Cybersecurity e ESG: l’importanza della velocità del cambiamento
Quale è la velocità con cui cambia il mondo? Esistono diversi modelli e tecniche che sono state proposte per rispondere a questa domanda, ma la risposta è la chiave per comprendere perché è necessario essere in grado di comprendere la velocità di adattamento che si deve saper sviluppare per rendere “resiliente” la nostra organizzazione, la nostra società, …
Alcune tecnologie per noi oggi assolutamente integrate ed alla base della nostra società, del nostro modello di vita, hanno impiegato decenni a diffondersi. Basta pensare all’automobile, all’energia elettrica oppure al telefono (hanno impiegato circa tra i 60 – 70 anni, fino al 1950/60 [1,2]). Internet ha impiegato circa 17 anni tra il 1980 ed il 2000 [1,2]. Smart phone e tablet raggiungono le masse in meno di 10 anni a cavallo tra il 2005 ed il 2010 [1,2]. Il mondo dei Social ha visto una diffusione senza alcun precedente, in pochi anni si contano 3,8 miliardi [3] di persone connesse regolarmente.
Anche i cambiamenti climatici stanno manifestando i loro effetti con tassi di velocità sempre maggiori al punto che, proporzionalmente, (si spera almeno) si sta intensificando l’attenzione verso i temi di sostenibilità, a tutti i livelli. Si potrebbe dire che non siamo mai stati così veloci, e non saremo mai più così lenti.
L’Europa mira in questo contesto a definire programmi di digitalizzazione che al tempo stesso sostengano gli obiettivi di sostenibilità. Il 9 Marzo 2021 [4] la Commissione Europea ha presentato la sua visione e le prospettive per la trasformazione digitale dell’Europa entro il 2030. In questo programma troviamo:
- Competenze
- Infrastrutture Digitali Sicure e Sostenibili
- Trasformazione Digitale delle Imprese
- Digitalizzazione dei Servizi Pubblici
Verso una Europa più digitale, sostenibile e sicura
Questo programma punta ad una Europa più Digitale ed in questo è chiara la riflessione di come la digitalizzazione acquista un ruolo chiave per una Europa più sostenibile. In questo contesto non si può restare indifferenti alle minacce informatiche e di come queste possono costituire un serio rischio per la continuità di servizi essenziali e critici per il cittadino.
Il contesto è molto complesso e non mancano dunque direttive e strumenti di supporto per guidare le organizzazioni nel modo migliore. In ambito Security troviamo diversi regolamenti e strumenti, tra cui la Direttiva NIS (Direttiva UE 2016/1148), il Regolamento (UE) 2019/881, meglio conosciuto come Cybersecurity Act, il GDPR (in questo contesto vediamo anche il ruolo centrale svolto dall’Enisa [5] e l’approccio del Cnil [5]), oltre ad innumerevoli standard a Framework. Anche in ambito sostenibilità vediamo lo svilupparsi di standard e modelli proposti dalle principali realtà di consulenza.
Nessuna sostenibilità senza resilienza dei servizi e protezione dei dati
Nell’articolo di McKinsey Emphasizing the S in ESG [6] Bruce Simpson in modo molto semplice esprime la sua visione riguardo l’ESG: le aziende devono conoscere le vulnerabilità ed i loro punti di forza in ambito ESG … e capire dove possono fare veramente la differenza?
B.S.: Now, 85 percent of companies have a purpose statement that does not mean anything to anybody. It’s a fluffy statement, often created by an ad agency, that does not anchor any specific business initiatives. Developing a purpose and an ESG focus is a business exercise requiring specificity…
La difficoltà in generale è comprendere come avere un quadro di riferimento ed un approccio standard per la gestione, a livello globale, della Cybersecurity, il che aiuterebbe a gestire questo aspetto nei modelli ESG.
