Il Cyber Risk è ormai considerato uno dei più grossi pericoli per le aziende. Una violazione o un furto di dati sensibili, piuttosto che il malfunzionamento del sistema IT o un attacco di pirateria informatica che mette fuori uso i servizi online, sono rischi che corrono più o meno tutti e che potrebbero causare gravi danni alla reputazione delle aziende colpite.

La rivoluzione digitale è una realtà che tocca tutti gli aspetti della società attuale, dalla vita quotidiana alla produzione industriale.

La fruizione e la distribuzione di beni e servizi si sviluppano su reti globali, con connessioni sempre più vaste, in un mercato che insieme alla complessità vede crescere anche le esposizioni e i rischi. Parallelamente, si diffondono e sono sempre più facilmente disponibili gli strumenti e le competenze per progettare attacchi informatici fraudolenti.

Alcune indagini condotte di recente dalle più autorevoli aziende multinazionali che si occupano di sicurezza informatica, hanno stimato in 575 miliardi di dollari all’anno il costo complessivo sostenuto dalle aziende a livello globale per gestire attacchi cyber e in 800 milioni le vittime di cyber attack a livello globale.

C’è quindi una forte connessione tra il mondo cyber e il concetto di resilienza, ovvero la capacità di affrontare positivamente e proattivamente i cambiamenti.

Nonostante siano evidenti e conclamati gli effetti potenzialmente disastrosi di rischi quali i danni reputazionali, la perdita o furto di informazioni e l’interruzione dei sistemi informatici, la mancata consapevolezza della complessità della minaccia cyber, le imprese sembrano non comprendere a pieno il problema, e di conseguenza non si tutelano a sufficienza, o disperdono le risorse in protezioni generalizzate e poco mirate a difendere gli asset fondamentali.

Secondo ANRA (Associazione Nazionale Risk Manager) andrebbe inserito il tema della Cyber Resilience, ovvero la costante analisi della capacità di resistenza di fronte alle minacce e la tensione nel cercare di recuperare lo status quo precedente all’evento emergenziale, adattandosi alla nuova condizione e trovando eventualmente modalità alternative di comportamento, di operatività e di funzionamento del business

Assicurare una protezione totale dai rischi informatici è impossibile, poiché nessun sistema è impenetrabile. Per una difesa efficace bisogna, quindi, saper prevedere una struttura plurifunzionale che potenzi il sistema di risk management aziendale e favorisca lo sviluppo delle capacità di resilienza dell’organizzazione.

I membri del CRO Forum, un gruppo di ricerca che riunisce i Chief Risk Officer di molte grandi imprese multinazionali, hanno individuato quattro pilastri su cui una struttura di Cyber Resilience dovrebbe fondarsi:

Preparazione, ovvero una fase che prevede i seguenti step: individuare gli asset fondamentali dell’impresa, sviluppare la capacità di affrontare diversi livelli di rischio, stabilire un corretto risk appetite, integrare il risk management nella struttura aziendale;

Protezione, per raggiungere la quale è necessario: garantire l’immediatezza della reazione ad un evento avverso, e fare in modo che sia uno schema solido e ripetibile; condurre attente valutazioni delle minacce, con controlli accurati e azioni investigative nei confronti delle terze parti coinvolte; potenziare la gestione sinistri e promuovere l’educazione e la formazione del personale, se possibile anche con esercizi di simulazione;

Analisi, promuovendo lo sviluppo e l’aggiornamento continuo delle capacità di monitoraggio e rilevamento di anomalie e minacce;

Sviluppo, attraverso la creazione di un database completo degli incidenti, una “memoria storica” dell’azienda che sia da supporto all’attività formativa e consenta di affrontare con maggiore esperienza gli accadimenti futuri.