Proteggere l’azienda dagli attacchi cyber
La mini-guida per general counsel che MAG ha delineato con Rodrigo Adão da Fonseca, ceo e dpo di Futura
Questo è un articolo, ma è anche una guida in 5 passaggi per general counsel per proteggere la propria organizzazione da attacchi di tipo informatico.
Per formularla, siamo partiti da questo assunto: i giuristi d’impresa sono ormai in pole position quando si tratta di mettere in contatto il dipartimento legale con quello IT con l’obiettivo di prevenire eventuali aggressioni a livello cyber. Anzi, gli stessi general counsel sono sempre più coinvolti in strategie di mitigazione e difesa (anche) contro le minacce informatiche. Ne abbiamo parlato qui, quando vi abbiamo raccontato che nel 2022 il 22% delle aziende ha un avvocato interno completamente dedicato alla cybersecurity, a fronte del 18% dell’anno precedente.
Ma queste sono anche le stesse premesse da cui sono partiti gli associati europei di ACC, la Association of Corporate Counsel, che si sono riuniti a Bruxelles lo scorso aprile per la conferenza intitolata quest’anno “Building bridges”.
MAG, presente al convegno, ha voluto approfondire il tema della sicurezza informatica insieme a Rodrigo Adão da Fonseca (in foto), ceo e dpo di Futura, boutique di consulenza che si occupa di risk management, cybersecurity e protezione dei dati.
Ecco cosa ne è uscito.
- LE COMPETENZE
Per occuparsi di cybersecurity, innanzitutto, un general counsel deve sviluppare tre competenze principali:
- essere in grado di valutare i rischi di un possibile incidente informatico (che utilizzo può essere fatto dei dati sensibili?, che ricadute ci saranno?);
- saper identificare e definire l’impatto di tale incidente sui vari stakeholder dell’azienda (e quindi i dipendenti, i clienti, i fornitori, i collaboratori, i partners commerciali e tecnologici, gli enti regolatori, i media, ma anche l’opinione pubblica, la comunità scientifica e quella locale… insomma, si parla di un numero indefinito di persone che possono essere coinvolte da un attacco cyber!);
- infine, gestire la comunicazione interna ed esterna all’azienda, laddove con interna si intende informare i dipendenti e i collaboratori in modo trasparente dei possibili rischi collegati ad una fuga di dati, mentre con esterna ci si riferisce ai racconti riguardanti la reputazione aziendale eventualmente compromessa in seguito all’incidente.
«La gestione della sicurezza informatica richiede diverse competenze, tutte ugualmente importanti. A volte, infatti, succede che i general counsel non siano capaci di integrare le conoscenze con la sicurezza informatica. Altre volte sono esperti di tecnologia, di software, di tutto ciò che è cyber, ma non sono altrettanto bravi a insegnare ai loro collaboratori come comportarsi per mantenere alto il livello di sicurezza informatica. Quanti, per esempio, ricordano ai loro colleghi di cambiare password ogni tre mesi? Altre volte invece sono formidabili nella trasmissione di informazioni, ma non hanno competenze legali», ha spiegato Fonseca a MAG, precisando che «la cybersecurity – e in generale la percezione del rischio – non è una scienza in sé, ma è una raccolta di nozioni provenienti da tutti i dipartimenti aziendali. E queste nozioni le si acquisisce sia studiando (il codice Gdpr e le diverse normative informatiche), sia entrando in contatto con tutti coloro che compongono l’impresa».
2. FAVORIRE UN AMBIENTE PROTETTO
Al di là delle competenze, i general counsel possono favorire la cybesecurity adottando queste tre pratiche:
- facilitazione della comunicazione e della collaborazione tra i dipartimenti aziendali (è la cosiddetta cross-functional collaboration tra team legal, IT, HR e personale coinvolto nella supply chain) assicurando che requisiti normativi e soluzioni tecniche e tecnologiche siano allineati e che sia stato implementato un solido quadro di cybersecurity;
- accessibilità delle informazioni: come ha sottolineato Fonseca, «è fondamentale utilizzare sempre un linguaggio semplice quando si spiega a collaboratori e clienti che cosa implica un attacco informatico, traducendo le norme in regole comprensibili da tutti per evitare di incappare in rischi che portino poi a incidenti»;
- educazione dei dipendenti promuovendo programmi di formazione e una mentalità security-first per, fra le altre cose, sviluppare e rivedere le politiche e le procedure interne relative alla protezione dei dati. «Perché se rispettiamo la compliance – ha proseguito Fonseca – questo aiuterà non solo ad evitare eventuali attacchi, ma anche a posizionare meglio il business dell’azienda. In questo senso, in fondo, il legale interno diventa anche un business partner».
