Management del rischio digitale nelle PMI
Le nuove tecnologie implicano cambiamenti organizzativi e relazionali che modificano sostanzialmente il quadro di riferimento dei rischi dell’impresa e le conseguenti responsabilità manageriali del titolare per quanto riguarda la conformità alle normative sul rispetto della privacy (GDPR) e la responsabilità amministrativa in ottemperanza al Decreto Legislativo 231/2001, la cui inadempienza comporta sanzioni sia pecuniarie che interdittive, come la sospensione o revoca delle autorizzazioni, il divieto di contrattare con la pubblica amministrazione, l’esclusione da contributi statali e il divieto di farsi pubblicità
Roberto Maggi
Managing Partner PK Consulting - roberto.maggi@pkconsulting.it
Sebbene vi sia ancora incertezza sull'impatto tecnologico, economico e giuridico delle nuove tecnologie che stanno imperversando negli ultimi anni, una cosa è certa: l’avvento della digitalizzazione cambierà il modo di fare business a lungo termine, un processo inarrestabile che diventa condizione imprescindibile per ottimizzare l’organizzazione di diversi processi interni, verso la costruzione di una solida gestione del rischio digitale che possa resistere e adattarsi agli sviluppi futuri.
L’inarrestabile diffusione di internet e delle nuove tecnologie ha imposto alle aziende un grado sempre più elevato di informatizzazione aziendale; sostenuta e dettata dai principi di Impresa 4.0, l’automazione sta diventando l’elemento chiave nella rivoluzione industriale che sempre più sta permeando il tessuto italiano anche per le PMI. In tale contesto, il rischio digitale diventa una componente essenziale del “valore” che l’impresa è istituzionalmente chiamata a generare per i propri stakeholder, nei confronti dei quali ha precisi obblighi di protezione.
I nuovi trend dell’innovazione digitale come cloud, big data, la robotica, intelligenza artificiale, machine learning, IoT (Internet of Thing), mobile networking ecc, a fronte della loro capacità di generare dati ed informazioni, devono essere gestiti e protetti dalle aziende e dalle organizzazioni che li abilitano e li portano sul mercato.
In Italia le PMI rappresentano il tessuto produttivo vitale del Paese, ma sono proprio queste realtà a presentare maggiori difficoltà nell’adozione di misure di prevenzione del rischio digitale, appaiono dunque le più vulnerabili e per loro le conseguenze negative sono in proporzione ancora maggiori, a causa delle ridotte risorse organizzative ed economiche di cui dispongono.
La gestione del rischio non è, infatti, ancora pienamente abbracciata dalle PMI italiane: molte aziende, anche a carattere familiare, infatti, devono ancora effettuare un cambiamento culturale per non considerare più il rischio come costo bensì come opportunità.
Molteplici sono i fattori di criticità riscontrati dalle PMI, segnatamente riconducibili a:
- difficoltà nella raccolta e mappatura dei dati;
- mancanza di sensibilizzazione sul tema da parte dei dipendenti aziendali;
- scarsa sponsorizzazione da parte del top management;
- difficoltà di comprensione della normativa;
- mancanza di figure professionali competenti sul tema;
- mancanza o inadeguatezza del budget stanziato;
- inadeguatezza delle soluzioni tecnologiche di protezione prospettate e delle iniziative organizzative.
Nonostante le difficoltà, oggi non può più essere sottaciuta l’esigenza della gestione dei rischi digitali che tale trasformazione conduce. Uno studio dell’Osservatorio dell’Industria Italiana dell’Automazione di Anie Automation evidenzia che “È necessario che le aziende colgano rapidamente l’impatto della trasformazione digitale sulla gestione di infrastrutture, dati e applicazioni, impostando una sicurezza bimodale che, tra tecnologia e compliance, riesca a gestire una configurazione sempre più complessa per la governance, armonizzando le soluzioni tattiche con sistemi fondanti strategici”.
Possiamo semplicemente definire il "rischio digitale" come “le conseguenze dell'adozione di nuove tecnologie”, conseguenze nuove e, spesso, inaspettate.
Gestire il rischio digitale significa comprendere le implicazioni dell'adozione di determinate tecnologie.
