Sicurezza informatica e protezione dei dati: così Sherpany blinda gli affari societari
Il 2020 ha registrato un picco nel data breach e nelle violazioni a danno delle aziende italiane, Milano in testa. In questa intervista Andrea Ratzenberger ripercorre i requisiti irrimandabili della cybersecurity.
Dott. Ratzenberger: le aziende, sempre più globali, hanno dipendenti, manager, dirigenti, amministratori, azionisti, stakeholder, dislocati in luoghi geografici diversi, spesso molto distanti. Come possono gli strumenti della tecnologia aiutare le aziende ad “accorciare” queste distanze?
Andrea Ratzenberger: Ad oggi quasi il 70 per cento della popolazione è dotato di almeno un mobile device. È ormai chiaro che la distanza, per come la intendevamo nel suo senso tradizionale, non esiste più. La possibilità di raggiungere le persone è data dalla connettività, diventata un elemento cruciale. E il processo è globale e la trasformazione digitale che lo accoglie ormai avviata. Oggi è necessario considerare l’esperienza legata alle emozioni, per rendere ottimale la comunicazione fra i diversi stakeholders e per facilitare il coordinamento del dialogo e lo scambio di materiali. Da qui il ruolo centrale delle tecnologie e il loro potenziale. I protagonisti della digital transformation devono saper rendere la transizione fluida, offrire per quanto possibile un’esperienza unificata e adattarsi alle capacità e alle competenze digitali degli stakeholder.
A che cosa una azienda deve prestare attenzione quando sceglie un software? Che cosa non può assolutamente mancare a questi tool?
Nella scelta di questi software, il focus è sui bisogni societari: cosa vuole raggiungere la società? È possibile adattare la piramide dei bisogni di Maslow al valore funzionale di un software: il cambiamento deve portare innovazione nella società ed essere scalabile, vale a dire che deve poter trarre il massimo dalle risorse a disposizione. La solidità del prodotto è dunque centrale. Al software è richiesto di aiutare la società nella performance e al risparmio dei costi, abbattendo - ad esempio - i rischi relativi alla sicurezza informatica e alla violazione dei dati personali. Una domanda da porsi sempre è: il software si integra al contesto societario? Lo strumento deve essere tagliato sullo scopo e sul contesto di utilizzo.
Un altro elemento cruciale è quello delle facilitazioni che la soluzione porta al daily business e alle sue diverse (ma interconnesse) dimensioni: produttività e risparmio di tempo, tracciabilità e accessibilità delle informazioni, operatività e semplificazione dei processi, sicurezza informatica e presa in carico dei rischi di data breach. I tool digitali devono essere al servizio delle persone, migliorare la loro capacità di connessione e di comunicazione, in un ambiente percepito come sicuro. Come amiamo ripetere: “la persona è al centro”. L’umanizzazione degli strumenti agevola anche la componente “inspirational”: è sempre necessario chiedersi se la soluzione adottata contribuisce alla visione della società e ai valori che la guidano.
Iscriviti alla newsletter
Ottenga l'accesso agli ultimi articoli, interviste e aggiornamenti sui prodotti.
Sulla base della sua consolidata esperienza nel settore, quali sono i rischi più frequenti - in termini di sicurezza informatica, privacy, monitoraggio dei lavoratori - che le aziende fronteggiano nel passaggio alla digitalizzazione delle loro riunioni di CdA e assemblee, così come a livello di condivisione e presa delle decisioni strategiche?
Andrea Ratzenberger: Le tradizionali riunioni del Consiglio di Amministrazione e dirigenziali seguono di solito un processo analogico in cui i documenti riservati vengono stampati e distribuiti fisicamente. In questo caso, assegnare la proprietà e la responsabilità di una pila di documenti fisici è relativamente semplice, anche se non esente da rischi: la persona in possesso del materiale deve garantire la riservatezza e l'integrità delle informazioni. Nel mondo digitale e nell’ambito delle strategie adottate nella digital transformation, questo diventa più complesso. Una delle ragioni principali è che esistono più parti coinvolte nella messa in sicurezza del materiale riservato. Ci sono ancora i soggetti "tradizionali" che preparano i materiali, li distribuiscono e li sottopongono all'incontro, ma oltre a questo abbiamo il fornitore che fornisce i dispositivi, l'IT che li gestisce, e chi fornisce la soluzione digitale. Ciascuna di queste entità gioca un ruolo significativo all’interno del processo: una maggiore complessità che si traduce in un diverso panorama di rischio.
Mentre, ad esempio, il pericolo di dimenticare i documenti fisici in un treno può essere mitigato attraverso la crittografia e la protezione con password dei dispositivi, nello spazio digitale il rischio di data breach e di ingegneria sociale è più elevato. Dove per rischio di ingegneria sociale intendiamo: manipolazioni di hackers con minacce oppure offerte fraudolente, inganni che approfittano della vulnerabilità e della scarsa preparazione delle persone, che costituiscono il vero anello debole della sicurezza informatica.
