Le normative di nuova emanazione, sia in campo nazionale che europeo, presuppongono sempre più un adeguamento dei comportamenti e delle procedure piuttosto che un semplice rispetto normativo. Vediamo cosa questo comporta in ambito di audit e rischio di data breach.
Compliance normativa
Normative come il Reg. Eu 679/2016 (GDPR), il dlgs 81/2008 e da ultimo il decreto legislativo 12 gennaio 2019 n.14 (codice della crisi d’impresa e della insolvenza) sono un chiaro esempio di compliance normativa. I soggetti sono chiamati a adeguare comportamenti o processi per cercare di rispettare i principi delle norme e in alcuni casi, come per il GDPR con il suo concetto di accountability, autodichiarare il raggiungimento dell’obiettivo, consistente in comportamenti o processi svolti conformemente alle regole delle norme che si intendono adottare.
Lo scenario sopra esposto presuppone sicuramente un cambio di approccio da parte degli operatori infatti si passa dal concetto di rispetto prescrittivo a quello basato su principi generali aiutandosi, molte volte, anche con linee guida applicative emanate dalle autorità, da comportamenti basati su prassi accettabili, come presupposto dal ben noto principio “based regulation”.
Altro principio di essenziale importanza e conoscenza nella compliance è quello della proporzionalità, in base al quale ogni soggetto deve saper commisurare alla propria complessità o dimensionalità operativa le indicazioni di vigilanza del settore di riferimento. Passando dal concetto prescrittivo a quello di compliance appare evidente, dunque, come il maggior rischio non è più quello di non rispettare una o più norme come eravamo prima abituati ma, bensì, non essere in grado di raggiungere la conformità ad una serie di principi e comportamenti contenuti in interi corpi normativi. Per scongiurare questo evento, per esempio, la funzione compliance aziendale deve essere organizzata in una struttura capace di porre in essere tutte le azioni necessarie per garantire la mitigazione del “rischio di non conformità”. Si tratta di un processo trasversale e ciclico, che consta di presidi organizzativi e operativi atti a evitare disallineamenti rispetto alle regole del contesto nel quale l’azienda si trova a operare, garantendo una piena e continua conformità alla normativa vigente.
L’azienda che si trova in questa situazione dovrà, in sostanza, adottare un modello organizzativo efficiente in grado di controllare, rilevare e correggere in modo dinamico e tempestivo le discordanze dalla normativa vigente garantendo una piena e continua conformità alla normativa che si intende applicare.
Audit e compliance
Quando si parla di compliance non si può fare a meno di introdurre il concetto di audit. Infatti il termine rappresenta la verifica della conformità di un processo o di un’intera organizzazione a requisiti definiti, dimostrata attraverso evidenze oggettive raccolte da colloqui con il personale, analisi di documenti, osservazione nel corso dello svolgimento di attività.
Il termine è di origine latina e si riferiva a quei soggetti che controllavano l’amministrazione del denaro pubblico mediante “l’audizione”, da qui il termine auditor, dei risultati contabili.
L’audit, in questo sistema, è quindi lo strumento per eccellenza per valutare e monitorare l’adeguatezza delle misure adottate. Solo in questo modo, ragionando cioè in termini sistemici e procedurali, si riesce a salvaguardare il patrimonio dell’organizzazione, sia essa azienda o studio professionale.
Quindi durante la fase di audit, assolutamente necessaria nel processo di compliance, l’auditor sia interno che esterno dovrà procedere a verificare se una procedura o una intera organizzazione aziendale è conforme o meno alla normativa che intende adottare.
Le verifiche che vengono svolte durante le fasi dell’audit comportano la raccolta di molti dati che poi verranno analizzati e conservati da parte dell’auditor. I dati possono essere raccolti sia direttamente che richiesti attraverso mezzi di comunicazione elettronica. Appare evidente, quindi, che una volta che il processo sarà completato l’auditor, sia esso un soggetto interno che esterno, avrà a disposizione una quantità di dati veramente importante.
Data breach e compliance
Con il Reg. EU 679/2016 abbiamo tutti conosciuto il concetto di data breach in quanto espressamente normato negli articoli 4, 33 e 34 del Regolamento. Per tale normativa tutte le volte che tale evento accade il titolare del trattamento deve adoperarsi e introdurre tutte le azioni espressamente previste, il tutto per proteggere i dati delle persone fisiche che detiene.
Il data breach definito come “violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati conservati o trattati” non riguarda solo la normativa sulla protezione dei dati personali (GDPR) ma rientra in un concetto più ampio e precisamente quella della cyber security di cui l’attività di audit non ne è avulsa. Di conseguenza tutti i dati che vengono raccolti in tutte le attività di controllo e immessi poi in sistemi informatici dovranno essere mantenuti adottando tutte le misure di sicurezza necessarie.