L’analisi del rischio è fondamentale per ottenere informazioni dettagliate sulle minacce e sulle rispettive vulnerabilità, cioè su quella debolezza intrinseca di una risorsa che può essere sfruttata da una minaccia per causare un certo danno.
Il rischio è, infatti, funzionale alla possibilità che si verifichi un evento con conseguenze dannose e può essere rappresentato come funzione di tre fattori:
- esposizione al rischio: fattori che determinano l’esistenza e applicabilità di quel rischio all’impresa;
- probabilità di accadimento, ovvero quanto è possibile che l’evento si verifichi;
- impatto dovuto al verificarsi dell’evento rischioso.
L’identificazione del contesto da proteggere è la fase iniziale dell’intero processo di gestione del rischio digitale e occorre una metodologia che consenta un’analisi continua, sistematica e ciclicamente ripetuta con lo scopo di ridurre i rischi: identificare le risorse critiche all’interno dell’organizzazione e pensare a tutti i modi in cui possono essere esposte o vulnerabili alle minacce, minacce che devono essere analizzate, ovvero studiare come si comporta una minaccia ed impostare le difese contro le minacce del mondo reale.
In un mondo ideale, tutti i dati dovrebbero essere sempre mantenuti riservati e nel loro stato corretto e disponibili; in pratica, ovviamente, è spesso necessario fare delle scelte su quali principi di sicurezza delle informazioni enfatizzare e ciò richiede la valutazione del fattore di esposizione e della probabilità di accadimento onde pervenire alla definizione di apposite specifiche policy: se si archiviano informazioni mediche sensibili, ad esempio, ci si concentrerà sulla riservatezza, mentre un istituto finanziario potrebbe enfatizzare l'integrità dei dati per garantire che il conto bancario di nessuno venga accreditato o addebitato in modo errato.
Da questo semplice esempio si deduce chiaramente che il rischio non è determinabile in maniera univoca, ma è sempre relativo alla singola impresa e deve essere ogni volta contestualizzato, tenendo conto che diversa è l’esposizione e che i termini di probabilità e impatto possono avere pesi differenti, un evento con alta probabilità e basso impatto può essere meno rischioso di un evento con bassa probabilità e impatto elevato.
L’identificazione del fattore di esposizione al rischio digitale diventa, quindi, in particolar modo in una azienda di non grandi dimensioni e con risorse limitate, la priorità per concentrare gli sforzi e le risorse laddove, per le caratteristiche e le peculiarità della singola realtà, si annidano le maggiori insidie.
Analisi e valutazione dei rischi
Esistono diversi metodi di analisi e valutazione dei rischi che si differenziano per scopo, completezza ed utilizzo, ma tutti presentano la stessa sequenza di passi logici articolandosi in quattro step principali:
- Identificazione dei pericoli: si individuano in modo sistematico tutti i pericoli legati all’attività in esame, cioè gli eventi e le cause che li possono generare (cosa può accadere e perché può accadere?) ed i fattori di rischio connessi (in questa fase si usano prevalentemente check-list, dati storici sugli incidenti, casi simili ecc.). Si stima il rischio per ogni pericolo individuato; questa fase comprende anche il giudizio sul grado di accettabilità del rischio stesso.
- Valutazione del danno derivante dall’evento, in termini qualitativi e quantitativi.
- Identificazione dei presidi di controllo esistenti
- Valutazione del rischio residuo e confronto con la soglia di accettabilità dell’organizzazione.
Riservatezza, integrità e disponibilità
I componenti di base della sicurezza delle informazioni o Information Security sono spesso riassunti dalla cosiddetta triade della CIA: riservatezza, integrità e disponibilità (Confidentiality, Integrity, Availability).
La riservatezza è forse l'elemento della triade che più immediatamente viene in mente quando si pensa alla sicurezza delle informazioni. I dati sono riservati quando solo le persone autorizzate ad accedervi possono farlo; per garantire la riservatezza, è necessario essere in grado di identificare chi sta tentando di accedere ai dati e bloccare i tentativi di chi non ha l'autorizzazione. Password, crittografia, autenticazione e difesa dagli attacchi di penetrazione sono tutte tecniche progettate per garantire la riservatezza.
