![Festa dei Vigili del Fuoco, Santa Barbara, il vescovo di Biella: "Siete un esempio di coraggio"](https://www.newsbiella.it/typo3temp/pics/s_c4b97a64db.jpg "Festa dei Vigili del Fuoco, Santa Barbara, il vescovo di Biella: "Siete un esempio di coraggio"")
I criteri ESG (Environmental, Social, and Governance) stanno diventando un metro di valutazione sempre più utilizzato da soggetti esterni per giudicare le aziende come valide controparti nel business.
Un’azienda digitalmente fragile, al giorno d’oggi, non è più ritenuta sostenibile. La cybersecurity va ormai considerata un asset strategico misurabile secondo i criteri ESG.
Una violazione dei dati, un blocco della produzione o della catena di fornitura, è a tutti gli effetti un fallimento della Governance (“G”). Se poi l’impatto dell’attacco informatico colpisce la forza lavoro, ad esempio costringendo al ricorso alla cassa integrazione per l’impossibilità di produrre, o causa l’esfiltrazione di dati di terzi, si configura una responsabilità sociale (“S”).
In un mercato fortemente competitivo, i dettagli e i metodi di valutazione che esulano dai canoni classici fanno la differenza. La sempre maggiore attenzione verso le tematiche di sostenibilità e responsabilità sociale sta iniziando a essere determinante.
Partiamo dalla “G” dell’acronimo ESG, ossia la responsabilità della governance. La resilienza alle minacce informatiche denota attenzione e senso di responsabilità da parte del management aziendale, con un conseguente impatto positivo sulla fiducia degli stakeholder. La maturità nella gestione del rischio cyber è un forte indicatore qualitativo della preparazione del management ad affrontare quelle minacce di blocco totale a cui assistiamo sempre più frequentemente. Basti pensare ai casi che hanno coinvolto Jaguar Land Rover o, più di recente, il gruppo giapponese Asahi (proprietario del marchio Peroni).
Un modello di governance che delega in toto, o in gran parte, la gestione del rischio cyber al proprio CISO o responsabile IT è sintomo conclamato di una governance debole.
Passando alla “S” di ESG, ossia l'attenzione all'aspetto “social”, la protezione dei dati dei nostri stakeholder dà un'ulteriore spinta qualitativa alla valutazione della nostra affidabilità aziendale.
Oltre a essere un obbligo di legge (GDPR), la protezione dei dati rappresenta una responsabilità sociale dell'impresa a tutela di terzi. Allo stesso modo, in caso di un attacco informatico che blocchi l'operatività, se i servizi erogati hanno un impatto sul sociale (come nel campo delle prestazioni sanitarie), a fallire non è solo il "braccio armato" dei servizi informatici, ma anche il management, che non ha curato a dovere questo importante processo e asset aziendale.
Spesso il costo della cybersecurity viene percepito come un investimento "a fondo perduto", un "male necessario". Provate invece a vederlo come un investimento di marketing. Avete investito in sicurezza informatica? Comunicatelo efficacemente al mondo! Chi vi affida i propri dati sarà più propenso a scegliere voi piuttosto che i vostri competitor. Non limitatevi a pubblicizzare l'installazione dell'impianto fotovoltaico sul tetto. Quello salva l'ambiente; la cybersecurity, oltre a garantire la continuità del business, protegge il lavoro dei vostri dipendenti e delle loro famiglie, e salvaguarda i vostri clienti.
Esistono diversi modi per comunicare la propria cyber-resilienza. Uno dei più noti è la certificazione ISO 27001 che, in aggiunta alle linee guida della ISO 31000, può conferire alla vostra azienda un'immagine di responsabilità ESG palese e indiscussa.
La nuova normativa europea NIS2 dà un forte impulso e accende un riflettore sulla supply chain: in altre parole, non basta più fidarsi, ma occorre verificare. Senza se e senza ma.
La domanda che i Consigli di amministrazione devono porsi deve spostarsi dalla classica “siamo sicuri?”, ma anche “siamo sicuri che i nostri partner strategici non diventino il nostro cavallo di Troia?”.
Di conseguenza, comunicare di aver messo in sicurezza la propria catena di fornitura e la propria infrastruttura non è solo sintomo di vantaggio competitivo, ma è la prova di una governance matura e responsabile, pienamente consapevole di cosa significhi un attacco informatico per l'azienda, per i suoi dipendenti e per i suoi clienti.
Per maggiori informazioni:
Sito web: www.seccomarco.com
![Fondazione Marazzato e Area907 di Buzzi: "Insieme per celebrare la cultura d'impresa"](https://www.newsbiella.it/typo3temp/pics/f_c80b146b03.jpg "Fondazione Marazzato e Area907 di Buzzi: "Insieme per celebrare la cultura d'impresa"")