L’articolo Cybersecurity is an environmental, social and governance issue. Here’s why [7] (World Economic Forum) termina il suo approfondimento citando: “Un quadro standard per misurare il rischio informatico aiuterebbe le organizzazioni e le autorità di regolamentazione a comprenderlo e gestirlo come parte della loro strategia ESG. Aziende come Apple, Amazon, Microsoft e Netflix hanno una maggiore portata nel numero di clienti coinvolti e nelle entrate annuali rispetto a interi paesi come Canada, Brasile e Russia. Le normative governative da sole non possono realisticamente gestire tutte le aziende, a causa della complessità dei nuovi modelli di business in continua evoluzione e delle crescenti dimensioni di molte aziende tecnologiche. Un quadro standardizzato per l’analisi potrebbe costituire un precedente per una governance efficace”.
Rischio informatico come rischio di sostenibilità immediato e finanziariamente materiale
Questa conclusione è il seguito ad una riflessione iniziale dove si osserva l’aumento significativo degli attacchi informatici su servizi vitali per i paesi e per i cittadini (oltre che per le organizzazioni stessi che subiscono l’attacco), come le infrastrutture critiche, servizi finanziari, servizi per la salute… L’analisi continua riportando come una grande parte dell’attenzione si rivolge in modo crescente all’impiego di strumenti assicurativi contro i rischi informatici e non allo sviluppo di strategie, mentre “le aziende devono iniziare a considerare la sicurezza informatica come parte dei criteri ESG. Il rischio informatico è il rischio di sostenibilità più immediato e finanziariamente materiale che le organizzazioni devono affrontare oggi”.
Una posizione assolutamente condivisibile e su cui riflette ancora il Word Economic Forum In collaborazione con University of Oxford nel report Future Series: Cybersecurity, emerging technology and systemic risk insight report november 2020 [7] – Will our individual and collective approach to managing cyber risks be sustainable in the face of the major technology trends taking place in the near future?.
Le organizzazioni devono saper fronteggiare le minacce per essere sostenibili e nello specifico devono essere in grado di saper gestire i rischi informatici ed essere certe di mettere in atto tutte le necessarie contromisure per proteggersi, per proteggere i propri clienti ed assicurare la continuità sostenibile dei propri servizi.
La protezione delle infrastrutture come fattore chiave dell’ESG e della cybersecurity
The Cyber Security Breaches Survey [8] (Marzo 22) prodotto dal The Department for Digital, Culture, Media and Sport (DCMS) mostra come il 39% delle aziende in UK ha individuato un attacco informatico, il costo medio di tutti gli attacchi informatici nell’ultimo anno è stato stimato per circa 4.200 £, se si considerano solo le medie e grandi aziende il costo sale a 19.200 £.
Per le aziende è indispensabile mettere la sicurezza informatica all’interno delle strategie ESG: è necessario per ottenere una buona governance e resilienza, essendo il rischio informatico ormai in qualunque industry probabilmente il principale rischio per la continuità delle operazioni.
La Cybersecurity è un tema da environmental, social and governance
Sempre in Cybersecurity is an environmental, social and governance issue. Here’s why il World Economic Forum. individua 3 elementi per cui la Cybersecurity deve essere parte integrante e centrale nelle strategie ESG delle organizzazioni.
- Oltre il 90% del valore patrimoniale delle organizzazioni non è di natura fisica [7]. Se si osserva l’andamento dell’indice S&P500 che questo valore (immateriale) è aumentato di oltre 3 volte negli ultimi 35 anni (The Soaring Value of Intangible Assets in the S&P 500 [10] ) dove gli “Intangible Asset” assumono un ruolo determinante: Software, Dati dei Clienti, Brevetti, Brand.
- Tutte le organizzazioni hanno fortemente aumentato le transazioni digitali, ma questo ha provocato un sensibile aumento delle “violazioni” in generale dei furti di identità e delle frodi.
- Si migliora la Governance migliorando i livelli di sicurezza informatica piuttosto che aumentare solo le coperture assicurative.
Il Reporting di Sostenibilità
Il reporting di sostenibilità ha subito negli ultimi 20 anni profonde integrazioni e sviluppi. Swiss Re nel documento Cyber Resilience “ESG” Reporting [12] illustra una roadmap molto efficace di come si sono sviluppati i diversi standard ed organismi in ambito ESG dal 2000 ad oggi.
