L'evoluzione del risk management verso un approccio Data Driven riveste un'importanza fondamentale nell'era digitale. Offrendo alle aziende framework basati sui dati per affrontare in modo sofisticato l'identificazione, la misurazione e la gestione dei rischi, queste possono beneficiare di una visione approfondita e predittiva delle minacce.
Un tema questo che, come ServiceNow, abbiamo voluto trattare meglio in questo articolo, anche in vista della nostra partecipazione alla prossima edizione del Strategic Risk & Cybersecurity Summit, l’evento dedicato al mondo dei risk manager che si svolgerà il 27 e 28 novembre 2023 presso lo SPAZIO FIELD di Roma all’interno del Business Leaders Summit, organizzato da Business International, la knowledge unit di Fiera Milano.
La transizione tecnologica e l'emergere dei mondi virtuali presentano sfide significative, tra cui la sicurezza cibernetica e la privacy, ma allo stesso tempo aprono nuove opportunità, come l'impiego dell'AI per monitorare i cambiamenti e suggerire soluzioni basate sui dati.
La resilienza informatica diventa cruciale di fronte ad attacchi sempre più sofisticati e richiede investimenti in tecnologie di sicurezza avanzate e procedure di risposta. La diversificazione della supply chain, inoltre, necessita di strumenti avanzati per identificare minacce e mitigare potenziali rischi. Nell'ambito dell'outsourcing, diventa indispensabile l'adozione di strumenti di gestione per garantire sicurezza e conformità normativa, sottolineando l'importanza di contratti dettagliati e rigorosi controlli.
L'AI assume un ruolo centrale in tutti gli aspetti del risk management e della sicurezza informatica. Nell'approccio Data Driven, l'AI svolge un ruolo chiave nell'analisi dei dati, nell'identificazione di correlazioni e nella previsione di rischi futuri, consentendo una gestione precisa. Nell'ambito della security monitora le minacce in tempo reale, migliorando la risposta agli incidenti e la resilienza informatica.
I Security Operation Centers (SOC) aziendali estendono le proprie capacità al mondo OT, ma le sfide legate alla necessità di una visibilità maggiore e alla mancanza di competenze, creano rallentamenti. Questo dato emerge da “Breaking IT/OT Silos with ICS/OT Visibility”, l’ultimo studio realizzato da Trend Micro, che abbiamo voluto comprendere più a fondo in questo articolo, anche in vista della prossima edizione dello Strategic Risk & Cybersecurity Summit, che si terrà a Roma, presso lo Spazio Field, all'interno della splendida cornice di Palazzo Brancaccio, il prossimo 27 e 28 novembre 2023, nel corso del Business Leaders Summit - l'edizione autunnale della grande manifestazione annuale che riunisce i migliori C-level italiani e internazionali.
Lo studio rivela che la metà delle organizzazioni ha a disposizione un SOC aziendale che offre un discreto livello di visibilità ICS/OT. Tuttavia, anche nei casi in cui il campione può usufruire di un SOC maggiormente "esteso", solo la metà (53%) riesce a rilevare informazioni negli ambienti OT. Questa mancanza è evidenziata anche da un altro dato: la funzionalità principale che gli intervistati desiderano integrare negli ambienti IT e OT è il rilevamento di eventi cyber (63%). A seguire, l'inventario degli asset (57%) e l’identity and access management (57%). Essere in grado di rilevare gli eventi negli ambienti IT e OT è fondamentale per identificare le cause alla radice e prevenire minacce future, che potrebbero potenzialmente interrompere le operazioni.
“La convergenza tra gli ambienti IT e OT influenza la trasformazione digitale di molte organizzazioni industriali e per gestire efficacemente i rischi in questi ambienti è necessario far convergere anche le operazioni di sicurezza (SecOps)”. Ha affermato Alex Galimi, SE Team Leader Trend Micro Italia. “I programmi di sicurezza OT potrebbero essere in ritardo, ma esiste una concreta opportunità di colmare il divario di visibilità e competenze, implementando un'unica piattaforma SecOps".
Secondo lo studio, il rilevamento e la risposta negli endpoint (EDR) e il monitoraggio della sicurezza della rete interna (NSM - network security monitoring) sono gli strumenti principali in grado di fornire informazioni sulle cause di un attacco. Tuttavia, meno del 30% delle organizzazioni utilizza soluzioni EDR in ambienti OT.
Nel mondo OT, il monitoraggio della sicurezza della rete è raramente (<10%) implementato a livello di processi fisici o controlli base. Oltre le lacune di visibilità, lo studio rivela quali sono le sfide principali che riguardano le persone e i processi nel momento in cui si devono implementare strategie di cybersecurity negli ambienti IT e ICS/OT. In questo contesto, risulta così chiaro come quattro criticità su cinque riguardino il personale:
Formare il personale IT sulla OT security (54%)
Mancanza di comunicazione tra le diverse aree (39%)
Assumere e trattenere staff competente (38%)
Formare il personale OT sull’IT (38%)
Visibilità sui rischi insufficiente tra i domini IT e OT (38%)
Anche le tecnologie legacy, però, sono citate come ostacoli all’efficacia della security negli ambienti OT. Le principali sfide sono, infatti, i limiti dei dispositivi e delle reti legacy (45%), le tecnologie IT non progettate per gli ambienti OT (37%) e la mancanza di competenze OT da parte del personale IT (40%).
Per il futuro, il campione afferma di voler raddoppiare gli sforzi per far convergere le SecOps tra gli ambienti IT-OT e ottenere una maggiore visibilità sulle minacce OT. Due terzi delle organizzazioni (67%) prevede di estendere il proprio SOC e tra quelle che hanno già implementato soluzioni EDR, il 76% prevede di espandere questa tecnologia negli ambienti ICS/OT nei prossimi 24 mesi. Inoltre, anche il 70% delle aziende che ha già aggiunto funzionalità NSM prevede di estenderle nello stesso periodo di tempo.
Il panorama del rischio IT è sempre più complesso e ogni nuovo regolamento o iniziativa di trasformazione digitale richiede nuovi processi, partnership e soluzioni tecnologiche.
Un tema di grande attualità, questo, su cui come Servicenow abbiamo voluito concentrarci in questo articolo, anche in vista della prossima edizione del Global Risk Forum, l’evento dedicato al mondo del Risk Management che si terrà il 14 e 15 giugno 2023 presso l’Allianz MiCo – Milano Convention Centre, nel corso del Business Leaders Summit – la grande manifestazione dedicata ai migliori C-Level dell’impresa contemporanea e organizzata da Business International – Fiera Milano.
Sappiamo che i rischi informatici si presentano in molte varietà e possono includere minacce come ransomware, perdita di dati e violazioni di sistema. Il rischio IT si crea quando c'è una scarsa capacità di adattamento alle tecnologie in evoluzione. La mancanza di innovazione può causare delle interruzioni, che limitano anche la capacità di competere sul mercato o di affrontare le richieste dei clienti e i cambiamenti di scenario. Inoltre, il rischio alla conformità o all’integrità, è il risultato di una mancata capacità di agire in accordo con i regolamenti o le best practice.
Gestire la conformità o i rischi cyber associati a questi cambiamenti non deve essere solo un esercizio ma una trasformazione. Per farlo in modo efficace e responsabile, è necessario avere visibilità continua su tutto l’ambiente IT e con i team IT che lottano per gestire i processi manuali, ogni possibilità di accelerare le attività implementando controlli automatizzati deve essere la benvenuta. Ecco dove la soluzione di gestione del rischio, integrata sulla piattaforma ServiceNow, può aiutare. La nostra tecnologia, monitorando continuamente e rispondendo in modo intelligente, grazie all'automazione e ad approfondimenti in tempo reale, permette di gestire in modo efficiente il rischio IT e consentire all’organizzazione di prendere decisioni di business informate e basate su dati in tempo reale.
