Board security: il ruolo salvavita dei portali di consiglio per la sicurezza dei CDA

Il lavoro dei consigli di amministrazione comporta da sempre altissime responsabilità: le pressioni sono costanti, i compiti molteplici, e i consiglieri sono tenuti a una supervisione dei processi continua, accurata, aggiornata. Attualmente, l’asticella delle aspettative è ancora più alta. L’instabilità del mondo contemporaneo si riflette sui mercati, accettuando, e addirittura moltiplicando, le già pressanti sfide del passato: il quadro geopolitico espone il business a incertezze inedite, le urgenze sociali e ambientali si fanno irrimandabili, i processi di digitalizzazione aziendale pongono nuove e specifiche questioni di adattamento della governance aziendale.

In questo contesto, il tema della sicurezza dei processi a carico dei CDA occupa un ruolo di primo piano. E soprattutto dopo i dirompenti cambiamenti tecnologici introdotti durante il periodo pandemico, che hanno investito i board improvvisamente: nella maggioranza dei casi è mancato il tempo per una matura e ponderata valutazione degli strumenti adottati. Superata la fase acuta dell’emergenza, ora è necessario capire cosa, e come, la board security può essere garantita su base continua. Questo senza aggravare il carico degli impegni del board, ma anzi mettendolo in protezione, semplificando le sue mansioni, rendendolo più efficiente e assicurandolo a strumenti davvero efficaci ed affidabili. Non solo nel presente, ma anche in prospettiva.

Dati alla mano, quando si parla di sicurezza la posta in gioco è molto alta: in un contesto globalmente critico, l’Italia detiene un primato stupefacente, essendo il terzo paese al mondo più colpito da attacchi informatici ransomware.¹ La buona notizia è che la strada delle soluzioni è fortunatamente già aperta. Esistono strumenti tecnologici dedicati e specifici, che prendono molto sul serio il ruolo cruciale del consiglio di amministrazione per la crescita e la competitività aziendale. 

Qui entra in gioco il ruolo del board portal, e il suo legame strettissimo con l'irrimandabile tema della salvaguardia dei processi aziendali e della salute del board. In tutti i loro aspetti. In primis, quello della sicurezza delle riunioni.

Conoscere il board portal.

Iniziamo dalle presentazioni. Un board portal (o portale di consiglio) è uno strumento digitale pensato ad hoc per i consigli di amministrazione, in grado di facilitare la collaborazione tra i membri del consiglio in modo efficiente e sicuro, e nel rispetto imperativo degli standard normativi. Grazie al board portal le riunioni di consiglio risultano semplificate e protette in tutte le fasi del processo di riunione: nella preparazione, durante gli incontri e nella fase successiva di riscontro e follow-up.

Si tratta dunque di uno strumento che centralizza in modo conforme e sicuro tutti i processi connessi alle attività del consiglio. E che garantisce quella board security che quasi mai, con strumenti improvvisati o adottati in urgenza, è protetta in modo davvero efficace. Il che comporta rischi gravissimi: reputazionali, economici, legali, di mantenimento della continuità aziendale. 

Ma quali sono, nello specifico, le principali componenti che rendono un board portal un vero e proprio salvavita per la sicurezza del board e dell’azienda? Vediamole nel dettaglio.

Le 3 Colonne d’Ercole della board security: Sicurezza - Riservatezza - Conformità

Sicurezza informatica

Visti i costi crescenti e tangibili delle violazioni, il rapporto fra sicurezza e rischio di impresa è ad oggi un elemento di assoluto primo piano nelle agende dei consigli di amministrazione. Gli attacchi informatici sono infatti aumentati in modo esponenziale durante la pandemia, come conseguenza dell’estensione del perimetro di attacco aziendale, dettato dalle forme di lavoro ibrido e da remoto. Per dare un’idea dell’impennata, le fonti rilevavano un volume globale di attacchi informatici aumentato del 238% già nel 2020.² Una tendenza che ha continuato a crescere.

I dati impongono un cambiamento di marcia, e non solo per le aziende italiane. A ribadirlo è il Sole 24Ore citando un recentissimo rapporto di Fortinet (2022), che ha coinvolto 1.223 manager di altrettante società in 29 paesi, mettendo a nudo carenze plateali nei sistemi di autoprotezione del sistema pubblico e privato di tutto il mondo.³ Sono stati globalmente registrati oltre duemila attacchi informatici gravi, con un aumento del 10% rispetto al 2020. L’80% delle imprese interpellate ammette di aver subito un attacco cyber negli ultimi 12 mesi. E un altro 40% dichiara di aver subito effrazioni che sono costate alle aziende più di un milione di dollari. Il titolo del rapporto è del resto eloquente: “2022 Cybersecurity Skills Gap”.

Il board portal risponde in modo puntuale e specializzato al gap di sicurezza riscontrato dalle più autorevoli fonti internazionali, e al serio richiamo di predisporre soluzioni al passo con i tempi per la sicurezza dei dati informatici. Le aziende e i loro board sono ovviamente considerati soggetti di prima linea in questa chiamata alle armi.

