Ci perdoneranno i Pink Floyd se sfruttiamo il titolo del loro album più venduto, ma la metafora è troppo calzante per non approfittarne: negli anni, sono stati sviluppati centinaia di modelli di scoring e rating per la valutazione del “lato illuminato” delle aziende cui si sceglie di affidare, in qualità di partner, uno o più aspetti del proprio business: la consistenza e la solidità? delle Imprese, il benchmark settoriale e, con il recente forte interesse verso le tematiche ESG, il livello di sostenibilità sociale ed ambientale.

Una sovrabbondanza di strumenti, tutti utili e tutti predittivi, che dà l’impressione di garantire al 100% il fatto che, nell’analizzare il partner, ne siano state studiate  tutte le caratteristiche e si sia “frugato” in tutte le tasche.

Come Roger Waters ci ricorda, però, c’è una faccia della Luna che dal balcone di casa non riusciremo a vedere, per quanto potenti siano i telescopi che utilizziamo:Per essere certi che dall’altra parte non ci fossero orde di alieni armati e pronti ad attaccarci, abbiamo dovuto aspettare il 1968, l’orbita dell’Apollo 8 ed i primi occhi umani puntati sul buio del nostro satellite. Solo allora, probabilmente, abbiamo potuto tirare un sospiro di sollievo.

Analogamente, può accadere che la parte “illuminata” di un’Impresa partner appaia perfettamente in linea con gli standard di analisi: patrimonializzata, con una lunga storia alle spalle, un portafoglio clienti variegato, idee e brevetti innovativi, un mercato in crescita.

Sulla faccia nascosta, però, l’alieno potrebbe comunque essere in agguato; che si stia selezionando un fornitore, stipulando una polizza cyber, valutando la concessione di un fido o analizzando un possibile M&A, nessuno può dirsi al sicuro nel caso in cui il nostro partner sia vittima di un attacco cyber che,, come sappiamo, può avere conseguenze estreme sulla solidità e sulla reputazione non  solo dell’Impresa colpita, ma anche di quelle ad essa connesse.

Ce lo ha ricordato pochi giorni fa anche Gartner al punto 4 delle sue Top 8 Cybersecurity Predictions for 2021-2022: si stima che entro il 2025, almeno il 60% delle Imprese vorrà valutare, tra gli altri, anche i rischi cyber a cui potrebbero andare incontro selezionando i partner (di qualunque tipo) con cui avere relazioni di business.

In misura sempre maggiore le Aziende sono chiamate a proteggere il proprio perimetro digitale dai possibili attacchi esterni che, sempre più di frequente, vengono realizzati con successo “bucando” un partner del proprio ecosistema.

Chi, come Alfa Group, lavora quotidianamente per fornire ai propri Clienti gli strumenti necessari per la Governance del Digital Risk, legge tra le righe di Gartner e sente, in sottofondo, la richiesta di aiuto del mercato: ad oggi, non esistono telescopi sufficientemente smart da essere utilizzati in real-time e potenti abbastanza da osservare anche il rischio cyber; non tutti i Clienti, sicuramente, hanno tempo e voglia di fare un costoso giro sullo Shuttle per ogni “luna” che sia necessario analizzare.

Garantire la fornitura del bene o del servizio strategici, la buona salute di un contratto, la “loss ratio” di un prodotto assicurativo, la sicurezza del proprio perimetro digitale passano oggi anche dal presidio del rischio cyber. È un principio di sana gestione dell’Enterprise Risk Management, lo chiedono GDPR, le ISO, i framework come il NIST e, in ultima istanza, è uno dei modi più efficaci per salvaguardare il patrimonio aziendale e garantirsi il raggiungimento dei risultati per i quali si sta, faticosamente, investendo e lavorando.

Le best practices, lo sappiamo, vanno contestualizzate, e non sempre la normativa offre le risposte alle domande che fa nascere; gli strumenti adatti, però, possono semplificare anche di molto la compliance. Un buon inizio può essere certamente identificare la cyber posture di un’Impresa, cioè lo stato della sicurezza e l’elasticità ad adeguarsi in reazione ad eventuali stimoli esterni.

Facile a dirsi, molto meno a farsi; se pure probabilmente non esiste una  formula perfetta, soprattutto  un ambito mutevole come quello del Cyber Risk, Alfa Group ha elaborato un approccio all’analisi del “Quoziente di Rischio” o “Cyber Risk Score” delle aziende partner che  è stato utilizzato con successo in numerosi progetti con i nostri Clienti.

Il primo passo per  un Cyber Risk Assessment delle aziende partner che sia tanto utile quanto attendibile parte sicuramente dal  porre le domande giuste, a sé stessi ed alle aziende Partner, analizzando e focalizzandosi sugli elementi potenzialmente di maggior impatto.

Ad esempio:

– l’Impresa ha un’idea precisa del proprio perimetro IT (quelli che oggi definiamo “asset”)?

– Protegge sufficientemente i propri dati e ne conserva una copia “al sicuro”?

– Forma i propri dipendenti sui temi cyber, sensibilizza il management?

– Ha un piano per garantire la business continuity e di disaster ricovery a fronte di un eventuale attacco cyber?

Per completare il quadro di analisi, l’attività di indagine qualitativa viene affiancata da un vulnerability assessment, per verificare la presenza di possibili punti di ingresso al perimetro digitale.

Trasformare una serie disomogenea di informazioni, qualitative e non, in un dato misurabile, “leggibile”, confrontabile e utilizzabile per prendere le giuste decisioni richiede le competenze e gli strumenti giusti: Alfa Group combina questi elementi in un approccio integrato, per aiutare i propri Clienti a raccogliere e analizzare tutte le informazioni necessarie per conoscere e analizzare anche il “lato oscuro” dei loro partner.

In questo modo, la prossima volta che guarderemo la Luna potremo farlo godendoci, serenamente, lo spettacolo!