Secondo l’Osservatorio Cybersecurity 2023 della School of Management del Politecnico di Milano, Gli attacchi informatici sono in continuo aumento, con 1.141 incidenti gravi rilevati dal Clusit nel solo primo semestre 2022, +8,4% rispetto allo stesso periodo 2021, e le minacce interessano sempre più anche infrastrutture critiche. In questo contesto, il 67% delle imprese rileva un aumento dei tentativi di attacco e il 14% ha subito conseguenze tangibili a seguito di incidenti informatici, come interruzioni del servizio, ritardi nell'operatività dei processi o danni reputazionali. Più in generale, a causa della turbolenza in atto, il 92% delle aziende riscontra impatti, positivi o negativi, direttamente riconducibili al contesto geopolitico, che spaziano da un maggiore interesse alla sicurezza da parte del Top Management fino a una necessità di riorganizzazione delle attività di gestione del rischio cyber.
In questo contesto, ovviamente, risulta chiaro quanto ormai sia essenziale, tanto per le aziende, quanto per le persone, proteggere sempre di più e meglio i propri dati, soprattutto quando, magari, si intraprendono operazioni transazionali a livello nazionale e internazionale. Basti pensare che in Italia, secondo gli ultimi dati dell’Osservatorio eCommerce B2C di NetComm e della School of Management del Politecnico di Milano, l’eCommerce B2C ha superato i 54 miliardi di euro e che, invece, l’eCommerce B2B oggi viene utilizzato dal 61% delle aziende tricolore (il 12% in più rispetto all’ultima rilevazione sempre da parte del Politecnico di Milano).
Questo è lo scenario sul quale ci siamo focalizzati in questo articolo – anche in vista della prossima edizione del Global Risk Forum, l’evento dedicato al mondo del risk management previsto il 14 e 15 giugno 2023 presso l’Allianz MiCo – Milano convention Centre, nel corso del Business Leaders Summit e organizzato da Business International – Fiera Milano – al fine di sottolineare l’importanza per Kyriba di promuovere una sempre più sviluppata ed efficace cultura dell’innovazione e della sicurezza, soprattutto in ambito finanziario.
Un aspetto fondamentale dell’impegno per la sicurezza in realtà come la nostra, infatti, è l'adesione allo SWIFT Customer Security Programme (CSP).
La rete SWIFT collega oltre 11.000 banche in più di 200 paesi ed è una rete globale di messaggistica finanziaria che consente alle istituzioni finanziarie, come le banche e altre organizzazioni aziendali, di scambiare in modo sicuro messaggi e informazioni finanziarie standardizzate.
Mantenere la sicurezza e l'integrità di questa rete globale è estremamente importante, per questo motivo la conformità SWIFT ottenuta da Kyriba è segno di grande rilevanza e reputazione, sia per l’azienda che per i suoi clienti. In questo contesto, la costante concentrazione sulla conformità e sui test di sicurezza, nonché sul mantenimento della sicurezza e di altre certificazioni relative ai dati, come parte dell’impegno nei confronti dei clienti, risulta una caratterizzazione distintiva rispetto al mercato. La certificazione ISO27001 dimostra, inoltre, che un'azienda dispone di un ISMS maturo, essenziale per la protezione dei dati dei clienti, aiutando così a realizzare e a rispettare audit severi e ricorrenti grazie a una migliore reportistica e alla registrazione delle transazioni.
A testimonianza di quanto la priorità sugli investimenti nella sicurezza dei dati nel cloud, nell'infrastruttura IT, e nella sicurezza dei dati, rappresenti la chiave di volta per garantire che le informazioni critiche e i requisiti di sicurezza siano soddisfatti, infine, esempi come quello del Cyber Defense Center di Kyriba sono in grado di fornire in ambito cybersecurity un supporto globale 24 ore su 24, 7 giorni su 7, per garantire la protezione delle informazioni finanziarie critiche.
