esg e sicurezza informatica

Non c’è sostenibilità senza cybersecurity: le sfide per le aziende



Indirizzo copiato

Affrontare i rischi informatici nel quadro più ampio dei fattori ESG per le aziende significa salvaguardare operazioni, clienti e reputazione e adempiere, al tempo stesso, agli obblighi sociali e ambientali. Vediamo in che modo un’azienda e il suo CdA dovrebbero affrontare il tema della cybersecurity in un’ottica di sostenibilità

Pubblicato il 19 dic 2023

Stefano Belletti

Senior Advisor ed ESG Independent Director presso Accompany, autore del libro “Verde e Digitale”

Livia Piermattei

Senior Advisor Methodos e Non Executive Director



ESG

Nel panorama attuale, dove l’attenzione verso gli aspetti ESG (Environmental, Social and Governance) è sempre più diffusa e penetrante, la cybersecurity riveste un ruolo fondamentale.

Questa disciplina non si limita a garantire l’integrità dei sistemi informativi aziendali, ma diventa elemento chiave per garantire la sostenibilità ambientale, tutelare le persone e supportare una governance efficace.

Le implicazioni e le sfide che ne derivano sono molteplici e richiedono un approccio sistemico da parte delle aziende. Un impegno che inizia con la formazione e la consapevolezza dei singoli individui, indispensabili per gestire in modo efficace il rischio cyber in un contesto di crescente digitalizzazione.

La cybersecurity nel contesto ESG: implicazioni e sfide

La cybersecurity si attesta come uno dei rischi più rilevanti – come evidenziato dal World Economic Forum nell’ultimo report del 2023 – ed entra nei primi dieci rischi globali (in ottava posizione) rappresentando il rischio più rilevante nel dominio della tecnologia (“Widespread cybercrime and cyber insecurity”).[1]

L’impatto economico-finanziario è evidente e gli investitori stanno integrando sempre più spesso la sicurezza informatica come fattore critico nelle decisioni di investimento.

Tale rischio è amplificato dalla crescente digitalizzazione in atto (in particolare con le tecnologie cloud che “esternalizzano” dati ed applicazioni) ed è aumentato da modelli di business basati su eco-sistemi in cui la parola d’ordine è “interoperabilità”…senza considerare la remotizzazione della forza lavoro in modalità “smart working”.

La “SDG Digital Acceleration Agenda”, da poco pubblicata da UN,[2] sottolinea come la sicurezza informatica sia un prerequisito ad una trasformazione digitale sostenibile ed inclusiva che possa supportare la realizzazione degli Obiettivi di Sviluppo Sostenibile (SDG) dell’Agenda 2030 dell’ONU. Tra questi, per esempio, l’obiettivo 10: “ridurre le disuguaglianze” tra nord e sud del mondo e tra le tante fragilità ambientali, sociali e finanziarie.

Cyber security e ESG: sinergie e reciproci impatti

I temi che connettono la sicurezza informatica e l’agenda ESG (Environmental, Social, Governance) stanno assumendo un ruolo fondamentale nella definizione del modo di fare impresa oggi. Per la cyber security, emerge quindi un impatto integrato piuttosto che quello meramente economico-finanziario.

Vediamolo più in dettaglio.

Environmental

Esiste un impatto della cyber security per la componente ambientale – seppure indiretto e più limitato rispetto alle altre due componenti – che si concretizza in aspetti quali ad esempio la protezione digitale delle infrastrutture energetiche, idriche, ecc e la raccolta stessa di dati ambientali che risulta quanto più efficace se integra dati da più fonti/terze parti aumentando così il rischio di vulnerabilità. Inoltre non è da dimenticare la conseguenza di un più alto consumo energetico necessario per proteggersi dai cyberattacchi.

Social

In questo caso l’impatto è sicuramente rilevante. Basti pensare alla protezione dei servizi di pubblica utilità con impatto forte e pervasivo sulle comunità, alle tematiche di data protection e di data ethics, di customer experience con conseguenti, significative perdite di valore anche finanziario. Le violazioni dei dati hanno un impatto significativo sulle persone. Gli hacker prendono sempre più di mira istituzioni sanitarie e servizi di pubblica utilità, colpendo intere comunità. Più in generale, nell’ambito di obiettivi sociali rientrano quelli del miglioramento delle condizioni di vita per le persone svantaggiate, l’inclusione, l’equità sociale. In questa componente rientrano oggi a pieno diritto la privacy e la sicurezza “digitale” delle persone, siano esse dipendenti, clienti o altri.

D’altro lato è fondamentale considerare il ruolo dei comportamenti delle persone (es. dipendenti, cittadini) nella difesa da cyber attacchi e nel presidio del rischio che questi possano avere successo. È proprio “l’elemento umano” – i comportamenti e la disattenzione con cui le persone gestiscono i loro dati – a determinare oggi il 74% dei data breach[3].

Governance

L’impatto è elevato e coinvolge in primis la gestione dei rischi, nonché la compliance legale e regolatoria, la business continuity e la reputation di un’azienda. Le autorità di regolamentazione richiedono una notifica tempestiva ed esaustiva degli incidenti, nonché la diffusione del grado di maturità e della governance della sicurezza informatica di un’organizzazione. I Consigli di Amministrazione oggi hanno una responsabilità in più e le capacità legate a digital e cyber, insieme a quelle legate a ESG sono tra le più richieste oggi per integrare i CdA[4].