Integrità significa mantenere i dati nel loro stato corretto e impedire che vengano modificati in modo improprio, accidentalmente o intenzionalmente. Molte delle tecniche che garantiscono la riservatezza proteggeranno anche l'integrità dei dati, dopotutto un hacker non può modificare i dati a cui non può accedere, ma esistono altri strumenti che aiutano a fornire una difesa dell'integrità in profondità: i checksum possono aiutare a verificare i dati in termini di integrità, ad esempio, e il software di controllo della versione nonchè backup frequenti possono aiutare a ripristinare i dati a uno stato corretto, se necessario. L'integrità copre anche il concetto di non ripudio: bisogna essere in grado di dimostrare di aver mantenuto l'integrità dei dati, soprattutto in contesti legali.
La disponibilità è l'immagine speculare della riservatezza: mentre deve essere assicurato che i dati non siano accessibili da utenti non autorizzati, bisogna anche assicurare che possano essere accessibili da coloro che dispongono delle autorizzazioni appropriate. Garantire la disponibilità dei dati significa far corrispondere le risorse di rete e di elaborazione al volume di accesso ai dati che ci si aspetta e implementare una buona policy di backup per scopi di ripristino di emergenza.
L’impatto dovuto al verificarsi dell’evento rischioso si materializza maggiormente laddove si annidano le vulnerabilità, cioè la debolezza di un asset o di un controllo di sicurezza che può essere sfruttata da una minaccia per causare un danno, saper “leggere” le vulnerabilità ed essere in grado di prevenirne le conseguenze rappresenta, dunque, un aspetto molto importante nella procedura di valutazione dei rischi.
Una volta identificato e valutato il rischio, è necessario capire come gestirlo per sviluppare un piano di mitigazione del rischio, cioè un piano per ridurre l’impatto di un evento imprevisto.
Le modalità per gestire o attenuare un rischio sono quattro:
- Mancata esposizione al rischio che comporta la scelta di non operare in un ambito (mercato, prodotto, settore, progetto, ecc…) o lo sviluppo di una strategia-soluzione alternativa con minore rischio e maggiore probabilità di successo, ma è solitamente legata a un costo più elevato.
- Accettazione del rischio entro una determinata soglia.
- Mitigazione del rischio che comporta un investimento su un idoneo sistema dei controlli interni articolato su tre livelli e specificamente progettato e applicato sulla realtà oggetto dell’intervento.
- Trasferimento o condivisione del rischio per spostare o ripartire il rischio stesso con altri soggetti quali, ad esempio, una compagnia di assicurazione o un’altra organizzazione con maggiore esperienza sul rischio specifico.
Ognuna di queste strategie di mitigazione può essere uno strumento efficace per ridurre i rischi individuali e il profilo di rischio, agendo sugli ambiti in cui si annidano le principali minacce e le vulnerabilità che, in ambito digitale e per le organizzazioni medie piccole, possono riassumersi, a nostro parere, nei seguenti: Personal Data Protection; Information Security, Cyber Security, Business Continuity, Responsabilità d’impresa ex D.Lgs. 231/01
Personal Data Protection
In caso di violazione dei dati personali per attacchi informatici, accessi abusivi, incidenti o eventi avversi (come ad esempio incendi) che determinano perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati infatti, il Garante ha introdotto l’obbligo di avvisare l’autorità e gli utenti.
In capo ai titolari dei trattamenti vige l’obbligo di condurre una preliminare ricognizione dei dati trattati e dei rischi ai quali sono soggetti cui dovrà seguire l’adozione di idonee misure di sicurezza.
La comunicazione della violazione al Garante deve avvenire in tempi molto rapidi e nei casi più gravi di violazioni è previsto l’obbligo di informare ciascun contraente coinvolto.
La comunicazione agli utenti non è però dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati. Ecco un esempio di un indiscusso vantaggio arrecato da una corretta gestione del rischio digitale.
Ciò che si vuole garantire attraverso la protezione dei dati nel mercato digitale – connotato dalla predominanza degli operatori capaci di sfruttare il valore economico dei dati – è che esista una contestuale tutela dei diritti fondamentali delle persone cui i dati si riferiscono.
