〈   Responsabilità del consiglio di amministrazione
Lavorare sui rischi di ciberattacchi a livello di consiglio di amministrazione

Chapter 2.3

Sette domande per scegliere l’approccio giusto


I nuovi approcci per adempiere alla loro responsabilità fiduciaria nei confronti degli azionisti e il ruolo di supervisione della gestione dei rischi commerciali permettono agli amministratori di porsi sette domande chiave per comprendere le implicazioni della cibersicurezza:

responsabilité de surveillance de la gestion des risques commerciaux, les administrateurs peuvent se poser sept questions majeures pour appréhender les enjeux de cybersécurité :

  1. la cibersicurezza non riguarda solo la protezione dei dati.

Qual è la politica dell’impresa in questo ambito e come agisce? Bisogna limitarsi agli obblighi della LPD o del GDPR? Vengono adottate misure più severe? Esistono rischi specifici che giustificano procedure più dettagliate?

  1. I consigli di amministrazione devono partecipare al monitoraggio della cibersicurezza con cognizione di causa.

Nel caso di attività in mercati diversi da quello svizzero, il GDPR e altre normative impongono determinati obblighi. Lo stresso vale per la FINMA. Occorre dunque domandarsi in che modo il consiglio di amministrazione parteciperà a questa vigilanza.

  1. I consigli di amministrazione devono partecipare al monitoraggio della cibersicurezza con cognizione di causa.

Si tratta di un messaggio che bisogna diffondere, perché i team operativi vorranno difendere l’attività e ciò provocherà un sovraccarico di stress per i team IT e addirittura per i fornitori esterni quando sarà affidato loro questo compito. Occorre pertanto chiedersi come valutare questi fornitori esterni e convalidare la qualità delle loro prestazioni. In caso di crisi spetta all’impresa giustificare la scelta di un determinato fornitore.

  1. Quali sono i piani d’intervento in caso di incidente?

È importante chiedersi quali ripercussioni possono esserci per il consiglio di amministrazione e i suoi membri, chi dovrà essere coinvolto nella gestione della crisi e come nascerà la crisi stessa.

  1. Qual è il ruolo del consiglio di amministrazione in caso di incidente?

Prima della crisi occorre definire la composizione più appropriata dell’unità di crisi e delle sue procedure interne.

  1. 6. Quali sono i piani di ripresa dell’attività in caso di ciberincidente?

Con un BCP si possono prevedere alternative in caso di paralisi di parte dell’attività. Materiale di riserva, sito secondario, software e reti protette, ecc. Sono tutti modi per garantire che una crisi non distrugga qualsiasi possibilità di continuare l’attività.

  1. 7. Gli investimenti in materia di cibersicurezza sono sufficienti?

In considerazione degli elementi (forniti da esperti IT, sottocomitati o un membro del consiglio di amministrazione incaricato) occorre valutare i rischi, le vulnerabilità e le possibili ripercussioni nonché dotarsi degli strumenti adeguati.

2023 © Trust Valley. Tutti i diritti riservati.