TEMA IN FOCUS: SICUREZZA INFORMATICA
Riteniamo che i consigli di amministrazione dovrebbero essere responsabili dei principali rischi aziendali, come i problemi di sicurezza informatica e dei dati, e dovrebbero esercitare una chiara supervisione della tecnologia, della sicurezza dei dati e delle politiche sulla privacy.
Con l'aumento dell'incidenza degli attacchi informatici e dei costi degli errori legati alla sicurezza, vogliamo rimanere vigili e all'avanguardia quando valutiamo l'esposizione del portafoglio.
CASI CONCRETI
Società 1Cosa abbiamo scoperto?
Ci siamo impegnati con una banca italiana e abbiamo stabilito che utilizza il NIST, un sistema esterno statunitense, per valutare la propria maturità in termini di sicurezza informatica. Tale sistema segnala il rischio informatico anche all'alta dirigenza utilizzando indicatori chiave di performance. Tuttavia, non ha dimostrato trasparenza in merito al personale chiave responsabile della strategia di sicurezza informatica o all'eventuale processo di revisione.
A seguito di un secondo momento di coinvolgimento, la società ha confermato di disporre di un processo di revisione interno ed esterno sul rischio di sicurezza informatica. Ha inoltre nominato un Chief Security Officer, responsabile nei confronti del consiglio di amministrazione per l'esecuzione della strategia informatica. Due candidati al consiglio di amministrazione dispongono di competenze in materia di sicurezza informatica.
In risposta alle nostre domande specifiche, la società ha affermato di offrire formazione continua ai propri esperti informatici per consentire loro di affrontare le minacce alle sicurezza informatica, data la natura estremamente mutevole di tale ambito. La società ha confermato di aver destinato alla sicurezza informatica nel 2020 il 5% del proprio budget totale per la sicurezza, in linea con le altre banche europee. La società sta anche lavorando al proprio vivaio di talenti reclutando direttamente dalle università.
Prossimi passi
Continueremo a impegnarci per comprendere la presa di responsabilità interna.
Cosa abbiamo scoperto?
Ci siamo impegnati con la società, una banca spagnola, e abbiamo stabilito che dispone di un team di risposta agli errori di sicurezza informatica. Collabora con entità esterne, comprese agenzie di sicurezza governative e diversi fornitori in ambito di sicurezza. Tutti i dipendenti ricevono una formazione sulla sicurezza informatica. Tuttavia, non era chiaro chi fosse responsabile della strategia in quest'area e quale fosse il budget della società per la sicurezza informatica. Inoltre, il consiglio di amministrazione non aveva ricevuto alcuna formazione specifica sulla gestione dei rischi informatici.
Prossimi passi
Continueremo a impegnarci per comprendere la responsabilità interna, la formazione del consiglio di amministrazione sui rischi informatici e se la banca dispone di un processo di revisione per la strategia contro i rischi informatici.
Cosa abbiamo scoperto?
Ci siamo impegnati con una compagnia assicurativa britannica che, insieme alle sue controllate, fornisce prodotti assicurativi per individui e aziende. Abbiamo scoperto che la società è membro dell'Information Security Forum e che dispone di linee guida e criteri di gruppo basati sulle sue norme di best practice. Tali criteri mirano a garantire un'aspettativa coerente dei controlli informatici in atto nelle aree geografiche in cui opera la società. Il Chief Information Security Officer è responsabile della strategia di sicurezza informatica e delle comunicazioni alla dirigenza.
La società fornisce inoltre corsi di aggiornamento annuali sulla privacy e aggiornamenti periodici per tutti i dipendenti. A tutti i dipendenti e al consiglio di amministrazione viene offerta una formazione adeguata sulla sicurezza informatica e sulla sicurezza dei dati.
Occasionalmente, vengono eseguiti controlli a campione per garantire il rispetto dei criteri e delle procedure. Infine, sono in atto controlli chiave per una revisione esterna annuale e la funzione indipendente di controllo dei rischi effettua un controllo periodico e in tempo reale. La sicurezza delle informazioni della funzione di revisione interna è allineata con il piano di revisione della società.
Prossimi passi
Continueremo a collaborare con la società per comprendere il budget per la sicurezza informatica.
Cosa abbiamo scoperto?
Abbiamo collaborato con una società fornitrice di servizi alberghieri che è stata una delle prime a rivelare il proprio budget per la sicurezza informatica. Tale budget rappresenta circa il 5% della sua spesa totale per l’IT. Tuttavia, la società ha confermato che, a causa dell'impatto del COVID-19, questo budget non sarebbe stato speso interamente durante il 2020. Siamo stati lieti di apprendere che la società stava preservando la sua spesa in conto capitale.
La società ha anche confermato che fornirà maggiori informazioni sui propri programmi di formazione per la condivisione dei dati. Ci è stato riferito che il comitato esecutivo riceve formazione sulla sicurezza informatica e dei dati e sul phishing, oltre a relazioni mensili sui rischi IT nel gruppo. Il consiglio di amministrazione può inoltre contattare direttamente e personalmente i team IT quando i membri nutrono dubbi sulla qualità di un'e-mail. Questa società partecipa a una conferenza sulla sicurezza informatica ogni anno e ha accesso alla piattaforma di formazione online e alla formazione in loco una tantum. Dispone inoltre di un programma di sicurezza informatica, gestito da un provider esterno.
A nostro avviso, la società è in ritardo rispetto a molti operatori nei settori finanziario e assicurativo perché deve ancora considerare sistemi di valutazione esterni. Tuttavia, aderisce a un processo interno a quattro livelli. Il Chief Information Security Officer è responsabile della definizione della strategia di sicurezza informatica della società.
Prossimi passi
Continueremo a collaborare con la società e seguiremo il suo percorso di adozione di nuove politiche e impostazione di una strategia informatica da parte del nuovo chief security information officer.
PER SAPERNE DI PIÙ
Rapporto sulla stewardship degli investimenti
Oltre a illustrare il nostro impegno con una vasta gamma di aziende, il nostro rapporto annuale per il 2020 spiega anche in che modo stiamo operando.
Panoramica sulla stewardship degli investimenti
Risk summary
Alcune strategie dei clienti che investono sulla base di criteri di sostenibilità / ESG – ambientali, sociali e di governance - comportano analisi qualitative e soggettive. Non vi è alcuna garanzia che le decisioni prese dal consulente avranno successo e / o saranno in linea con le convinzioni o i valori di un particolare investitore. A meno che non sia specificato dal contratto con il cliente o dai documenti di offerta, specifici attivi / società non sono esplicitamente esclusi dai portafogli sulla base di criteri ESG né esiste l'obbligo di acquistare e vendere titoli sulla base di tali fattori.