Volendo passare a casi concreti, facciamo per esempio l’ipotesi del collegio sindacale nell’esercizio delle sue funzioni in una Pmi di medie dimensioni. Tale organo di controllo risulta di recente ampiamente modificato dal D.Lgs. 14/2019 (codice della crisi di impresa e dell’insolvenza). La norma 11.1 (prevenzione ed emersione della crisi di impresa) stabilisce che il collegio sindacale, nello svolgimento della funzione riconosciutagli dalla legge, vigila che il sistema di controllo e gli assetti organizzativi adottati dalla società risultino adeguati a rilevare tempestivamente segnali che facciano emergere dubbi significativi sulla capacità dell’impresa di continuare a operare come un’entità in funzionamento e possa chiedere chiarimenti all’organo amministrativo e, se il caso, sollecitare lo stesso ad adottare opportuni provvedimenti.
Nello stabilire quanto sopra è evidente che tale organo dovrà procedere, mediante la tecnica degli audit, a verificare procedure, assetti organizzativi, individuando persone e mezzi preposti allo svolgimento di tutte le attività aziendali. I dati di tale lavoro verranno sicuramente mantenuti tramite strumenti informatici i quali potrebbero essere soggetti a un data breach con divulgazione degli stessi a terzi procurando un danno, per esempio reputazionale, all’organizzazione controllata.
Come il collegio sindacale anche tutti quei soggetti che professionalmente svolgono la funzione di auditor sono soggetti alla stessa tipologia di rischio e quindi anche per questi è necessario introdurre una politica di sicurezza dei dati che li metta al riparo verso tutti quegli eventi che possono originare un data breach.
Misure di sicurezza da adottare per gli auditor
Le violazioni dei dati si verificano quando soggetti o organizzazioni non riescono o sbagliano le politiche fondamentali di data protection. Una delle ultime analisi effettuata da una società specializzata nell’argomento rileva che le violazioni significative dei dati all’interno delle organizzazioni sono caratterizzate da tre punti in comune:
- i dati detenuti non vengono valutati come dovrebbero, la strategia di protezione adottata risulta assente o scarsamente considerata; eppure molte analisi dimostrano che i dati sono un valore e che coloro che custodiscono tale valore hanno un vantaggio significativo rispetto a tutti coloro che non lo fanno;
- le violazioni dei dati rappresentano un costo rilevante per tutti i soggetti interessati, le stime parlano addirittura di milioni di euro, pensiamo al danno reputazionale o a quello originato da una esposizione finanziaria non particolarmente brillante;
- le violazioni che accadono rilevano più punti critici all’interno delle procedure o processi aziendali, i data breach vengono scoperti molto tempo dopo che migliaia di informazioni sono state violate in modo ripetuto.
Tutti gli auditor, oggi, hanno il dovere di saper adottare politiche di sicurezza ottimali a protezione dei dati che raccolgono.
Una buona politica di protezione delle informazioni che può essere messa in atto non può prescindere da queste misure considerate ormai fondamentali:
- identificare quali informazioni sono di valore elevato: stabilire quali dati sono fondamentali e cercare di archiviarli in modo da rendere difficile il loro raggiungimento;
- costruire difese all’interno della rete informatica: sistemi di backup efficienti, firewall adeguati, disaster recovery plan, crittografia dei dati anche attraverso una semplice firma digitale, monitoraggio, là dove è possibile, degli accessi e delle applicazioni utilizzate per bloccare aggressori non autorizzati;
- scansione dei programmi e applicazioni utilizzate per testarne la vulnerabilità, esistono programmi software che fanno tale lavoro che hanno raggiunto un costo ormai sostenibile;
- limitare, monitorare e segmentare l’accesso alla rete: utilizzare l’autenticazione con password forti e a scadenza, stabilire ruoli all’interno della rete in modo da rendere automatizzato il processo di chi può vedere quali dati e chi può prendere decisioni su di essi;
- monitorare le attività anomale e sospette: controllare se ci sono stati accessi non autorizzati, minacce non scoperte e comportamento sospetto da parte degli utenti;
- sviluppare informazioni strategiche e tattiche sulle minacce: gran parte delle minacce esterne si concretizzando all’interno dell’organizzazione perché l’utente non è stato capace di riconoscerle, risulta di fondamentale importanza sviluppare un programma formativo per consentire a tutte le persone coinvolte nei processi di riconoscere le possibili minacce;
- avere un piano di risposta agli incidenti di sicurezza: un piano di risposta agli incidenti fornisce un processo da eseguire quando si verifica un incidente in grado di gestire la situazione in modo da limitare i danni e ridurre i tempi e i costi di recupero.
Conclusioni
Oggi più che mai, è fondamentale anche per gli auditor che detengono dati con strumenti informatici dei loro clienti assicurarsi che siano presenti nella propria organizzazione strumenti della cyber security. Gli attaccanti vogliono due cose fondamentali: dati e controllo.
La copiosa quantità di informazioni che dispongono tali soggetti li espone a un rischio molto elevato, spesso sottovalutato ma che in futuro potrebbe costituire un problema di enorme rilevanza.