Governance, è fondamentale per le aziende contenere il rischio informatico

Lo scenario delle minacce digitali grava sulle aziende come un rischio di livello operativo. Occuparsi di questo rischio in ottica sostenibile significa trasformare l’approccio di governance e l’accountability (la responsabilità) dei decisori aziendali. Lo confermano gli esperti di security operation, lo dicono le normative europee (Nis, Dora), ma soprattutto lo ribadisce il World Economic Forum (Wef): «Le organizzazioni possono trasformare il rischio informatico in resilienza e la fiducia in creazione di valore sostenibile. L’invito per leader e decisori è ridefinire i ruoli di sicurezza» impostando fin dalla strategia, l’evoluzione della sicurezza informatica ad abilitatore di crescita, leva di fiducia e strumento di innovazione sostenibile. Ma serve anche una «governance adattiva» come spiega Oreste Pollicino docente e fondatore di AIdvisory.

Dal sondaggio Wef Global Cybersecurity Outlook 2025, per quasi il doppio degli intervistati, emerge come le maggiori conseguenze degli incidenti informatici, siano danni al brand e perdita di fiducia dei clienti. In generale la sicurezza informatica è vista come rischio aziendale, ma sulle priorità del rischio informatico si assiste ancora ad un disallineamento tra il livello dirigenziale e gli operativi di sicurezza.

I primi considerano le priorità circoscritte ai sistemi IT, mentre i secondi ne conoscono l’effetto sistemico su tutta l’organizzazione. Un rimedio iniziale è arrivato dalle principali normative europee, che hanno imposto a Cda, board di direttori e a dirigenti decisori, una accountability specifica sui rischi di sicurezza digitale, chiedendo che la loro responsabilità sia integrata nei processi di governance aziendale, inclusa la gestione dei rischi e dei fornitori. Microsoft nel suo rapporto 2025 sulla difesa digitale, fra le misure d’azione, richiama i consiglio di amministrazione alla gestione del rischio informatico come uno dei rischi operativi, considerando la sicurezza informatica come una sfida, al pari di quelle finanziarie o legali che incidono sulla sostenibilità dell’intera azienda.

Il Wef a fine ottobre ha ulteriormente rafforzato questo approccio con specifiche pubblicazioni legate al principio della resilienza e al governo del rischio Cyber auspicando interventi capaci di garantire la sostenibilità aziendale nel lungo termine: previsione di budget specifici per la sicurezza digitale, estensione della delega ai responsabili della sicurezza, ascolto frequente di queste figure, determinazione di obiettivi e incentivi per gli altri manager chiamati a collaborare nella prevenzione e risoluzione di rischi di cybersecurity. Tuttavia, poiché non esiste una ricetta unica per tutti i tipi di aziende, si può considerare l’adozione della governance adattiva.