La cybersecurity? In appalto alle direzioni legali

di michela cannovale

QUESTO ARTICOLO COMPARE NELL’ULTIMO NUMERO DI MAG

Se da un lato cresce in Italia e nel mondo la richiesta di figure professionali in grado di assicurare la difesa della sicurezza cibernetica aziendale, studi recenti evidenziano come questo compito ricada sempre più spesso fra gli oneri di general counsel e dipartimenti legali interni. Quali siano le implicazioni di questa tendenza e in che modo i team in house stiano affrontando le sfide di queste nuove responsabilità, abbiamo cercato di capirlo attraverso tre punti di vista. A parlare con MAG sono Maria Mariniello, head of legal and compliance southern Europe di JLL, Andrea Di Paolo, head of legal and regulatory affairs southern Europe di British American Tobacco (BAT), e Giuseppe Marletta, managing director dell’Association of Corporate Counsel (ACC).

Il 22% delle aziende ha avvocato completamente dedicato alla cybersecurity

Secondo l’indagine ‘2022 state of cybersecurity, an in house perspective’ condotta dall’ACC in collaborazione con Ernst & Young (che per l’occasione hanno coinvolto 265 imprese di piccole, medie e grandi dimensioni e con sede in 24 paesi diversi), ammonta addirittura all’84% la quota di aziende che ad oggi assegna al chief legal officer (clo) un ruolo chiave nella strategia di cybersecurity aziendale (in crescita rispetto al 2021, quando erano il 71%). Se non è riposta nelle mani del clo, la cybersecurity fa comunque capo nel 20% dei casi al clo – figura che, peraltro, solo il 39% delle volte fa parte di un team con responsabilità in materia di cybersecurity.

Dall’indagine si evince inoltre che il 22% delle aziende ha oggi un avvocato interno completamente dedicato alla cybersecurity (a fronte del 18% nel 2021) e che, rispetto all’anno scorso, il 20% delle imprese in più richiede una formazione annuale sulla cybersecurity per tutti i dipendenti. Diventa naturale che questo fronte si spenda sempre di più, come dichiarato dal 38% degli intervistati. Infatti, «di questo 38%, circa il 50% afferma che il denaro viene speso principalmente all’esterno (ad esempio per studi legali, ALSP o consulenti), per il 25% viene speso all’interno (attraverso l’assunzione di risorse legali interne specifiche per il cyber), mentre la percentuale rimanente dichiara un mix di entrambi», ha spiegato a MAG Giuseppe Marletta dell’ACC, confermando che ci troviamo di fronte a una tendenza in aumento: i legali in house, è così, hanno sempre più spesso a che fare con la sicurezza informatica.

Una naturale conseguenza della trasformazione digitale, questa, che certamente ha accelerato la convergenza tra questioni legali e di conformità. Si stanno cioè trasformando le strutture entro le quali opera la figura dell’avvocato, che oggi non si limita più a fornire una consulenza di base, ma è coinvolto anche nelle strategie di mitigazione e difesa contro le minacce alla sicurezza aziendale.

«Dal 2015 – ha notato Marletta – assistiamo a un carico crescente del ruolo degli uffici legali nella cybersecurity. Si tratta di un trend fortemente legato alla trasformazione digitale delle aziende e al maggior rischio reputazionale e finanziario associato alle violazioni informatiche».

Cybersecurity, tra dipartimenti IT e compliance

A proposito di violazioni informatiche, secondo il ‘Global Threat Landscape Report’ di Fortinet, nel 2021 queste sarebbero aumentate di dieci volte rispetto all’anno precedente. Anno precedente in cui, a causa della pandemia, sempre più dipendenti hanno iniziato a lavorare da casa collegandosi dai loro computer non protetti, e quindi più suscettibili a fughe di dati o attacchi di fishing. Stando allo stesso rapporto di Fortinet, inoltre, le organizzazioni dichiarano che molte delle sfide che si trovano ad affrontare nella lotta al crimine informatico sono collegate proprio alla mancanza di professionisti qualificati in questo campo.

Ma la cybersecurity non era una responsabilità del personale IT? Le cose non stanno (più) esattamente così. Se gli IT continuano avere un ruolo fondamentale nella sicurezza informatica attraverso lo sviluppo di firewall, antispam e antivirus, in realtà, come affermato da Marletta, «le altre responsabilità in materia di cybersecurity non sono improvvisamente ricadute interamente sull’ufficio legale. Il coinvolgimento degli avvocati interni è stato progressivo negli ultimi anni, da quando il rischio informatico è stato riconosciuto come un rischio legale e, quindi, con gravi implicazioni legali, finanziarie e di immagine per l’azienda».

Si pensi, a questo proposito, ai rischi implicati nel regolamento GDPR. Se gestiti male, questi dati rischiano di compromettere la competitività dell’azienda, con danni alla reputazione o persino l’interruzione del rapporto con il cliente.

«È poi importante sottolineare – ha proseguito Marletta – che gli uffici legali hanno una maggiore supervisione del cyber nelle aziende più piccole, dove il numero di livelli strutturali è inferiore e i team meno numerosi. Le aziende più grandi e complesse, invece, quasi sempre hanno un dipartimento di cybersecurity separato e, in questo caso, l’ufficio legale è più un partner che l’unico “proprietario” del cyber».

