Man mano che la responsabilità diventa un aspetto centrale per le aziende moderne, i consigli di amministrazione stanno affrontando uno scrutinio senza precedenti, soprattutto per quanto riguarda la sicurezza informatica. Le nuove normative, che responsabilizzano direttamente i consigli per le violazioni, stanno esercitando una crescente pressione.
In Europa, la direttiva NIS2, applicabile dal 17 ottobre, mette la responsabilità della gestione dei rischi direttamente sulle spalle del consiglio. L'articolo 20 richiede specificamente che la direzione riceva formazione per acquisire le competenze necessarie per identificare e valutare i rischi di sicurezza informatica. Inoltre, i consigli devono approvare e supervisionare l'implementazione delle misure di sicurezza previste dall'articolo 21 e affrontano la responsabilità personale per eventuali fallimenti, compresa la sospensione dal loro incarico.
Questo cambiamento normativo non lascia spazio ai membri del consiglio per appellarsi all'ignoranza. Come dimostrato dopo l'attacco SUNBURST, non affrontare rischi significativi potrebbe essere considerato negligenza o addirittura comportamento fraudolento. Ora è più importante che mai che i consigli dimostrino di monitorare attivamente e mitigare i rischi informatici.
I consigli devono porsi domande chiave: sono preparati per rispettare le normative? Come dimostreranno le loro capacità di gestione delle crisi? La loro strategia di resilienza è solida e ben eseguita?
Per molte organizzazioni, diventa presto evidente che è necessario un corpo dedicato per comunicare informazioni vitali al consiglio. Domande chiave come la frequenza con cui i rischi informatici vengono rivisti, come vengono monitorate le minacce, gli investimenti in tecnologie di sicurezza informatica, la valutazione dei rischi nella catena di approvvigionamento e il rispetto delle normative devono essere affrontate. Qui è dove un Consiglio per la Gestione dei Rischi e la Conformità (RMCB) diventa inestimabile.
Un Consiglio per la Gestione dei Rischi e la Conformità (RMCB) è un gruppo interno specializzato che solitamente include dirigenti senior come il Chief Risk Officer (CRO), il Chief Information Security Officer (CISO), i responsabili tecnologici e il consulente legale. Questo team è responsabile della valutazione, mitigazione e monitoraggio dei rischi, con un forte focus sulla sicurezza informatica.
Funzionando in modo simile ad altri comitati del consiglio, come i comitati di nomina o revisione, un RMCB si concentra sulla sicurezza informatica come parte della strategia complessiva di gestione dei rischi dell'organizzazione. Il RMCB garantisce che la gestione del rischio informatico e della conformità sia integrata nel più ampio quadro di gestione del rischio aziendale.
Anche se ci sono sovrapposizioni tra un RMCB e un comitato di revisione, in particolare nell'area della supervisione dei rischi, i due hanno funzioni distinte. Il comitato di revisione gestisce principalmente i rischi finanziari, mentre il RMCB si occupa di rischi operativi, strategici e di sicurezza informatica. Una comunicazione efficace tra questi comitati è fondamentale per garantire un approccio olistico alla gestione dei rischi.
Per essere efficace, il RMCB deve avere le competenze necessarie per identificare, valutare e gestire i rischi informatici. È responsabile dell'elaborazione delle politiche, della revisione dei piani di risposta agli incidenti e della garanzia del rispetto delle normative pertinenti. Il RMCB lavora spesso a stretto contatto con il CISO, garantendo che il rischio informatico venga trattato come parte integrante della strategia di gestione dei rischi complessiva dell'organizzazione.
In alcuni casi, le organizzazioni possono scegliere di integrare la gestione del rischio informatico nel loro comitato di gestione dei rischi più ampio. Questo approccio può essere altrettanto efficace, a seconda delle dimensioni e della complessità dell'organizzazione. In ogni caso, la sicurezza informatica deve essere considerata un componente essenziale della gestione dei rischi. Spesso viene fraintesa come un problema tecnico che solo il CISO può gestire, ma il rischio informatico va oltre i controlli di sicurezza tecnici. Avere un RMCB aiuta a colmare questo divario, allineando la gestione del rischio informatico con la strategia complessiva di rischio dell'organizzazione.
Sia attraverso un RMCB indipendente o come parte di un comitato di gestione dei rischi più ampio, affrontare il rischio informatico a livello del consiglio non è più opzionale; è essenziale per una governance efficace nel panorama normativo attuale.