Nell’ambito della protezione dei dati personali la sicurezza è funzionale alla tutela delle persone. Ciò significa che se il rischio per singolo trattamento è calcolato in funzione dell’impatto, l’impatto è determinato dalle conseguenze negative della lesione del bene giuridico tutelato, determinabili con i criteri civilistici di quantificazione del danno (materiale e immateriale). Pertanto, l’analisi oltre ad accertare la probabilità di perdita di riservatezza, integrità e disponibilità dei dati, dovrà stimare anche le ricadute sulle persone.
Gli effetti principali di una eventuale violazione sono sintetizzati dalla lettera del Considerando 85 del GDPR, secondo cui “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
Information Security
Le minacce potenziali, causa di un incidente che può comportare danni a un sistema o all’organizzazione, mettono a rischio quei dati che, come è stato da più autorevole fonte detto, sono il nuovo petrolio. È indispensabile, pertanto, mettere al sicuro il nostro “petrolio” implementando le adeguate misure di Information Security per ridurre il rischio di un Data Break, un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato, che potrebbe avere anche dei riflessi legali e delle conseguenti incombenze procedurali.
Cyber Security
Fenomeni strutturali della trasformazione digitale comportano la moltiplicazione delle reti e con essa la moltiplicazione delle vulnerabilità. Internet of Things e Cloud, capisaldi dell’industria 4.0, sono anche due porte di accesso privilegiate per gli hacker a caccia di dati, sono i canali attraverso cui verranno veicolati malware capaci di compromettere interi processi di lavorazione e anche di bloccare le attività delle industrie che non si proteggeranno adeguatamente. I criminali informatici stanno sfruttando la crescente superficie di attacco creata per nuove e dirompenti opportunità di aggressione.
E così le aziende si trovano ad affrontare minacce di violazioni di dati sempre più significative, colpite da attacchi sempre più sofisticati e da ingenti richieste di estorsione con un aumento del ransomware, un malware che prende in ostaggio macchina e dati degli utenti, un fenomeno sempre più diffuso, una minaccia sempre più sofisticata che combina l’encryption dei dati con il furto e la diffusione di informazioni riservate e strategiche per l’attività di business. Cybercriminali esperti non si limitano a criptare i file dell’azienda e chiedere un riscatto in denaro per decrittarli, ma li rubano anche con l’intento di divulgarli e mettere a rischio la reputazione e l’attività di business delle loro vittime, e se l’azienda non ha procedure di sicurezza si trova in ginocchio ed è costretta a pagare.
Anche il crescente utilizzo dello Smart Working, delle piattaforme di videoconferenza, come Zoom Webex e Microsoft Teams, ha attirato le attenzioni dei cybercriminali; la loro vulnerabilità di fronte a sofisticati ransomware, attacchi zero-day e malware costituisce un pericolo per il furto delle informazioni da non sottovalutare, così come costituisce un grave pericolo per la compliance sulla privacy.
Gli attacchi sono sempre più sofisticati e solo l’adozione di un adeguato ed efficace sistema di cyber security permette alle imprese di garantire la sicurezza delle informazioni in suo possesso, fronteggiando minacce quali ransomware, malware, phishing, app/siti maligni, spam, spoofing, ecc.
Business Continuity
Essere inviolabili, nell’era digitale, è impossibile, le organizzazioni dovranno imparare a vivere con livelli accettabili di rischio digitale, poiché le business unit quando innovano scoprono solo in un secondo momento di quale livello di sicurezza hanno realmente bisogno e cosa si possono permettere di fare. Anche i migliori controlli ex-ante, infatti, non potranno prevenire tutti gli incidenti. In aggiunta, il rapido incremento, l’ampiezza e la profondità dei cyber-attacchi, il loro conseguente impatto finanziario e d’immagine, imporranno alle organizzazioni di integrare i processi di risposta agli incidenti di security con quelli per la gestione della Continuità Operativa, la capacità, cioè, di un’azienda di mantenere costante l’operatività dei processi in condizioni di crisi e di emergenza che ne minacciano la corretta funzionalità a qualunque livello, non solo tecnologico, attraverso la implementazioni di un Piano di Business Continuity. La continuità operativa non è dunque solo identificazione, valutazione e segnalazione di ogni singolo rischio concepibile per un’organizzazione, la gestione della Business Continuity si preoccupa di definire il modo per ridurre l’impatto di tali minacce, qualora si dovessero verificare.
