Il processo di trasformazione digitale delle aziende avviato da tempo e accelerato dall’emergenza sanitaria ha moltiplicato i rischi connessi alla sicurezza informatica. Così, anche se a lungo colpevolmente trascurata, la cybersecurity si impone oggi con forza all’attenzione dei General Counsel.
Quando si parla di cybersecurity riecheggia spesso una citazione attribuita al prof. Eugene Howard Spafford: “L’unico sistema veramente sicuro è quello spento, gettato in un blocco di cemento e sigillato in una stanza piombata con delle guardie armate – e anche così ho dei dubbi”. L’iperbolica affermazione ci vuole ricordare che ogni volta che si interagisce con un sistema informatico lo si espone inevitabilmente a dei rischi. In una fase storica così delicata come la nostra dove le possibilità offerte dalla trasformazione digitale sono divenute delle necessità categoriche, la quantità di lavoro svolta attraverso cloud, web app più in generale attraverso dispositivi connessi alla rete internet globale, è aumentata notevolmente e con essa i rischi di divenire bersagli di cyber attacchi potenzialmente molto dannosi. Con lo smart working, inoltre, ci si è trovati nella condizione di dover utilizzare dispositivi e reti domestiche solitamente meno sicure e più vulnerabili con risultati che parlano da soli.
Impennata di attacchi informatici
Gli attacchi informatici in Italia hanno subito un incremento di oltre il 250% nel secondo trimestre rispetto al primo, con un picco nel mese di giugno quando ormai tutte le attività economiche nel nostro Paese erano riprese.
Un aumento percentuale decisamente notevole che ha riguardato principalmente la sicurezza e la conservazione di dati essenziali. Qui i temi piuttosto scottanti, anche a livello normativo per il rischio di sanzioni, della sicurezza dei dati e la tutela della privacy si intrecciano fra loro richiedendo, dunque, una seria analisi e piano di azione da parte di tutti i General Counsel, su cui ricade solitamente la gestione dei rischi all’interno dell’azienda.
Gli attacchi sono stati possibili da un lato per l’inadeguatezza delle misure di protezione dei dati e dei sistemi informatici, ma dall’altro per un mancato investimento nella cultura digitale degli utenti. Molto più spesso di quanto si pensi, sono le stesse persone, ingannate attraverso phishing o social engineering, a fornire credenziali e informazioni essenziali o ad avviare un software malevolo.
I costi delle violazioni ci ricordano l’importanza della cybersecurity
Le conseguenze sono non di poco conto: il costo dei data breaches per le aziende ha mostrato come ogni episodio costi in media 3,86 milioni di dollari a livello globale; 2,90 milioni di dollari se si prendono in considerazione solo le aziende italiane.
Software malevoli ed errori umani sono le principali cause dei data breaches e solo in misura minoritaria (19%) le violazioni avvengono per falle proprie del sistema. Per migliorare la situazione è certamente necessario intervenire nei reparti della sicurezza informatica ma spesso i CISO lamentano di svolgere un ruolo prettamente tecnico e non avere potere decisionale in merito alla gestione di questi eventi.
La cybersecurity si configura, dunque, come un problema di governance che ricade oggi nelle competenze dei General Counsel. Risulta evidente la necessità di porre il tema della cybersecurity in cima alla lista delle priorità.
La questione parte innanzitutto dalla privacy all’interno dell’azienda: molti dei data breaches analizzati riguardavano dati personali e sensibili del proprio personale. Inoltre, sui loro computer, tablet e smartphone sono passati, durante il periodo di lockdown, anche dati dell’azienda e dei clienti con tutti i rischi del caso. I data breaches determinano immediate conseguenze non solo sul piano economico ma anche sul piano reputazionale: essendo ormai quasi accettata l’eventualità di un attacco, l’immagine dell’azienda, in questi casi, sarà strettamente legata alla capacità di reazione e contenimento della violazione. Quella che di fatto è una minaccia può rappresentare in via mediata una situazione in cui brillare e venirne fuori con una reputazione addirittura migliorata.
I passi da seguire per combattere i cyber attacchi
Affrontare la minaccia dei cyber attacchi non è semplice, a maggior ragione per i General Counsel che vengono da un tipo di formazione e bagaglio di competenze molto diverso da quello dell’IT. Innanzitutto si rende necessario uno stretto rapporto di collaborazione tra la direzione degli affari legali ed i tecnici della sicurezza informatica. Il primo passo è quello di avere una chiara idea di quanto spazio viene occupato dai sistemi informatici nell’azienda per analizzarne criticità e possibili rischi futuri. Può essere utile anche studiare casi di attacchi subiti da altre realtà ed imparare dai loro errori.
Si potranno poi mettere in campo protocolli e procedure idonee a prevenire da un lato e contenere dall’altro possibili attacchi informatici. La prevenzione passa soprattutto per la formazione del personale con una maggior diffusione della cultura digitale e con essa la capacità di riconoscere i vari tentativi di phishing, drive by download ecc.
È poi essenziale avere un piano di azione in caso di attacco che sia in grado di garantire un’immediata risposta – entro le 48 ore – per affrontare la minaccia da diversi punti di vista: legale, informatico ma anche della comunicazione. Può risultare vincente la scelta di individuare preventivamente le figure di riferimento per ciascun settore che avranno il compito di prendere le decisioni chiave in caso di attacco.
Strumenti per gestire dati e attività in maniera sicura
La gestione della sicurezza passa necessariamente attraverso la collaborazione fra tutti i soggetti che operano all’interno dei processi aziendali. Il coordinamento di queste energie, oggi, per forza di cose spetta agli uffici legali che tuttavia possono essere agevolati in questo complesso compito grazie all’adozione di piattaforme legali collaborative e sicure – come Dilitrust Governance – che consentono di gestire al meglio i dati sia sotto il profilo della consultazione che della loro protezione. La piattaforma è concepita per rispondere in maniera specifica alle esigenze dei giuristi di impresa tenendo conto della necessità di strutturare i dati in modo che siano sempre facilmente accessibili e allo stesso tempo protetti sulla base di protocolli di sicurezza collaudati e certificati secondo standard internazionali.
