9
INTRODUZIONE
Nel 1951, il Lyons Electronic Office I (LEO I) fu introdotto come il primo computer commerciale
al mondo. Inizialmente utilizzato per compiti amministrativi, come la tenuta dei libri paga e
dell'inventario, ha rappresentato un passo rivoluzionario nell'integrazione dei sistemi informatici con
i processi aziendali. Sette decenni dopo, è difficile concepire una sfera della vita quotidiana che non
sia influenzata dalla tecnologia informatica. I computer, inoltre, non sono più i sistemi chiusi che
erano solo 20 anni fa. Quasi tutti i computer fanno parte di una rete interconnessa di dispositivi, che
sia in uno smartphone, un laptop, una stampante da ufficio o un'auto.
L'interconnessione tra le varie parti che si affidano a Internet per raggiungere vari scopi, ha creato
un panorama diversificato di minacce informatiche. Tutte le entità, siano esse individui, aziende
private o organizzazioni governative, affrontano la sfida della costante minaccia degli attacchi
informatici. Sebbene molte organizzazioni ritengano che l'implementazione di solide misure di
sicurezza informatica sia sufficiente per proteggere i propri sistemi informativi dagli hacker, è
inevitabile che tutti i beneficiari di Internet prima o poi dovranno affrontare gli attacchi informatici.
Questa interconnettività ha un costo. La rapida crescita nell'ambiente digitale ha creato lacune nella
consapevolezza della sicurezza informatica delle organizzazioni, rendendo facile per gli attori delle
minacce, come gli stati nazionali e i criminali informatici, sfruttare le vulnerabilità ampiamente note.
Di conseguenza, la capacità di gestione del rischio informatico, che è il processo di mitigazione
10
dell'impatto degli attacchi informatici, è diventato un requisito essenziale per i dirigenti senior e i
leader chiave responsabili delle operazioni aziendali
1
.
Oltre il 90% dei dirigenti non è preparato ad affrontare gli attacchi informatici e non è in grado di
interpretare accuratamente i rapporti sulla sicurezza informatica, il 40% di essi, inoltre, ritiene di non
essere responsabile delle ripercussioni di un attacco informatico
2
.
Questo elaborato esamina il potenziale del rischio aziendale che spesso deriva dall'incapacità di
affrontare le minacce informatiche e sviluppa temi che riguardano le minacce informatiche, i rischi
informatici e la gestione del rischio informatico.
Nel primo capitolo verrà analizzato il concetto di rischio all’interno dell’azienda in tutte le sue
caratteristiche, con le varie tipologie che entrano in conflitto con il raggiungimento degli obiettivi
aziendali, prendendo anche in considerazione le classificazioni dei rischi che si possono adottare in
azienda. Verrà approfondito il processo di gestione del rischio in azienda e l’evoluzione del Risk
Management; come questo riesce ad intervenire nel contesto aziendale al fine di salvaguardare le
performance e gli obiettivi prefissati dal management.
Nel secondo capitolo, verranno approfondite le specifiche funzioni del Cyber Risk Management
ed i processi attraverso i quali quest’ultimo interviene all’interno di un’azienda. Verrà evidenziata
l’importanza della business continuity e della cyber resilience attraverso l’uso di best practice.
Un’attenzione particolare verrà data ai principali framework di riferimento come l’Enterprise Risk
Management (ERM) e il National Institute of Standards and Technology (NIST).
Nel terzo capitolo verrà approfondito il concetto di rischio cibernetico, di come la gestione del
rischio informatico è diventata una componente fondamentale delle operazioni aziendali e la
1
Wells, D., Brewster, B. & Akhgar, B. 2016. Challenges priorities and policies: mapping the research requirements of
cybercrime and cyberterrorism stakeholders. In Combatting cybercrime and cyberterrorism: challenges, trends and
priorities. B. Akhgar & B. Brewster, Eds. Sheffield: Springer International Publishing. 39-52.