Facendo dei carotaggi solo su alcuni degli elementi essenziali, sinteticamente troviamo nel 2000 il definirsi del Global Reporting Initiative (GRI), dell’UN Global Compact (UNGC) e del Carbon Disclosure Project (CDP), nel 2010 l’International Integrated Reporting Initiative (IIRC), nel 2011 nasce il Sustainability Accounting Standard Board (SASB), nel 2015 vediamo il Task Force on Climate-related Financial Disclosures (TCFD) e gli SDGs.
Questi framework si sviluppano in momenti differenti e con focus leggermente diversi se pensiamo alle 3 Aree di riferimento ESG (Navigating sustainability reporting frameworks [13]).
- GRI E-S-G
- CDP E-G
- IIRC E-S-G
- SASB E-S-G
- TFD E-S-G
- SDGs E-S-G
Se entriamo nello schema del SASB vediamo ad esempio che nella dimensione Social Capital troviamo Data Security e nella dimensione Leadership and Governance troviamo Critical Incident Risk Management ed Systemic Risk Management. Ovviamente siamo ancora abbastanza “alti” per poter parlare di un reporting di sicurezza veramente integrato, ma l’esigenza è ormai consolidata per definire un approccio robusto. Nell’ambito del SGDs vediamo come nel goal 9 troviamo “Sviluppare infrastrutture di qualità, affidabili, sostenibili e resilienti, comprese le infrastrutture regionali e transfrontaliere, per sostenere lo sviluppo economico e il benessere umano, con particolare attenzione alla possibilità di accesso equo per tutti”, imprescindibile dunque dalle infrastrutture tecnologiche che sono abilitanti per qualunque business.
Anche nei goals SDGs 3, 4 ed 8, rispettivamente Copertura Sanitaria Universale, Istruzione e Crescita Economica, complice anche la gestione del Covid che ha richiesto una forte digitalizzazione per rendere fruibile questi servizi da remoto, la disponibilità di questi servizi è stata sempre più fortemente vincolata a quella delle infrastrutture informatiche. Un mapping analogo può essere fatto con il GRI come proposto dal documento Linking the SDGs and the GRI Standards [14].
Eventi informatici che hanno coinvolto le aziende (es. Data Breach) anno avuto ripercussioni finanziarie dirette, oltre che danni di immagine ed impatti di compliance. Anche SDGs pone come un suo cardine i diritti umani e la lotta alla discriminazione, dove il diritto alla Privacy rappresenta sicuramente un fondamento.
Perché la cybersecurity trasforma l’ESG in ESG + T
In questo contesto non può esserci una netta separazione tra ESG e Tecnologia (ESG+T) che consente alle organizzazioni di perseguire i propri scopi, come non può esserci una vera resilienza dell’organizzazione senza una strategia efficace di Cybersecurity.
Il documento Cyber Resilience “ESG” Reporting [12] propone un interessante approccio di quelli che potrebbero essere gli aspetti di cybersecurity da valutare, riferendosi a quanto riportato in uno studio del 2018 (UN PRI. “Stepping Up Governance of Cyber Security: What is Corporate Disclosure Telling Investors?” [15] ).
Di seguito, alcune Aree che possono essere di interesse nel definire un modello di Reporting (e di monitoraggio) sintetico per riflettere su come introdurre nell’ESG gli aspetti di Cybersecurity:
- IT GOV (Policy & Mgmt): impegno nel mantenimento di politiche di sicurezza dei dati e di una struttura di governo ed allineamento con i propri obiettivi e le responsabilità dell’organizzazione;
- Skills e Formazione: impegno nel gestire in modo efficace l’aggiornamento delle competenze e degli skill in ambito cybersecurity;
- Verifiche: impegno nel gestire in modo adeguato le verifiche di sicurezza, con particolare attenzione ad implementare una copertura efficace di tutto il perimetro di “contatto”, quindi con attenzione alle terze parti;
- Business Continuity: impegno nella gestione dei piani di continuità.
- Incident: tracciare e gestiti gli incidenti di sicurezza;
- Valutazione dei Rischi: impegno nella valutazione dei rischi, con una attenta valutazione dell’impatto per i clienti e dipendenti;
- Security Operation: valutare in modo continuo l’efficacia delle misure di protezione implementate.
FONTI
6 Mckinsey
9 Gov.uk
11 Swissre
11 Swissre (2)
12 Swissre (3)
15 unpri