Cybersecurity, tema chiave per i board (ma ancora sottovalutato)

La cybersecurity è un problema reale per molte aziende, i cyberattacchi aumentano sia in termini di frequenza che di danni – finanziari, reputazionali e potenzialmente anche legali.

Secondo un’indagine di settore condotta tra i CIO italiani, il 71% degli intervistati ha previsto di aumentare la spesa per la cybersecurity e la sicurezza informatica entro il 2023, mentre il 98% degli intervistati ha dichiarato di voler implementare l’Intelligenza Artificiale e soluzioni cloud avanzate entro il 2025. Rimanere vittima di un attacco informatico o di una violazione dei dati sta diventando sempre più oneroso per le imprese italiane.

Dai recenti attacchi russi ai siti web delle banche italiane di quest’estate al “pesante cyberattacco” subito dal Ministro dell’Industria italiano, l’Italia è ora il settimo posto al mondo tra i luoghi più costosi in cui subire un cyberattacco o una violazione dei dati. Dal rilascio dell’ultimo ChatGPT di OpenAI, abbiamo osservato un aumento delle versioni illegali sul dark web utilizzate per creare nuovi tipi di malware, ransomware e attacchi di phishing avanzati. La crescita di queste minacce alla sicurezza informatica è testimoniata a livello globale dall’aumento del 12% delle richieste di risarcimento assicurativo nel primo semestre del 2023, mentre la gravità di questi attacchi è aumentata del 42%.

Il costo medio globale di una violazione dei dati per un’azienda nel 2023 è stato di 4,45 milioni di dollari.

È interessante notare che le aziende sono ancora in modalità reattiva invece di essere proattive prima che gli attacchi si verifichino.

Secondo un’indagine pubblicata di recente da WSJ Pro, solo il 2,3% delle società dell’S&P 500 disponeva di consiglieri di amministrazione con esperienza in materia di cybersecurity, mentre secondo Heidrick&Struggles solo il 76% dei board includeva almeno un esperto di cybersecurity. La mancanza di competenze in materia di cybersecurity a livello di board non è solo un problema di governance, ma ha impatti tangibili.

Dal punto di vista finanziario, l’azienda è esposta a rischi significativi che possono manifestarsi sotto forma di multe salate, spese legali e premi sempre più elevati per le coperture assicurative. I danni reputazionali possono essere ancora più devastanti, erodendo la fiducia dei clienti e degli azionisti. Dal punto di vista legale, gli amministratori potrebbero essere ritenuti responsabili di negligenza di fronte a rischi informatici prevedibili.

Questo gap di leadership soffoca anche l’innovazione e l’adattabilità. Nel rapido ritmo dell’evoluzione tecnologica, le aziende devono essere agili nell’integrare nuove soluzioni di sicurezza e nell’adattarsi a nuovi modelli di business.

Un consiglio di amministrazione privo di sufficienti conoscenze in materia di cybersecurity sarà inevitabilmente in ritardo nel prendere decisioni informate sull’adozione di nuove tecnologie, dando così un vantaggio ai concorrenti. Ad esempio, le nuove soluzioni di intelligenza artificiale generativa (GenAI) stanno aumentando la produttività e vengono persino applicate per gestire le sessioni di Q&A durante le assemblee degli azionisti, in modo da garantire una maggiore coerenza nelle risposte.

Le aziende devono investire in una formazione immediata sulla cybersecurity per i membri del consiglio di amministrazione esistenti, per aiutarli a colmare questo divario tecnologico e a comprendere i rischi di cybersecurity, visibili e non. Non si tratta di trasformarli in esperti di tecnologia, ma di garantire che abbiano le conoscenze di base per prendere decisioni informate. Allo stesso tempo, le future nomine dei consigli di amministrazione dovrebbero dare priorità a candidati con esperienza nel campo della cybersecurity, integrando i criteri tradizionali come l’expertise in ambito finanziario e la conoscenza dello specifico settore.

Le aziende devono avere piani di continuità operativa firmati e approvati dal consiglio di amministrazione, che includano test e tempi di ripristino per assicurarsi che comprendano quanto tempo ci vorrà per riprendersi dopo un attacco, passo dopo passo. Infine, i consigli di amministrazione devono ricevere regolarmente informazioni sul panorama della cybersecurity, comprese le ultime informazioni sulle minacce e le migliori pratiche per la mitigazione dei rischi.

La carenza di competenze in materia di cybersecurity nei consigli di amministrazione è una bomba a orologeria che le aziende non possono più permettersi di ignorare.