Vediamo come funziona in JLL (98.000 dipendenti e uffici sparsi in 80 paesi – dati 2021) e in BAT (52.050 dipendenti e uffici sparsi in 55 paesi nello stesso anno – dati 2021).

«In JLL – ha detto Maria Mariniello – la cybersecurity è un terreno sempre più interdisciplinare, dove si giocano più partite: quella dell’IT e degli esperti di sicurezza informatica, quella dell’HR, quella del data protection officer e, in parallelo, quella del legale deputato alla compliance. In considerazione delle molteplici norme che regolano l’attività dell’azienda a livello globale, la numerosità dei clienti internazionali e la continua gestione di informazioni confidenziali e strategiche, le procedure del gruppo sono molto stringenti al fine di mitigare il rischio di perdita dei dati riservati, anche attraverso l’adozione di appositi programmi di prevenzione. In caso di potenziale rischio, la funzione del legale locale assicura la corretta applicazione delle procedure di risk management. In questo senso, possiamo dire che l’in house legal counsel non si occupa più solo di questioni meramente giuridiche, ma ha ormai assunto un ruolo di promozione e difesa dei dipendenti e di tutti i beni – anche informatici – che fanno parte del patrimonio aziendale».

«In BAT – ha raccontato invece Andrea Di Paolo – il grande ombrello del dipartimento legale comprende una strettissima e sempre più frequente collaborazione con i dipartimenti IT e di security, che, a loro volta, si occupano di garantire che le attività aziendali si svolgano senza fughe di dati e in perfetta compliance con il GDPR. Proprio questa interazione tra i dipartimenti ci permette di minimizzare i rischi relativi alla sicurezza informatica. Quindi sì, confermo: abbiamo assistito ad un aumento del carico di lavoro nel settore della cybersecurity, e questo è dovuto anche al fatto che gli strumenti di lavoro sono più fruibili a livello cyber. Il mondo, in fondo, sta evolvendo rapidamente: quando io sono stato assunto, i canali esistenti erano solo quelli di vendita, ora invece c’è l’e-commerce, ci sono le e-mail, gli strumenti solo ad uso interno e quelli ad uso anche esterno. La tecnologia avanzata fa parte della maggioranza degli strumenti quotidiani di lavoro e la direzione legale ha assunto un ruolo centrale e di coordinamento al fine di evitare il verificarsi di incidenti legati alla sicurezza dei dati».

Un mix di ruoli per i legali

Essere in prima linea nella cybersecurity, porta i legali in house a dover per forza di cose ottimizzare le proprie competenze in materia di rischio e conformità. Come lo fanno? Anche con i corsi. «In JLL, tutti i dipendenti – legali compresi – sono obbligati a seguire dei corsi di information technology e di cybersecurity, che servono sia per imparare a maneggiare sia per proteggere la tecnologia e i dati a livello informatico. Vi sono poi simulazioni per valutare se la risposta dei dipendenti è coerente con le regole adottate. In JLL esiste inoltre JLL Technologies, una società deputata allo sviluppo ed alla protezione della tecnologia necessaria per lo sviluppo e innovazione delle attività del gruppo nel contesto real estate e di investimenti», ha sottolineato Mariniello.

[…]

PER TERMINARE LA LETTURA SCARICA QUI LA TUA COPIA DI MAG

La cybersecurity? In appalto alle direzioni legali

michela.cannovale@lcpublishinggroup.com

Inhousecommunity.it

Lanciato nel maggio 2015, fra i lettori della testata, si contano direttori affari legali, responsabili HR, marketing manager, direttori finanziari e top management.

Al livello di contenuti, si focalizza sulla figura del legale interno, del giurista d’impresa e sull’evoluzione di questa figura professionale in Italia.

Inoltre, ogni due settimane, Inhousecommunity.it pubblica contenuti su MAG, il primo quindicinale digitale interattivo dedicato alla business community italiana. In ogni numero: interviste a avvocati, general counsel, amministratori delegati, avvocati, banker, advisor, fiscalisti; studi di settore; interviste; report post awards etc. Fra i grandi appuntamenti annuali di Legalcommunity.it per MAG, i fatturati degli studi e la classifica dei 50 Best Lawyers.

MAG è digitale, gratuito e disponibile su App Store, Google Play (MAG LC) e sui portali del Gruppo LC Publishing Group S.p.A..

Per maggiori informazioni, visita il sito del Gruppo www.lcpublishinggroup.com

LC Publishing Group S.p.A. – Via Tolstoi 10 – 20146 Milano – Tel. 0236727659 – C.F./P.IVA 07619210961
REA 1971432 Registro delle Imprese di Milano – Cap. Soc. Euro 50.000,00 i.v.

Copyright 2022 © All rights Reserved. Design by Origami Creative Studio

SHARE

Condividi su linkedin
Condividi su twitter
Condividi su facebook
Condividi su whatsapp
Condividi su email
Condividi su telegram