2
DiChristopher, T. 2016. Execs: we're not responsible for cybersecurity. Available:
https://www.cnbc.com/2016/04/01/many-executives-say-theyre-not-responsible-for-cybersecurity- survey.html [2017,
November 8].
11
comprensione e la mitigazione del rischio sono diventate un'abilità essenziale per identificare e gestire
il rischio operativo, il rischio di contenzioso e il rischio reputazionale da parte degli analisti e del
management aziendale. Verranno evidenziate le industrie a rischio e i sistemi critici per settore.
Nel quarto capitolo si analizzerà il ruolo della leadership nella gestione del rischio cibernetico, gli
attori coinvolti e le relative responsabilità.
Verrà messa in evidenza l’importanza di un forte programma di governance per diffondere la
cultura aziendale con pratiche di gestione efficaci per la conformità alle procedure e l’utilizzo
tempestivo dei canali di comunicazione. In ultimo luogo verrà messa in evidenza l’importanza della
formazione per una consapevolezza aziendale.
Nel quinto capitolo verrà studiato un caso aziendale, nello specifico quello della Sony Pictures
Entertainment.
Questo colosso mondiale dell’entertainment fu messo a carta e penna da un gruppo di attivisti,
successivamente scopertosi, riconducibili al governo Nordcoreano. Si evidenzierà come il top
management non sia stato all’altezza; le cattive pratiche di sicurezza aziendali e le conseguenze
disastrose che si ebbero crearono non solo un fortissimo danno al core business aziendale a causa
della sua interruzione, ma anche un fortissimo danno d’immagine. La diffusione dei dati personali di
clienti e dipendenti, inoltre, portò ad una class-action per la presunta negligenza nel trattamento dei
propri dati riservati.
Alla fine della tesi verrà presentato un breve approfondimento sulla situazione attuale, per
sottolineare la crescente importanza della cybersecurity e verificarne l'impatto nella prassi.
12
Cap. I Il Rischio Aziendale
1.1 Il concetto di rischio
La sopravvivenza di un’impresa sul mercato è sempre stata indissolubilmente legata ai rischi a cui
essa si espone. Fare impresa significa trovarsi continuamente ad affrontare e gestire il variare dei
fattori economici, ambientali e sociali. Nonostante l’importanza di questo aspetto, che può̀ portare
un’organizzazione al successo o all’insuccesso, le aziende sono state caratterizzate, per lungo tempo,
da una considerazione limitata di tale fenomeno. La gestione del rischio, infatti, fino a qualche anno
fa, rappresentava una parte fortemente marginale nella direzione delle aziende.
Definire il rischio non è un compito semplice. Il rischio deriva da un insieme di variabili che
possono essere sia interne sia esterne all’azienda, difficili per l’uomo da prevedere e soprattutto da
controllare.
Nonostante nel corso degli anni siano stati numerosi gli studiosi che si sono occupati di questo
tema, (studiosi del processo decisionale, economisti, statistici ed esperti di assicurazioni), in
letteratura non esiste ancora una definizione condivisa.
Se da un lato potrebbe essere fuorviante non avere una esplicitazione univoca del rischio, dall’altro
lato è riduttivo esprimere le varie caratteristiche di questo concetto all’interno di una sola definizione;
farlo comporterebbe l’esclusione di molti suoi aspetti che, seppur marginali, meritano un’attenta
valutazione.
Tutti i comportamenti umani, in misura più o meno significativa, possono essere considerati
rischiosi poiché ogni azione è in una certa misura imprevedibile nei suoi effetti ma, se non si vuole
perdere un’opportunità, alcuni rischi vanno intrapresi.
13
Il rischio è un elemento che permea la nostra vita in ogni suo aspetto e, anche se solitamente
assume un’accezione negativa, non dobbiamo dimenticarci che questo può essere uno stimolo per
migliorare le proprie performances e valutare nuove opportunità.
L’economista Frank H. Knight, nel 1921, diede una prima definizione di rischio, affermando che
rischio e incertezza debbano essere considerati in modo diverso tra loro, senza però separarli del tutto.