Su questo punto, il board portal si presenta come un insostituibile alleato. Uno dei suoi principali vantaggi è la protezione del perimetro di attacco aziendale, centralizzando le funzioni in uno strumento tecnologico “consapevole” dei diversi aspetti connessi alla board security, e dunque blindato: sia dalle incursioni esterne, sia dalla fuga accidentale di dati e informazioni riservate.

Una soluzione centralizzata permette infatti di abbattere l’uso di una moltitudine di strumenti incrociati, che rischiano di aprire pericolose brecce all’interno dei processi: si pensi all’uso di email, di documenti in formato PDF, di piattaforme on line per le videoconferenze, di piattaforme collaborative in-cloud. Tutte routine che incoraggiano incursioni indebite, esponendo le aziende a crimini e attacchi alla sicurezza dei dati informatici. Il ricorso improvvisato a strumenti di diverso tipo porta inoltre a un’organizzazione dei lavori sub-ottimale e per compartimenti stagni, con il serio rischio di perdita di informazioni.

Un board portal garantisce invece un accesso sicuro al software, attraverso meccanismi di doppia autenticazione e stabilendo diversi gradi di accessibilità ai documenti. Le informazioni condivise con i membri del board sono così tracciabili, mantenendo i materiali controllati e riservati. 

Prima, durante e dopo l’incontro, infatti, la parola d’ordine della board security è: riservatezza.

Riservatezza

I deficit nella riservatezza dei materiali, e dunque dei processi, rappresentano una delle principali vulnerabilità in fatto di board security. E le segreterie societarie lo sanno bene. Prima di un CDA, è infatti necessaria una fase di preparazione dei documenti da discutere, che spesso arrivano da uffici diversi e in diversi momenti. I consiglieri devono poi essere avvisati della convocazione all’assemblea, e le loro presenze gestite e validate. Ciascun partecipante ha bisogno di leggere in anticipo i materiali, per prepararsi adeguatamente sui temi all’ordine del giorno.

A questo scopo, i documenti sono spesso condivisi via email, e magari estesi a collaboratori o a soggetti delegati. Spesso il processo di inoltro dei materiali è guidato da tempistiche serrate e dal ricorso a tecnologie molto diverse fra loro: software di videoscrittura, account di posta elettronica personali, sistemi di messaggistica, cloud virtuali per la condivisione delle informazioni.

In questa moltitudine di strumenti, le insidie a danno della sicurezza documentale proliferano. All’aumentare delle persone e degli strumenti coinvolti nel flusso organizzativo aumentano anche - ed esponenzialmente - i rischi di accesso indebito ai sistemi e di fuga delle informazioni sensibili. Il che mette a repentaglio la segretezza e l’integrità delle informazioni gestite dal consiglio di amministrazione, vero cuore battente del progresso e della salute aziendale. Nella moltiplicazione dei canali coinvolti, stabilire le responsabilità in caso di attacchi alla sicurezza dei dati informatici risulta molto difficile. 

A farne le spese, è la tenuta dell’intero processo. E dunque la credibilità del board nella sua globalità.

Questo solo per quanto riguarda il pre-meeting. Va poi considerata la successiva fase di svolgimento del Consiglio, anche nelle sue forme ibride e da remoto. L’accesso improvvisato ai documenti, la presenza di materiali cartacei, le diverse versioni di fogli e file dovute a errori e a correzioni dell’ultimo momento pongono ulteriori criticità sul piano della sicurezza documentale, e non solo. Per non parlare della condivisione audio e video dei materiali di riunione e delle informazioni riservate, in assenza di strumenti protetti e sottoposti a verifica preventiva da parte di specialisti IT. 

Infine. I rischi per la sicurezza dei dati informatici si susseguono anche nella fase conclusiva degli incontri, ad esempio in sede di approvazione dei verbali di riunione, e di votazione.

Il board portal è in grado di assicurare un aiuto concreto e di blindare gli affari societari, perchè permette di mantenere il pieno controllo sul processo di distribuzione dei materiali, all'interno di una piattaforma sicura e criptata, che sia accessibile solo agli utenti abilitati. Si abbatte così il ricorso massivo alle email, con i tipici rischi di errore negli inoltri, o di documenti importanti che si perdono nella posta. Uno strumento di questo tipo assicura la sicurezza dei dati informatici, e la salvaguardia delle attività del board all’interno di un quadro normativo conforme. Proprio la conformità costituisce la terza colonna d’Ercole della board security.

Conformità

Il ruolo del consiglio di amministrazione è cruciale anche per quanto riguarda la valutazione di adeguatezza dell’assetto organizzativo sotto un profilo giuridico. Per questo, il tema della board security deve essere affrontato anche negli aspetti legali e di conformità alle normative vigenti.

È un aspetto significativo, perchè di solito, e nonostante la sua importanza, la conformità alle leggi non è il primo argomento che viene in mente quando si parla di sicurezza. Nè è l’aspetto principale messo in luce quando si parla di responsabilità dei board. Una leggerezza potenzialmente foriera di rilevanti responsabilità. 