La cybersecurity per il successo sostenibile dell’azienda sul lungo periodo

La cyber security oggi non può prescindere da un’attenta lettura, analisi e valutazione di contromisure da parte delle aziende e dei loro Consigli di Amministrazione per il successo sostenibile dell’azienda sul lungo periodo (non a caso il World Economic Forum il parla di “shared resilience”).[5] Affrontare i rischi informatici nel quadro più ampio dei fattori ESG per le aziende significa salvaguardare operazioni, clienti e reputazione e adempiere, al tempo stesso, agli obblighi sociali e ambientali.

Ma in che modo una azienda e il suo CdA dovrebbero affrontare il tema della Cybersecurity?

Solitamente le questioni ESG come il coinvolgimento dei dipendenti su comportamenti specifici legati alla sicurezza, alla reputazione, all’esperienza del cliente, alle opportunità di innovare sistemi, comportamenti, processi non sono considerati con sufficiente attenzione dal CdA e non sono compresi nelle loro connessioni sistemiche.

Il nesso (spesso incompreso) tra cybersecurity e sostenibilità ambientale

I CdA e il management devono formarsi – dedicando tempo e risorse anche esercitandosi con apposite simulazioni esperienziali – su un approccio sistemico ai rischi cyber e sull’identificazione di connessioni materiali tra le diverse questioni in gioco che possano generare valore nel lungo termine per l’azienda, per essere sicuri di poter governare – nel caso dei CdA – e gestire -nel caso del management – con consapevolezza qualunque crisi possa verificarsi.

Comprendere gli impatti tangibili e intangibili della sicurezza informatica

In termini pragmatici le aziende e i loro CdA dovrebbe valutare attentamente gli impatti tangibili e intangibili della sicurezza informatica:

  • tangibili: finanziario e prodotto;
  • intangibili: umano, sociale, intellettuale, ambientale

Sviluppare la propria capacità di integrare i processi decisionali con dimensioni solo apparentemente diverse: impatti pre-finanziari (anche detti intangibili) perché pre-determinano i risultati di breve – finanziari (tangibili).

Il ruolo della governance nella gestione dei rischi cyber

Oggi è richiesto un esercizio costante alla “connettività” e al “pensiero a lungo termine” del proprio processo decisionale. Per partire dagli impatti sugli scenari e sugli SDG’s delle proprie decisioni per poi risalire alle conseguenze sui diversi portatori d’interesse con un approccio multistakeholder sia in termini di rischi che di opportunità; e finalmente – e solo dopo aver attentamente considerato le prime due dimensioni, ragionare di impatti finanziari e tangibili delle proprie decisioni.

E finalmente connettere in un unico filo decisionale di “Pensiero Integrato” e – solo apparentemente a “logica inversa”: prima il lungo periodo e successivamente medio e breve.

Simulazioni esperienziali di “Pensiero Integrato” sono altamente consigliate. Se possibile condivise tra CdA e management, nel reciproco rispetto di perimetri decisionali e ruoli, anche “exchanging hats” in modo che entrambi i gruppi: CdA e top management, possano esercitarsi a pensare e decidere con il “cappello” degli altri e degli altri stakeholder rilevanti.

In tema di sicurezza informatica, il CdA e il management devono quindi formarsi e porre le giuste domande, tra cui per esempio:

  • come pensiamo di coinvolgere i dipendenti dell’azienda e gli altri soggetti interessati sui comportamenti di resilienza informatica?
  • come pensiamo di introdurre il rischio informatico nei pacchetti retributivi e quali KPI dovreste considerare a questo proposito
  • abbiamo identificato e costruito una mappatura delle connessioni tra la governance del rischio cyber e altre forme di capitali/valori dell’azienda?

Conclusioni

La sicurezza informatica oggi si configura come una questione del CdA e del management nel loro complesso piuttosto che di un singolo comitato o di una singola istanza di competenza perché ha un impatto sulla strategia, sui dipendenti e sui loro comportamenti, sulle parti interessate in generale, inclusi i clienti e la loro esperienza con l’azienda, sulla capacità di innovazione dell’azienda. Ecco perché è fondamentale rendere tutti consapevoli del potenziale contributo che possono dare.

E la eventuale gestione di una crisi – coerentemente – dovrebbe coinvolgere, oltre a CIO e CSO, anche CHRO e CCO come membri rilevanti della task force, perché gestiscono capitali che vanno difesi da attacchi informatici in quanto costituiscono una fonte di valore per l’azienda.

Note

  1. World Economic Forum (WEF), The Global Risks Report 2023, Insignt Report, Gennaio 2023
  2. United Nations Development Programme (UNDP), SDG Digital Acceleration Agenda, Settembre 2023
  3. Verizon Data Breach report 2023
  4. Nedcommunity Forum, Novembre 2023
  5. World Economic Forum (WEF), Global Security Oulook, Gennaio 2023

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati