Risk Management

 

Cybersecurity risk, opportunità o minaccia?

20 Mar, 2017

Cybersecurity risk, opportunità o minaccia?

20 Mar, 2017

Pasquale Merella, FRM

4 min read

È innegabile la crescente attenzione sul tema della cyber-security che sta animando il dibattito internazionale e le cronache di questi giorni, con particolare riguardo allo scandalo delle pubblicazioni da parte di WikiLeaks di materiale secretato dalla CIA (agenzia di intelligence statunitense).

Il rischio cybersecurity, come evidenziato dal recente rapporto “The Global Risk Report” del World Economic Forum rappresenta uno dei principali rischi globali considerati nel dibattito della comunità internazionale.

In generale, ciò che si osserva a livello geopolitico è una rilevante interconnessione dei rischi la quale, oltrettutto, risulta amplificata dai trend registrati a livello globale. Tale importante fenomeno assume particolare rilevanza nell’ambito del risk management, sia di tipo “government” sia di tipo “enterprise”.

Mappa Interconnessione Rischi

Fonte: World Economic Forum

La preoccupazione a livello sociale riguarda appunto le dinamiche scaturite a seguito della globalizzazione che hanno portato da un lato ad un aumento delle disuguaglianze e una profonda polarizzazione sociale e politica e dall’altra una “cyber-dependency” che riguarda la sempre maggiore invasività della tecnologia (e di internet) nei vari momenti della nostra giornata: dalle email la mattina a colazione, alle operazioni con la banca online, agli acquisti con carta di credito, ai messaggi su Whatsapp, fino ai dati personali presenti sui social network.

Questi trend determinano l’ampiezza dell’impatto connesso al cyber risk, soprattutto se consideriamo le conseguenze legate alla fuga di informazioni sotto segreto di Stato, oppure sulla violazione di database contenenti informazioni sensibili per la sicurezza nazionale e non ultimo il tema legato al terrorismo internazionale.

Pertanto, adottando la metodologia tipica del “risk management”, un assessment dei rischi porta a considerare le due principali dimensioni: la probabilità di accadimento e l’intensità dell’impatto connessi al cybersecurity risk. La minaccia del cyber risk è attuale, anche per le banche dove preoccupa il crescente fenomeno della dematerializzazione degli strumenti finanziari.

Come si può intervenire?

Se risulta quanto meno difficile agire sull’impatto dell’evento “dannoso”, allora quello che si può fare è cercare di diminuire la probabilità di accadimento.

probabilityandimpactmatrix

Appare infatti particolarmente strategica la realizzazione di un piano di mitigazione dei rischi connessi alla minaccia cibernetica, in primis a livello globale, ed in particolare per il nostro Paese.

La tecnologia è da sempre sinonimo di innovazione, ma siamo sicuri che siano tutte delle opportunità? Quali sono i veri benefici? Una risposta che non può prescindere da una seria riflessione sull’analisi di rischio.

Si pensi ad esempio ai principali driver di rischio associati alla minaccia cyber:

(i) Velocità delle informazioni

(ii) Post-Truth

Sul (i) basti pensare alla cassa di risonanza data dai social network. Per il (ii) si consideri ad esempio come alcune informazioni possono condizionare il comportamento delle persone, soprattutto quando sono veicolate su canali dove non esiste nessun controllo sulla correttezza dell’informazione stessa.

Quali opportunità di crescita?

Tuttavia, il rischio cyber security può diventare un’opportunità. A livello aziendale infatti risulta strategico domandarsi quanto e come le aziende italiane siano in grado di gestire i cosiddetti “cyber attack”, dove il danno reputazionale è quello principale. Stiamo assistendo ad un cambio di paradigma caratterizzato da una parte dal problema reputazionale, si ricordi casi di cyber attack alla base dati clienti di importanti multinazionali che ha comportato la successiva rimozione del CEO della società target in un contesto in cui gli azionisti si trovano a reagire a seguito delle pressioni sui titoli in borsa. Dall’altra è un problema di filiera, dove l’interconnessione tra imprese (o enti pubblici) crea un effetto “esplosione” cibernetica.

L’attenzione ai rischi connessi al cybersecurity può essere svolta, ad esempio, con l’adozione a livello aziendale di un framework che aiuti il Board nell’allocare opportunamente le risorse. Una valutazione della resilienza della struttura aziendale, infatti, può fornire al top management un utile report di “stress test” per le proprie decisioni.

Ma le opportunità sono anche a livello di sistema Paese, si pensi ad iniziative di diplomazia economica come quella di CyberParco che propone l’istituzione di un’area dedicata alle aziende, start-up e centri di ricerca attivi nel settore della sicurezza informatica. Tale iniziativa può essere letta in congiunzione con altri progetti quali la creazione di un distretto d’affari a Milano, promossa da Select Milano o ancora la candidatura di Milano per ospitare la sede dell’EMA (Authority Europea del farmaco), entrambi questi ultimi due progetti sono ispirati dalle opportunità di Brexit.

Insomma, anche nel caso del cybersecurity risk, vale sempre il doppio significato della parola “rischio”: minaccia vs opportunità.

 

Originally published at econopoly.ilsole24ore.com on Mar 20, 2017.