I nuovi approcci per adempiere alla loro responsabilità fiduciaria nei confronti degli azionisti e il ruolo di supervisione della gestione dei rischi commerciali permettono agli amministratori di porsi sette domande chiave per comprendere le implicazioni della cibersicurezza:
responsabilité de surveillance de la gestion des risques commerciaux, les administrateurs peuvent se poser sept questions majeures pour appréhender les enjeux de cybersécurité :
- la cibersicurezza non riguarda solo la protezione dei dati.
Qual è la politica dell’impresa in questo ambito e come agisce? Bisogna limitarsi agli obblighi della LPD o del GDPR? Vengono adottate misure più severe? Esistono rischi specifici che giustificano procedure più dettagliate?
- I consigli di amministrazione devono partecipare al monitoraggio della cibersicurezza con cognizione di causa.
Nel caso di attività in mercati diversi da quello svizzero, il GDPR e altre normative impongono determinati obblighi. Lo stresso vale per la FINMA. Occorre dunque domandarsi in che modo il consiglio di amministrazione parteciperà a questa vigilanza.
- I consigli di amministrazione devono partecipare al monitoraggio della cibersicurezza con cognizione di causa.
Si tratta di un messaggio che bisogna diffondere, perché i team operativi vorranno difendere l’attività e ciò provocherà un sovraccarico di stress per i team IT e addirittura per i fornitori esterni quando sarà affidato loro questo compito. Occorre pertanto chiedersi come valutare questi fornitori esterni e convalidare la qualità delle loro prestazioni. In caso di crisi spetta all’impresa giustificare la scelta di un determinato fornitore.
- Quali sono i piani d’intervento in caso di incidente?
È importante chiedersi quali ripercussioni possono esserci per il consiglio di amministrazione e i suoi membri, chi dovrà essere coinvolto nella gestione della crisi e come nascerà la crisi stessa.
- Qual è il ruolo del consiglio di amministrazione in caso di incidente?
Prima della crisi occorre definire la composizione più appropriata dell’unità di crisi e delle sue procedure interne.
- 6. Quali sono i piani di ripresa dell’attività in caso di ciberincidente?
Con un BCP si possono prevedere alternative in caso di paralisi di parte dell’attività. Materiale di riserva, sito secondario, software e reti protette, ecc. Sono tutti modi per garantire che una crisi non distrugga qualsiasi possibilità di continuare l’attività.
- 7. Gli investimenti in materia di cibersicurezza sono sufficienti?
In considerazione degli elementi (forniti da esperti IT, sottocomitati o un membro del consiglio di amministrazione incaricato) occorre valutare i rischi, le vulnerabilità e le possibili ripercussioni nonché dotarsi degli strumenti adeguati.