3. LE MISURE PER LA MITIGAZIONE – PRIMA DI UN ATTACCO
Per mitigare al meglio il rischio di attacchi informatici, i general counsel dovrebbero:
- fornire a chi di competenza le indicazioni legali necessarie riguardanti la conservazione delle prove e le eventuali dichiarazioni pubbliche da rilasciare dopo un incidente;
- collaborare con i team che si occupano di relazioni istituzionali e di gestione della crisi per garantire accuratezza, coerenza e compliance dei comportamenti adottati in azienda;
- mantenere aperto il canale di comunicazione con le forze dell’ordine e le agenzie di regolamentazione.
4. LE MISURE PER LA MITIGAZIONE – DOPO UN ATTACCO
All’indomani di un attacco informatico, i general counsel devono effettuare una valutazione approfondita della potenziale esposizione legale dell’organizzazione, compreso il rischio di controversie, sanzioni normative e responsabilità contrattuali. Devono poi collaborare con il management e con gli altri stakeholder per ridurre al minimo l’impatto potenziale sulla reputazione e sui profitti dell’azienda, anche rivedendo completamente i piani di risposta agli incidenti e di formazione dei dipendenti.
Per quanto riguarda le comunicazioni esterne, i general counsel possono poi, in coordinamento con le forze dell’ordine e le autorità di regolamentazione, consigliare il linguaggio e la tempistica appropriati per le dichiarazioni pubbliche e i comunicati stampa relativi all’attacco informatico.
5. FARE SEMPRE ATTENZIONE
Quali sono, in sostanza, i punti a cui rivolgere la propria attenzione quando si tratta di cybersecurity? Fonseca ne ha identificati quattro, e cioè:
- riuscire a rimanere aggiornati sulle minacce informatiche emergenti;
- rispettare le nuove normative sulla protezione dei dati;
- bilanciare la mitigazione del rischio all’interno dell’organizzazione e i vincoli di bilancio;
- comunicare e collaborare con gli stakeholder.
Abbiamo chiesto a Fonseca di spiegarci perché è così difficile rimanere aggiornati sulle minacce cyber emergenti. Riportiamo di seguito la sua risposta per intero: «I motivi sono due. Il primo: a livello cyber, le tipologie di rischio cambiano continuamente. Non appena se ne risolve uno, ce n’è subito uno nuovo dietro l’angolo. Per farle capire: le assicurazioni per gli incidenti autostradali possono più o meno sempre anticipare quali incidenti potrebbero capitare, perché questi dipendono dalle condizioni della strada, da quelle dell’auto o quelle del conducente. Non succede lo stesso quando ci muoviamo nel mondo cyber, dove è tutto estremamente dinamico. Gli incidenti informatici che abbiamo oggi sono infatti completamente diversi rispetto a quelli che avevamo ieri: oggi gli hacker possono non solo rubare i dati, ma anche rivelarli al pubblico. Oggi sappiamo che le password solide hanno un certo numero e tipo di caratteri, ma qualche anno fa pensavamo che bastasse una semplice parola. Tra qualche anno di certo conosceremo più strumenti per la gestione delle identità. Il secondo motivo: praticamente ogni mese o addirittura ogni settimana le autorità emettono una nuova legge e un nuovo quadro di riferimento per il controllo della sicurezza informatica, e bisogna studiarlo. Un altro esempio concreto per farle capire: dal 2019 in poi, abbiamo avuto più leggi sulla cybersecurity che negli ultimi 20 anni. E riuscire a rimanere sempre informati è ovviamente complicato!».
CLICCA QUI PER SCARICARE GRATUITAMENTE LA TUA COPIA DI MAG
