Con i nuovi livelli di digitalizzazione offerti alle aziende, l'uso dei dati offre opportunità significative di monitorare, analizzare, prevedere e mitigare il rischio in un modo migliore.
Con i nuovi livelli di digitalizzazione offerti alle aziende, l'uso dei dati offre opportunità significative di monitorare, analizzare, prevedere e mitigare il rischio in un modo migliore. Questi stessi asset, tuttavia, presentano nuove vulnerabilità che gli autori di cyber-minacce possono sfruttare, rendendo così cruciale la protezione dei dati e dei sistemi usati per processarli, trasferirli e archiviarli.
La cybersicurezza è oggi elencata come una delle principali priorità a livello globale, secondo l'ultima indagine annuale dei CEO di PwC, dietro solo alla pandemia in termini di preoccupazioni estreme. Pertanto la strategia di gestione dei rischi legati alla cybersicurezza non deve più essere considerata una preoccupazione solo per CTO e direttori IT. Al contrario, deve essere all'ordine del giorno anche per ogni direttore tecnico e della supply chain.
Un approccio più predittivo alla gestione del rischio
I dati offrono il potenziale per trasformare la gestione del rischio. Gli strumenti giusti di analisi e reporting dei dati possono aiutare a stabilire dove è più probabile che si verifichi un rischio futuro e dove non lo è, consentendo di concentrare le risorse sulle aree in cui è in gioco il maggior valore. Fare riferimento a dati misurabili può consentire di evitare il pregiudizio emotivo nell'adozione delle decisioni: i rischi che pensiamo siano maggiori non sempre sono quelli che richiedono il monitoraggio più attento.
Se si può dimostrare che un componente o una procedura sono più a rischio di insuccesso, non ha senso svolgere ispeziono o audit sulla base della sola programmazione. Allo stesso modo, è possibile escogitare metodi più efficienti per le aree a rischio più basso, liberando così risorse per concentrarsi sulle attività a rischio più elevato e mettere queste in sicurezza. Un partner esperto sarà in grado di offrire consulenza sui dati da monitorare e come analizzarli e agire sulla base dei risultati.
Necessità di una trasformazione digitale coesa
L'opportunità offerta dalla trasformazione digitale è significativa; tuttavia, l'esperienza ci dice che l'implementazione può essere impegnativa e che, se affrontata in modo frammentario, difficilmente avrà il giusto impatto. Uno studio del 2020 ha rivelato che, gli aggiornamenti digitali messi in atto all'inizio della pandemia, il 59% ha richiesto correzioni a breve termine per risolvere problemi sorti in seguito all'implementazione affrettata. Questo avrebbe potuto essere evitato con sistemi di assurance e mitigazione dei rischi meglio integrati nel processo di gestione del cambiamento.
Un errore comune è quello di adottare l'approccio guidato dalla tecnologia, ovvero implementando la tecnologia in maniera fine a se stessa. Per le organizzazioni che vogliono digitalizzare le loro operazioni e i loro programmi di gestione del rischio è, invece, fondamentale che il punto di partenza sia il problema che vogliono risolvere, non la tecnologia o la fonte di dati che ritengono mancare. Ciò richiede una strategia di gestione de rischio digitale coesa che includa il mix giusto di persone, processi e tecnologia.
Dati della supply chain e rischi legati alla cybersicurezza
I crescenti flussi di dati e la crescente digitalizzazione accrescono le potenziali vulnerabilità che possono essere sfruttate dai malintenzionati. I fornitori sono una fonte di dati essenziale per qualsiasi azienda che voglia avere un quadro completo delle proprie operazioni e della propria qualità, ma anche le catene di fornitura digitali hanno bisogno di una gestione del rischio rispetto alla cybersicurezza. Quando valutano la supply chain, le organizzazioni devono essere consapevoli non solo della propria strategia di gestione dei rischi legati alla cybersicurezza, ma anche delle potenziali minacce informatiche legate a questo aspetto.
