:
I vertici aziendali sono parte attiva di un processo e devono programmare una chiara direzione rivolta a generare cultura aziendale diretta alla protezione dei dati. Questa è una componente chiave della governance aziendale.
2. Strategie di cybersecurity integrate
Come per ogni strategia aziendale, anche la cybersecurity deve inserirsi in un giusto spazio, ad ogni livello gerarchico. Questo include lo sviluppo di una strategia di sicurezza informatica chiara e definita.
3. Valutazione e gestione del rischio informatico:
Rilevare e valutare i rischi informatici non è un esercizio per aderire, controllare e monitorare la conformità normativa ma un processo di rilevamento costante che valuta i rischi in ottica di “multi-rischio”: ovvero rischio logico informatico ma anche quello fisico talvolta solo lievemente in contatto con quello appartenente alle reti informatiche ed informative, quindi tecnologico ma anche operativo ed organizzativo.
4. Definizione degli assetti di ruolo e responsabilità:
Ciascun reparto aziendale e chiamato a garantire che un incidente informatico possa essere evitato o mitigato attraverso comportamenti conosciuti e consapevoli, dove la responsabilità condivisa è un elemento che deve inserirsi all’interno di ogni normale mansione lavorativa.
5. Formazione continua in cybersicurezza:
Programmi di formazione continua per ogni livello gerarchico, contesti e ambienti di simulazione in scenari di possibili incidenti, preparazione continua rispetto alla normale e naturale evoluzione, coinvolgimento attivo in “role playing” sono aspetti che permettono una protezione attiva del patrimonio informativo aziendale.
Questi macro-ambiti disegnano una corretta governance della cybersicurezza che va dunque a gestirsi con una delega coordinata e più incisiva.
Conclusione: la Cybersecurity Governance come fattore di successo
La protezione dei dati è futuro: una solida governance della cybersicurezza protegge gli asset digitali, riduce i rischi operativi e garantisce la conformità normativa, salvaguardando la reputazione aziendale.
Soprattutto consente di integrare la sicurezza nei processi strategici, supportando l’innovazione e la crescita sostenibile del business coinvolgendo ogni risorsa aziendale quale motore attivo di innovazione ma anche di protezione dei dati.
Ilario Baronio, Responsabile Commerciale Innovazione Digitale, IRIDESGROUP SRL