Nella sua opera “Risk, Uncertainty and Profit”, Knight fece una prima distinzione tra rischio e
incertezza, definendo che nel rischio le singole probabilità̀ sono note “randomness with knowable
probabilities” (distribuzione probabilistica conosciuta nei suoi parametri), mentre nella seconda
categoria questo non si verifica “randomness with unkowable probabilities” (distribuzione
probabilistica ignota)
3
. Knight distingue, quindi, nella totalità degli eventi, quelli che presentano una
misurabilità, identificandoli come rischiosi, e quelli che invece non presentano alcun margine di
misurazione, definiti incerti. Il contributo di Knight fu importante perché correlò il rischio e
l’incertezza ad eventi economico – finanziari.
La teoria di Knight fu condivisa da altri matematici ed economisti
4
. Nel 1947
5
, nasce “Expected
Utility Theory“ (la teoria economica dell’utilità attesa) di John Von Neumann e Oskar Morgenstern.
Secondo la loro teoria, una qualsiasi persona, in condizioni di incertezza, messa di fronte ad una scelta
opterà per una decisine che offra sempre l’alternativa di utilità maggiore.
Nei primi anni Novanta viene definito un primo sommario di regole di corporate governance dalla
Committee of Sponsoring Organization (CoSo Framework)
6
per permettere un’efficiente ed efficace
gestione dei rischi d’impresa. Questo documento, utile per formulare strategie aziendali ed
individuare eventi che possono essere negativi per l’impresa, nel 2004 prende il nome di Enterprise
3
F. H. Knight, Rischio, incertezza, profitto, Firenze, La Nuova Italia, 1960 (edizione originale 1921).
4
Ramsey (1926), Hicks (1931), Keynes (1936/1937), Kalecki (1937), Makower, Marschak (1938), Stigler (1939), Tintner
(1941), Hart (1942).
5
John von Neumann e Oskar Morgenstern, Theory of Games and Economic Behavior, Princeton, NJ. Princeton
University Press, 1953.
6
The Committee of Sponsoring Organizations of the Treadway Commission, 1992.
14
Risk Management (ERM)
7
. La gestione dei rischi inizia ad esser vista come una delle principali
componenti qualificanti di un buon sistema di gestione aziendale e il Turnbull Report
8
ribadisce la
correlazione fra gestione sistematica dei rischi e creazione di valore.
L’impresa, per sua natura, ha un alto grado di incertezza e tutte le aziende, indipendentemente dal
settore economico in cui operano, incontrano rischi che possono pregiudicare la capacità di
competere, la situazione finanziaria, la qualità dei prodotti, dei servizi, del personale, l’immagine e
la sopravvivenza stessa dell’azienda.
Il rischio, in una logica economico-aziendale si può definire come la possibilità di un danno
economico legato ad un evento futuro di incerta manifestazione che può determinare uno
scostamento, positivo o negativo, rispetto agli obiettivi prestabiliti. Da questa definizione emerge che
quando si parla di rischio in economia aziendale, il rischio è visto essenzialmente come la possibilità
di subire una perdita, un danno economico, al verificarsi di un evento futuro, rischioso, inaspettato
sulla situazione economica, finanziaria, patrimoniale e sull’immagine dell’impresa.
Altro elemento che emerge da questa definizione è che il rischio è legato al carattere probabilistico
del sistema d'azienda, ovvero non vi è la certezza che si verifichi l'evento che può causare un danno
economico all'azienda. Quindi il rischio si riferisce soltanto a quegli eventi futuri di incerta
manifestazione. Nel concetto di rischio non rientrano quegli eventi che non hanno il carattere di
incertezza che invece contraddistingue l'evento rischioso.
L'associazione del concetto di rischio a quello di prospettiva di danno economico è uno degli
aspetti più discussi in letteratura. Oggetto del dibattito è la possibilità di comprendere nell'accezione
7
Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management. Integrated
Framework, September 2004.