Responsabilità d’impresa ex D.Lgs. 231/01
Le minacce non arrivano solo dall’esterno, la digitalizzazione comporta anche un innalzamento del rischio di commissione di attività e comportamenti illeciti anche all’interno della stessa organizzazione proprio perché l’implementazione del sistema di protezione cyber non avviene alla stessa velocità e frequenza del processo di informatizzazione. È per questo che il legislatore, oltre all’introduzione di una responsabilità penale individuale prevista per i cd. digital crimes (L. n. 48/2008) ha introdotto una responsabilità amministrativa derivante da reato con l’inserimento dei delitti informatici nel novero dei reati-presupposto previsti ex D.Lgs. 231/2001, suddividendoli in tre gruppi: i reati che puniscono il danneggiamento di hardware, di software e di dati, reati che puniscono la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati precedente annoverati e i reati con cui viene punita la violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale.
L’implementazione del Modello adottato ai sensi del D.Lgs. 231/01, diventa quindi una occasione privilegiata per attuare una protezione a doppio raggio interno ed esterno, attraverso i ben noti tre pilastri del MOG (Modello di Organizzazione Gestione e Controllo): prevenzione, controlli e formazione.
A livello di prevenzione, in particolare, si tratta di adottare una policy di sicurezza del sistema informatico, che regolamenti in maniera strutturata l’accesso ai documenti e alle informazioni aziendali e il loro utilizzo definendo i livelli di accesso in base alla confidenzialità delle informazioni e alla responsabilità di ogni soggetto, tra i quali possiamo citare antivirus, back-up, tracciatura attività, verifica periodica dei log, rivisitazione diritti accesso, controlli crittografici ecc.
Per quanto riguarda i controlli diventano fondamentali i monitoraggi e gli audit interni.
Tutti gli strumenti e le misure indicate nel MOG diventano dunque utili ed efficaci anche per tutelare l’azienda da eventuali minacce cyber provenienti dall’esterno.
L’incremento delle misure di prevenzione e controllo contenute nel Modello anche con strumenti di contrasto a tali fenomeni provenienti dall’esterno, si rivela sempre più vantaggioso per le aziende che vogliono una tutela a 360 gradi e, quindi, una continuità della loro attività.
Concludendo
I CDA, i Risk Manager e i dirigenti devono imparare ad affrontare i rischi digitali, il loro impatto sulle performance operative, sui risultati finanziari e sulla reputazione delle loro aziende presso i principali stakeholder potrebbe risultare critico. Nell’era della digitalizzazione, il rischio digitale deve diventare una componente del Risk Management, la valutazione e la pianificazione di tali rischi diventa, quindi, sia una questione di vantaggio competitivo che di resilienza aziendale.
La gestione del rischio digitale richiede tempo e non è un compito facile perché non esiste una ricetta unica perché sono diverse le dimensioni di cui tenere conto quando si valuta la gestione del rischio: normativa, dipendenza dal digitale, risorse che si possono mettere in campo. Non esiste un approccio univoco raccomandabile, ogni azienda deve sviluppare un proprio approccio alla gestione del rischio, collegato al livello di tolleranza che gli imprenditori o gli organi di governo sono disposti ad assumere nel perseguimento dei loro obiettivi.
“Nel disordine, si trova la semplicità. Dalla discordia, si sviluppa l'armonia. Nel mezzo della difficoltà, risiede l'opportunità."
La frase di Albert Einstein esprime in sintesi il percorso ideale per gestire i rischi in modo lungimirante trasformandoli in opportunità. Per questo ogni azienda deve essere consapevole dei propri rischi e adottare una propria strategia con specifiche misure per evitare imprevisti che potrebbero diventare disastrosi per l’impresa, il titolare e i manager.
01 novembre 2020