RISK MANAGEMENT

Perché i board non si occupano delle minacce informatiche

Una delle più grandi sfide che si pongono attualmente ai board è proprio quella a cui i director sono meno preparati: la cybersicurezza. Quella rivelata da Yahoo nel dicembre scorso, probabilmente la più clamorosa violazione di dati della storia, non è affatto un caso isolato.
In uno studio precedente abbiamo scoperto che la sicurezza informatica era considerata un problema politico prioritario dai consiglieri di amministrazione delle aziende e veniva solo dopo l’economia e la regolamentazione ambientale. I director vedono nella cybersicurezza un problema globale urgente, ma non mettono in relazione la pervasività delle minacce informatiche con le vulnerabilità delle loro aziende. Quando gli abbiamo chiesto di descrivere il livello di preoccupazione e di preparazione che avevano per vari rischi che si ponevano alle loro aziende, la sicurezza informatica veniva dopo le preoccupazioni per i rischi regolatori e reputazionali, che i director erano più preparati ad affrontare. Solo il 38% dei rispondenti dichiaravano di temere i rischi della cybersicurezza e una percentuale ancora più bassa si riteneva preparata ad affrontarli. Come ha detto un consigliere di amministrazione, «La cybersicurezza è un grosso problema, ma nel nostro business c’è un ampio spettro di rischi, perciò è solo uno dei più importanti».
Quando i director hanno valutato i fattori che potevano limitare la capacità della loro azienda di raggiungere i suoi obiettivi strategici, i problemi di sicurezza informatica venivano relegati in secondo piano da preoccupazioni apparentemente più immediate, come attrarre e trattenere i migliori talenti, l’ambiente regolatorio e le minacce competitive globali.
Queste scoperte confermano che i director non hanno semplicemente idea del grandissimo danno di lungo termine che un attacco informatico potrebbe infliggere alle loro organizzazioni. Come si spiega il divario tra valutazioni espresse a livello globale e valutazioni espresse a livello di singole aziende? Sulla base di una vasta indagine che abbiamo condotto su oltre cinquemila director in più di sessanta Paesi, in collaborazione con Women Corporate Directors Foundation, Spencer Stuart e la ricercatrice indipendente Deborah Bell, abbiamo identificato due ragioni principali: i board non possiedono i processi e l’expertise di cui hanno bisogno per far emergere, soppesare e affrontare le minacce informatiche.


Processi inadeguati. Quasi tutti i board hanno messo a punto processi efficaci per gestire le responsabilità più pressanti, come la pianificazione finanziaria e la compliance. Ma quando abbiamo chiesto espressamente dei processi legati ai problemi di cybersicurezza, come le discussioni periodiche sui rischi informatici (con o senza la presenza di specialisti in materia) e la supervisione manageriale sui piani di emergenza per fronteggiare la violazione dei dati, i director hanno assegnato ai propri board dei voti bassi. Solo il 24% li giudicavano “sopra la media” o “eccellenti”. In effetti, dei 23 processi su cui abbiamo chiesto una valutazione, i director mettevano all’ultimo posto quelli legati alla cybersicurezza.
Anche la solidità di questi processi variava da un settore all’altro: i board dell’IT e delle telecomunicazioni erano i più attrezzati, con il 42% che dichiaravano di aver implementato misure adeguate; nei settori dei materiali e dei beni industriali meno di un director su cinque poteva dire la stessa cosa. Nell’assistenza sanitaria, frequentemente oggetto di attacchi informatici e provatamente vulnerabile, il 79% dei rispondenti ammettevano che le loro organizzazioni non avevano processi adeguati di cybersicurezza.
Mancanza di expertise. Quando abbiamo chiesto ai director dei compiti che hanno più difficoltà ad assolvere, hanno citato in prevalenza i temi del rischio e della sicurezza. Il problema principale, per loro, era la mancanza di expertise. Un director ha accennato alla «scarsa comprensione del problema e all’indisponibilità a lasciare spazio ai portatori di nuove idee e ai conoscitori della materia». Un altro ha detto: «Si chiede ai board di supervisionare delle aree in cui non hanno molta esperienza, come la cybersicurezza».

Una vera minaccia strategica
I board ignorano i problemi di sicurezza informatica a proprio rischio e pericolo. Uno studio di IBM stimava il costo medio di una violazione di dati intorno ai quattro milioni di dollari. In uno studio recente, Cisco notava che le aziende prese di mira subiscono perdite consistenti in termini di ricavi, clienti e opportunità di business. Naturalmente, questi attacchi non si possono considerare una minaccia esterna puramente astratta. I board devono prendere coscienza dei fatti e adeguare il loro pensiero. Le minacce alla sicurezza informatica sono universali e i consiglieri di amministrazione devono farsi carico di questi rischi. L’argomento andrebbe discusso regolarmente in ogni consiglio di amministrazione, indipendentemente dal settore, dalla regione o dalle dimensioni dell’azienda.
I board possono intraprendere azioni concrete per dare la giusta priorità ai problemi della cybersicurezza. Un director ha proposto di partire «facendosi domande per stabilire se i processi in essere sono adeguati». I consigli di amministrazione possono responsabilizzare il management sulla valutazione dei rischi per la sicurezza informatica e per il costante aggiornamento di piani di emergenza, mettendo regolarmente in agenda questo argomento. Possono chiedere investimenti in sicurezza dei dati e rafforzamento dell’infrastruttura all’interno delle loro organizzazioni, e invitare il management a ingaggiare esperti esterni se necessario (i board possono coinvolgere anche i loro esperti, come consulenti o come director). Questi investimenti andrebbero considerati vitali per le funzioni di risk management e per la strategia di lungo termine dell’azienda, e andrebbero misurati su base continuativa. Come ci ha detto un consigliere di amministrazione, «Vista l’entità delle minacce, questo problema andrebbe esaminato in un’ottica più ampia rispetto ai rischi presi in considerazione dal comitato audit».
La portata delle minacce alla sicurezza informatica può solo continuare ad aumentare. Con un approccio maggiormente proattivo ai temi della cybersicurezza, i director possono giocare un ruolo fondamentale per la salvaguardia delle loro organizzazioni e per la crescita futura.

J. Yo-Jud Cheng è dottoranda presso il dipartimento di strategia della Harvard Business School. I suoi interessi di ricerca si concentrano sui processi di pianificazione della successione e su altri aspetti della gestione strategica delle risorse umane.
Boris Groysberg è professore di business administration alla Harvard Business School e coautore, insieme a Michael Slind, di Talk, Inc. (Harvard Business Review Press, 2012). Il suo lavoro si focalizza sulla ricerca di un vantaggio competitivo sostenibile attraverso l’utilizzo efficace dei talenti a disposizione, a tutti i livelli dell’organizzazione. Seguitelo su Twitter@bgroysberg.

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 2500

Temi più seguiti

Partner center