8
Institute of Chartered Accountants of England and Wales (1999).
15
di rischio, oltre alla possibilità di danno, anche la possibilità che si verifichino conseguenze positive
per l'azienda, ovvero risultati migliori rispetto a quelli attesi.
In passato alcuni autori hanno proposto di distinguere i rischi aziendali in rischi puri o unilaterali
e rischi imprenditoriali o bilaterali.
I rischi puri sorgono indipendentemente dalla dinamica dell’economia e possono provocare
esclusivamente perdite; si riferiscono a quegli eventi a cui è possibile associare unicamente
un'eventualità di danno (ad esempio incendi, furti, danneggiamenti), hanno la caratteristica di essere
imprevedibili in quanto legati a cause accidentali.
I rischi imprenditoriali riguardano quei fenomeni che possono produrre conseguenze positive
oppure negative per l'azienda (perdite o guadagni).
La maggior parte della dottrina economico-aziendale concorda, però, nel ritenere che nel concetto
di rischio debbano essere comprese soltanto le prospettive di danno economico.
Il rischio è la possibilità che a seguito del manifestarsi di un evento futuro, possa prodursi una
conseguenza negativa per l'economicità aziendale, è un fenomeno atto a produrre effetti negativi in
ordine al perseguimento degli obiettivi aziendali e quindi ostacola la creazione di valore. I rischi a
cui un'azienda risulta esposta variano in funzione del settore d'appartenenza e del tipo di attività
esercitata.
La capacità di identificazione, valutazione e gestione dei rischi sono alla base del successo
aziendale. Non potendo eliminare il rischio, quindi, il management deve stabilire un livello
prudenzialmente accettabile entro cui mantenerlo.
Se il management riesce ad anticipare e gestire i rischi, pone l’azienda in una posizione di
vantaggio competitivo rispetto ai propri competitors.
16
1.2 I caratteri e la gestione del rischio nel sistema azienda
Due fenomeni caratterizzano il rischio aziendale: uno, di carattere oggettivo, legato al mutevole
manifestarsi degli eventi e l’altro, di carattere soggettivo, legato all’incapacità del management di
prevederli.
È indubbio che la capacità di previsione di un evento è legata alle caratteristiche intrinseche dei
processi di cambiamento: la frequenza con cui si manifestano i cambiamenti, il numero delle variabili
coinvolte, fattori tutti che condizionano fortemente la capacità umana di prevedere l'evoluzione degli
eventi che rientrano nei processi decisionali.
È da sottolineare, quando i fenomeni sono aleatori, quindi riconducibili alla probabilità-
scommessa di accadimento, che gli errori di previsione, seppure in misura marginale, nei processi
decisionali sono da mettere in dovuto conto e ciò è spesso riconducibile a carenze di un’adeguata e/o
non approfondita conoscenza o ad altre variabili, che tutte insieme, tuttavia, condizionano in qualche
modo la corretta formulazione di ipotesi degli sviluppi futuri dell’attività aziendale.
Da quanto sopra discende un primo fatto, che il rischio è intrinseco all’attività d’impresa ed è
ineliminabile: con le dovute misure previsionali e gestionali il profilo di rischio associato all’attività
di impresa può essere identificato e, quindi, in qualche modo ridotto ad un livello accettabile, ma non
può essere del tutto annullato. Ovviamente il rischio cessa quando muore l’azienda. Non esiste,
quindi, azienda, con essa un’attività di impresa, senza che ad esse possa essere associato un certo
profilo di rischio. Pur non potendo essere eliminato il rischio deve essere gestito, ed infatti l'obiettivo
delle politiche di risk management è proprio quello di ridurre il grado di esposizione al rischio,
mettendo in atto una serie di azioni finalizzate a contenere il rischio entro una soglia giudicata
accettabile dalla direzione, senza pregiudicare l'economicità aziendale.