Perché consulenti IT e corporate altamente specializzati sono indispensabili per minimizzare i rischi connessi a sicurezza informatica e data breach? Ci può fornire qualche esempio concreto di problemi risolti da Sherpany?
Andrea Ratzenberger: Non è detto che specifici consulenti informatici e aziendali siano indispensabili per ridurre al minimo questi rischi, se intendiamo queste figure come isolate. Come dicevamo, nel mondo digitale le insidie sono diversificate, il che rende necessarie diverse competenze in strettissima sinergia. Sherpany riserva particolare attenzione alla gestione di informazioni altamente riservate, e alle figure che garantiscono questa competenza cruciale nel contesto contemporaneo. Abbiamo quindi il know-how necessario per garantire la riservatezza, l'integrità e la disponibilità dei dati che trattiamo. Questo significa che abbiamo progettato la nostra tecnologia, i nostri processi e le nostre policies con lo specifico obiettivo di essere i migliori della categoria nell’abbattimento dei rischi affrontati dai nostri clienti, soprattutto in quanto a data breach e sicurezza informatica.
Ad esempio, Sherpany prevede che tutte le informazioni sensibili scambiate nel corso delle riunioni del CDA non escano da un unico spazio sicuro. Questo scongiura il rischio di scarsa tutela dei dati, perché si prevede un’unica soluzione altamente sicura e monitorata a cui poter accedere, e che permette di gestire il processo di riunione senza rischi di intrusione e dispersione. Un altra misura necessaria è data dall’ autenticazione a due fattori, che permette di scongiurare i rischi di data breach connessi all’utilizzo delle tradizionali password di accesso agli account. E ancora, garantire il monitoraggio: Sherpany monitora costantemente le attività all’interno del proprio software, per poter rapidamente rilevare attività sospette e intervenire in maniera tempestiva.
Sherpany riserva particolare attenzione alla gestione di informazioni altamente riservate, e alle figure che garantiscono questa competenza cruciale nel contesto contemporaneo.
Una dimensione importante, e spesso non citata, riguarda i diversi livelli di sicurezza informatica da prevedere a seconda del tipo di documentazione societaria e del grado di riservatezza dei materiali. In alcuni casi è consigliabile negare la possibilità di stampare e salvare i documenti al di fuori della soluzione. E viceversa, per documenti meno sensibili, va offerta la possibilità di renderli disponibili, agevolando l’operatività e la flessibilità da parte dell’utente. Senz’altro gioca un ruolo centrale la responsabilizzazione dei soggetti e l’incremento di consapevolezza sul loro ruolo nel trattamento sicuro dei materiali.
In ultimo: in Sherpany prevediamo di poter gestire i diritti di accesso e i ruoli delle persone che utilizzano il software senza accedere ai contenuti dei documenti trattati, per evitare di incorrere in responsabilità in termini di visione dei documenti.
Il GDPR nel 2018 e la decisione cd. “Schrems II” nel luglio 2020 (che ha invalidato il “Privacy Shield”) sono esempi concreti dell'attenzione che legislatore e politica stanno prestando alla protezione dei dati personali, in un contesto sempre più digitale e globale. Perché, secondo lei, un approccio integrato – che coinvolga consulenti legali, IT e corporate – per fronteggiare le tematiche connesse è indispensabile? Qual è l’offerta di Sherpany su questi temi?
Andrea Ratzenberger: È importante monitorare queste decisioni sotto il profilo legale, e assicurarsi che i cambiamenti siano attuati il più rapidamente possibile dopo l'approvazione di nuove leggi e regolamenti. Il coinvolgimento dei consulenti IT e aziendali è fondamentale, per poter stabilire le modifiche da mettere in atto in conformità ai processi interni e all’IT.
Dato il momento delicato dal punto di vista della sicurezza informatica e dei dati, è fondamentale che un'azienda si concentri sulla privacy come una priorità assoluta. Non c’è dubbio: negli ultimi anni violazione dei dati sensibili e data breach si sono configurate come emergenze in escalation esponenziale, con casi di impatto significativo sull’opinione pubblica e sui media (Unicredit, Ospedale San Raffaele di Milano, Luxottica). E il 2020 per l’Italia è stato l’anno horribilis della sicurezza informatica, con un record di sanzioni per le aziende in fatto di privacy e gestione dei dati: ben 45 milioni di Euro, su un totale europeo di 60 milioni.
La fase attuale legata alla pandemia da Covid-19 ha, come è chiaro, esasperato una tendenza già in atto: secondo monitoraggi dedicati, solo nel luglio 2020 si è registrato un aumento del 250% dei crimini informatici. Un dato che non ha bisogno di commenti.
In questo contesto, Sherpany garantisce a livello europeo una solida rete di contatti legali, che vengono coinvolti in caso di variazione ed evoluzione normativa. Questo per avere la possibilità di aggiornare i clienti riguardo ai cambiamenti che hanno conseguenze sulle loro attività, e per far loro mantenere un alto livello di controllo su tutti gli apparati relativi alla sicurezza informatica.
