Reati informatici e Governance: quale filo conduttore?

Lo scorso 5 Marzo si è tenuto a Milano il seminario Reati informatici e Governance: quale filo conduttore? organizzato da DI & P Srl in collaborazione con Assinform. All’evento hanno partecipato keynote speakers quali Valentina Frediani, avvocato e fondatrice del network Consulentelegaleinformatico.it partner DI & P Srl , Sibilla Ricciardi, Responsabile Affari Legali di Microsoft Italia, Alessandro Capocchi,  Professore di Economia aziendale all’Università Bicocca e il Alessandro Bencini, Presidente di Tema Sistemi Informatici.

I relatori, muovendo dal modello di organizzazione, gestione e controllo 231 quale strumento destinato a prevenire (anche) la commissione dei reati informatici, hanno tratteggiato lo stato dell’arte in materia di governance del settore IT.

E’ fuori discussione che l’ampliamento dei confini del business passi per l’implementazione dei servizi IT. Si tratta di un fattore che, nell’attuale contesto di mercato, è sempre più strategico e capace di fare la differenza ma che, al contempo, presta il fianco a vertiginose vulnerabilità che il più delle volte le aziende neppure percepiscono. Quante e quali aziende hanno infatti la consapevolezza delle conseguenze che l’inadeguata gestione dell’accesso ad un CRM, l’intercettazione di e-mail (magari dal contenuto strategico), l’esportazione in cloud di informazioni riservate o l’utilizzo del Byod possono avere? La disinvoltura con cui si approcciano certi strumenti e soluzioni informatiche  che, nell’immediato, senz’altro permettono una riduzione di tempi e di costi, va di pari passo con la consapevolezza dei rischi a cui gli stessi espongono il patrimonio informativo dell’azienda?

La risposta è no. Il più delle volte né il top management né i CIO hanno la consapevolezza dell’urgenza e della non procrastinabilità di un intervento sull’organizzazione e sui processi volto a gestire, controllare e razionalizzare un’area che è tanto strategica quanto vulnerabile.

Il contesto è quello per cui lo studio del neonato Osservatorio Anfov, riferisce che la perdita di dati interessa una azienda su due e, per la prima volta, i servizi segreti italiani mettono la minaccia cyber al primo posto riferendo che il “made in Italy” e il relativo Know how sono oggetto di attacchi informatici per 20-40 miliardi annui.

In questo quadro il modello 231 si conferma lo strumento più efficace per governare e presidiare i processi ed accrescere la competitività. Il problema della security, la necessità di individuare, monitorare e “governare” i rischi alla stessa connessi, sono infatti sottesi ad un utilizzo “illuminato” del modello 231.

Modello che nasce sì per prevenire la commissione di alcuni tipologie di reati informatici ma che diventa lo strumento principe per razionalizzare e presidiare un’intera area. Dal seminario è emerso infatti che, la questione della compliance normativa, lungi dall’essere una minaccia, rappresenta a tutti gli effetti un’opportunità di tutela di quel “capitale di informazioni aziendali” che il più delle volte non è adeguatamente protetto.

E’ indispensabile una risk analysis di quelle che sono le vulnerabilità a cui l’azienda è esposta e l’implementazione di appositi protocolli, policies e procedure, capaci di razionalizzare ed ottimizzare i processi.

Scegliere di non porsi il problema può avere gravi ripercussioni, dal momento che si tratta di vulnerabilità capaci di colpire al cuore l’azienda e, a posteriori, si può fare ben poco.