L’acronimo ESG (Environmental, Social, Governance) si riferisce a tre indicatori fondamentali che rappresentano la responsabilità ambientale, sociale e di governance di un’impresa o di un’organizzazione. La continua evoluzione normativa a livello internazionale ed europeo, nonché la crescente sensibilità e consapevolezza del mercato e della società civile sull’importanza delle tematiche ESG, richiedono ai CdA delle aziende di perseguire il cosiddetto successo sostenibile, adottando linee di governo societario e di azione atte alla creazione di valore nel lungo termine e assicurando l’integrazione della sostenibilità nelle strategie e negli obiettivi aziendali, nei processi economico–produttivi e nell’assetto della corporate governance.
Un tema estremamente attuale e di complessa interpretazione, questo, che, come Studio Carnà & Partners, abbiamo voluto approfondire meglio, in vista della prossima edizione del Global Risk Forum, l’evento dedicato al mondo del Risk Management che si terrà il 14 e 15 giugno 2023 presso l’Allianz MiCo – Milano Convention Centre, nel corso del Business Leaders Summit – la grande manifestazione dedicata ai migliori C-Level dell’impresa contemporanea e organizzata da Business International – Fiera Milano
I PILASTRI DELLA STRATEGIA ESG
In generale, quindi, una buona valutazione delle performance ESG aiuta a migliorare la reputazione aziendale e l’immagine del brand, attraendo investitori, consumatori e dipendenti. Per le organizzazioni occuparsi di tali tematiche non è solo un “dovere” etico e sociale nei confronti del pianeta e delle persone, ma anche una vera e propria strategia di posizionamento competitivo e reputazionale. Bisogna, però, prestare attenzione al fenomeno del cosiddetto “ESG-washing”, cioè a quelle organizzazioni che dichiarano di perseguire gli obiettivi ESG, senza essere conseguenti nei fatti. Il perseguimento degli obiettivi aziendali e la creazione del valore di lungo periodo non possono prescindere, infatti, da un processo strutturato di individuazione, misurazione e mitigazione dei rischi a 360 gradi, siano essi strategici, finanziari, operativi, reputazionali di reporting o di compliance. Per i consigli di amministrazione diventa quindi necessario prevedere adeguati sistemi di controllo interno e di gestione dei rischi e dotarsi di strumenti di Enterprise Risk Management integrati.
Il nuovo Tax Control Framework (TCF) bloccherà l’irrogazione delle sanzioni di natura fiscale, anche senza l’adesione al Regime di Adempimento Collaborativo da parte dell’azienda.
Un tema, questo, che, come Studio Tributario Tognolo, abbiamo voluto approfondire meglio, in vista della prossima edizione del Global Risk Forum, l’evento dedicato al mondo del Risk Management che si terrà il 14 e 15 giugno 2023 presso l’Allianz MiCo – Milano Convention Centre, nel corso del Business Leaders Summit – la grande manifestazione dedicata ai migliori C-Level dell’impresa contemporanea e organizzata da Business International – Fiera Milano.
LE PRINCIPALI NOVITÀ
Tra i numerosi temi affrontati dal Disegno di Legge di Delega Fiscale (DDL), approvato dal Governo e adesso in fase di discussione parlamentare, il potenziamento del TCF, rappresenta una novità di grande impatto.
Il TCF è uno strumento di governance del rischio fiscale strettamente connesso al business. Da sempre, le tematiche fiscali sono interconnesse e incidenti con numerosi livelli di operatività aziendale.
COSA CAMBIERÀ RISPETTO AL PASSATO
Sino alla venuta del DDL in analisi, l’implementazione di un Tax Control Framework rappresentava essenzialmente lo strumento di accesso al regime di Adempimento Collaborativo con l’Agenzia delle entrate (di cui al D.Lgs. 128/2015), riservato però a contribuenti di rilevanti dimensioni (la soglia di accesso al regime è attualmente fissata a 1 mld di euro). Una volta attuata la Delega, l’adozione di questo strumento garantirà la non applicazione delle sanzioni fiscali in caso di controllo, laddove sia presente:
Una volta approvato il DDL, le nuove regole saranno operative con specifici provvedimenti entro i successivi 24 mesi.