Negli ultimi anni abbiamo visto un cambiamento nel panorama delle cyber-minacce con il ransomware, che è non solo raddoppiato come frequenza, raggiungendo il 10% di tutte le violazioni, ma viene anche diretto alle supply chain, tramite il cd. "sleeper ransomware". Questi attacchi non si limitano a rubare le autorizzazioni sulla rete host, ma puntano anche a impattare l'intero ecosistema aziendale. La crescita globale delle supply chain aumenta il potenziale impatto di questi attacchi, rendendo quindi sempre più importante la valutazione dei rischi connessi alla cybersicurezza.
Verso il monitoraggio continuo
In questo scenario, gli audit tradizionali e la valutazione annuale dei rischi informatici non sono più adeguati. Forniscono infatti solo un'istantanea dei sistemi in un dato punto temporale, senza prendere in considerazione le nuove vulnerabilità o le variazioni intervenute nei sistemi da un punto temporale all'altro.
Allo stesso modo, nel passato molte organizzazioni hanno scelto di trasferire la gestione dei rischi legati alla cybersicurezza ad agenzie assicurative. Tuttavia, il volume e la sofisticazione dei cyberattacchi hanno causato un aumento delle polizze e pertanto gli assicuratori richiedono sempre più spesso alle organizzazioni di mitigare in maniera proattiva i rischi che restano da coprire. Gli investimenti nella gestione del rischio dei propri sistemi, possono persino ridurre i costi delle polizze assicurative.
Una soluzione a entrambe queste questioni è il monitoraggio continuo, che consente alle organizzazioni di monitorare, in tempo reale, i dati necessari per la valutazione dei rischi correlati alla cybersicurezza, inclusi quelli derivanti dai fornitori. Le piattaforme e le dashboard di informazioni sulle minacce possono facilitare un approccio continuo e proattivo al monitoraggio.
Gestione del rischio in tempo reale e basato sulla collaborazione
Adottare un approccio collaborativo con fornitori e specialisti può consentire a un'organizzazione di fare grandi passi avanti nello sviluppo di un approccio più intelligente alla gestione del rischio e nello stabilire l'assurance appropriata delle informazioni nella cybersicurezza.
I requisiti di certificazione rispetto a standard di gestione globale, come ISO 27001, e la verifica e valutazione della sicurezza IT fanno parte di molti accordi contrattuali. Il National Institute of Standards and Technology (NIST) Cybersecurity Framework sta prendendo piede come standard globale che tiene in considerazione la necessità di esaminare i controlli dei fornitori. Questo offre un vantaggio reciproco alle parti, con gli addetti al procurement che cercano di educare e supportare i fornitori, aumentando le competenze e la resilienza lungo tutta la catena. Il passaggio alla gestione del rischio digitale e a un modello di monitoraggio continuo ha anche il potenziale per ridurre i costi e le interruzioni del lavoro connessi alle ispezioni in presenza, non strettamente necessarie, nell'audit della supply chain.
Quando si prendono decisioni su nuovi fornitori, sullo sviluppo di nuovi prodotti e sull'espansione in nuove aree geografiche e territori, la cybersicurezza deve far parte della discussione. La cybersicurezza deve far parte di una strategia di assurance solida e continua - non solo un elemento da rispettare nella fase iniziale di onboarding.
Conclusioni
Con la digitalizzazione dell'industria, cresce la necessità di una gestione del rischio in tempo reale e più intelligente contro le minacce informatiche, oltre che contro i rischi tradizionali. Tutto ciò indica la necessità di integrare la cybersicurezza nei programmi di assurance del rischio digitale in un modo che sia su misura per ciascuna azienda, affrontando le minacce di cui si è a conoscenza, ma tenendo anche conto di quelle che non si conoscono. Il monitoraggio continuo e basato sulla condivisione dei dati operativi e della sicurezza delle informazioni, della vulnerabilità e delle minacce racchiude il potenziale per mitigare meglio il rischio, favorire l'efficienza e facilitare l'adozione di decisioni più informate.
Report Il rischio visto sotto una nuova lente
Invitiamo a leggere il report Il rischio visto sotto una nuova lente di LRQA per approfondire in che modo i team di assurance, ispezione e certificazione di LRQA, che si avvalgono tutti della tecnologia digitale, possono aiutare a rendere le aziende a prova di futuro.
Report Il rischio visto sotto una nuova lente