Peraltro, pur permanendo un certo profilo di rischio durante le diverse fasi e vicende della vita
dell’azienda, esso può avere nel tempo una diversa entità assumendo, quindi, un carattere dinamico
17
per effetto di fattori sia interni che esterni che fanno sorgere nuovi rischi e ne fanno cessare altri
esistenti.
Quindi l’entità dell’esposizione al singolo rischio o a quello complessivo di un’azienda, è nel
tempo variabile per effetto dei cambiamenti intervenuti nell’ambiente esterno nel quale l’azienda si
trova ad operare. Per esempio, una accentuata concorrenza nello stesso settore in cui opera un cliente
dell’azienda, può procurare difficoltà per questo ultimo nel far fronte ai propri debiti; questo potrebbe,
quindi, influenzare il livello di esposizione dell'azienda al rischio di credito.
E’, tuttavia, da evidenziare che la variazione del profilo di rischio, oltre per effetto dei suddetti
fattori esterni non dipendenti da volontà aziendale, può essere il risultato di una scelta decisionale
deliberata dell’azienda, ad esempio quella di entrare in nuovi mercati o di lanciare nuovi prodotti sui
mercati, comunque accompagnata da politiche di risk management per contenere, in ogni caso, il
livello complessivo di esposizione al rischio.
La sistematicità, oltre alla ineliminabilità ed alla dinamicità, costituisce una ulteriore caratteristica
del rischio in una impresa; essa viene intesa come coesistenza di più fattispecie di manifestazioni di
rischio, fra loro interconnesse, in un insieme complesso unitario, da legami diversi. In altre parole, i
rischi particolari (come, ad esempio, rischio di credito e rischio di liquidità) nel loro insieme
costituiscono il rischio economico-generale, ovvero il rischio complessivo che grava sulla
combinazione produttiva. Mentre i rischi particolari possono essere eliminati, quello economico-
generale, dato dall’insieme dei rischi particolari, non è eliminale, ma può soltanto essere diminuito.
Un ultimo aspetto del rischio in una azienda è rappresentato dal suo contenuto economico,
connesso al danno economico prevedibile ad esso legato e per ciò stesso nelle aziende oggetto di
particolari studi ed analisi.
Parlare di contenuto economico del rischio in una azienda vuol dire considerare tutti i rischi
possibili, non solo quelli di mera matrice economica, ma anche quei rischi che in diverso modo,
18
possono avere un impatto negativo sull’attività di impresa come ad esempio quelli che possono
derivare da eventi fisici o naturali di forza maggiore. Tutti i rischi che possono impattare
negativamente, pertanto, saranno oggetto di politiche di risk management; non si tiene conto
dell’origine del rischio, ma delle sue conseguenze economiche: se ha un impatto economico o meno.
In sintesi, in economia aziendale il rischio è un fenomeno intrinseco al funzionamento dell'azienda,
dinamico ed avente carattere sistemico, dal quale può derivare un danno economico per la
combinazione produttiva.
1.3 La classificazione dei rischi
Dopo aver cercato di definire il rischio in senso generico, è utile soffermarsi sulle classificazioni
più strettamente correlate alla gestione del rischio che negli anni sono state proposte.
1.3.1 Principali classificazioni
Il primo criterio che si considera è quello in base al “segno dell’impatto” dove si possono
distinguere tra rischi speculativi e rischi puri.
I rischi speculativi sono legati a risultati futuri non predeterminabili. Indicano la possibilità di uno
scostamento positivo o negativo rispetto ad un obiettivo o ad un risultato atteso (rientrano in questa
categoria il rischio di cambio, il rischio di tasso di interesse, il rischio di prezzo). Le conseguenze
dovute a questa tipologia di rischio non possono essere modificate o limitate nei loro effetti; l’unica
cosa che può fare il management è cercare di riconoscere i segnali predittivi e cercare di prevenire il
rischio.
Esempio di rischio speculativo è il rischio di cambio dato che a seconda dell'andamento del tasso
di cambio tra valute un'azienda può beneficiare o essere penalizzata da tale variazione.