Senz’altro, la normativa in materia di sicurezza dei dati informatici è un fondamentale punto di riferimento attarverso cui il consiglio di amministrazione può adottare assetti organizzativi adeguati a prevenire e minimizzare l'impatto di attacchi o incidenti cyber. Ne consegue che durante il processo di scelta di un provider per un board portal, la conformità normativa dovrebbe essere considerata non solo per quanto riguarda l’azienda interessata, ma anche in riferimento al provider valutato. Quando si richiede un elevato livello di sicurezza dei dati informatici, la localizzazione dei fornitori è un criterio essenziale per la valutazione del livello di conformità.

È molto importante capire a quali legislazioni per la tutela dei dati il provider è soggetto, specie in riferimento al GDPR europeo e al Cloud Act statunitense. I problemi di compatibilità fra le due normative possono infatti esporre le aziende a grossi rischi: se il GDPR intende tutelare la protezione dei dati per i cittadini UE, il Cloud Act statunitense consente alle autorità di accedere ai dati dei fornitori dei serivizi cloud americani, compresi i i dati memorizzati all’estero dalle loro filiali.

Per questo, per un’azienda europea un board portal ideale dovrebbe garantire la conformità alla GDPR europeo, e al contempo di non essere interessata dal Cloud Act statunitense. È questo il caso del servizio messo a disposizione da Sherpany. Avendo base in Svizzera, viene assicurata un’archiviazione conforme al GDPR senza rischi di conflitto con la legislazione d’oltreoceano.

Il cloud hosting è offerto in centri dati svizzeri che rispettano i massimi standard di sicurezza dei dati informatici. Inoltre, Sherpany offre ai propri clienti una doppia strategia, combinando i vantaggi di un cloud privato con l'archiviazione dei dati presso l'azienda stessa (cloud ibrido). Per un’azienda e il suo board, significa evitare multe fino a 20 milioni di euro a causa di conflitti di conformità. La board security è anche questo.

Un altro aspetto della sicurezza: l’importanza della sinergia fra strumenti basata sull’analisi

Come dicevamo, dall’inizio della pandemia moltissime riunioni di consiglio si sono avvalse di una varietà di strumenti. Abbiamo parlato dei rischi connessi alla moltiplicazione di questi sistemi, ma è un dato di fatto che alcuni di essi siano entrati a pieno titolo nelle prassi aziendali.

Un esempio è MS Teams, in molte realtà considerato un tool sufficiente a supportare tutti gli aspetti connessi alla gestione degli incontri. Su questa approssimazione si gioca in realtà il vivo della salute aziendale, e l’esposizione a rischi consistenti. A ben vedere, Teams è una piattaforma nata con altri scopi, e adattata in fase di emergenza a ricoprire una quantità di funzioni che esulano dalla sua natura. Una piattaforma di questo tipo può forse supportare la collaborazione che ruota intorno alle riunioni prima e dopo l’incontro. Tuttavia, non può essere considerata una soluzione preparata a ciò che può accadere nel vivo delle riunioni di consiglio, non garantendo funzioni ad hoc per la produttività e la sicurezza nelle riunioni formali di leadership. Che fare? 

Suggerire l’adozione di un board portal, e la valutazione di idoneità dei diversi strumenti già in campo, non si traduce nell’eliminazione acritica di tutte le soluzioni in essere. Valutare l’idoneità di uno strumento significa innanzi tutto vagliare la possibilità di un’integrazione virtuosa fra i sistemi, ed esplorare la possibilità di una sinergia, mantenendo come priorità assoluta la board security e l’efficienza dei processi. In questo senso, un buon software nato per la gestione delle riunioni formali dovrebbe permettere una fluida collaborazione con MS Teams, rispettando le funzioni valide ma supplendo a quelle che comportano approssimazioni procedurali e problemi di sicurezza. 

Sherpany è un esempio di come la maturità di uno strumento specifico per la gestione dei meeting formali  possa supportare le riunioni di consiglio non necessariamente come un sostituto, ma anzi come un partner di Teams e delle sue funzioni “generaliste”. L’importanza della collaborazione emerge anche in questo frangente: se l’obiettivo è davvero la salute e l’efficienza della gestione delle riunioni, non esistono incompatibilità di principio. Esiste piuttosto una comunione di intenti basata sull’analisi razionale dei rischi e dei vantaggi. Per una board security davvero all’avanguardia.

¹ “Italia sotto attacco hacker, ma mancano 100 mila esperti in cybersecurity”, Sole 24Ore, 29 maggio 2022.

² Op. Cit., Sole 24 Ore, 29 maggio 2022.

³ “2022 Cybersecurity Skills Gap”, Rapporto Fortinet, 2022.

Aura Tiralongo

L'autore

Aura Tiralongo ha pluriennale esperienza in scrittura professionale ed è docente all’Università IULM di Milano. In Sherpany ha il ruolo di Content Manager, sviluppando interviste e approfondimenti per il mercato italiano.