RUAG e il caso AKIRA. La cybersecurity diventa (anche) questione di governance.
Cosa significa per la governance di un’azienda federale strategica come la RUAG decidere di pagare un riscatto?
E, a posteriori, quali conseguenze reputazionali può avere comunicandolo in quel modo?
L’azienda svizzera di armamenti RUAG ha deciso di pagare un riscatto al gruppo AKIRA per recuperare i dati sottratti alla filiale statunitense, nonostante le raccomandazioni contrarie della Confederazione.
A sollevare interrogativi non è tanto la scelta operativa, i cui dettagli non sono conosciuti, quanto le modalità di comunicazione adottate.
Le parole del presidente del Consiglio d’amministrazione Jörg Rötheli: “Abbiamo pagato una piccola cifra e fortunatamente abbiamo recuperato tutti i dati” hanno generato scompiglio e imbarazzo istituzionale, alimentando dubbi sulla postura di sicurezza generale e l’effettiva preparazione del CdA di affrontare adeguatamente la situazione di crisi.
Anche realtà di primo piano come RUAG, pur disponendo delle risorse necessarie per gestire con accuratezza e continuità tutte le fasi di un attacco informatico, possono trovarsi impreparate sul fronte della comunicazione strategica.
I CdA dovrebbero smettere di considerare il rischio cyber una questione secondaria o puramente tecnica, integrandolo pienamente by design nelle strategie aziendali.
I Consigli di Amministrazione devono essere formati adeguatamente per comprendere il corretto modus operandi da adottare in casi come questo.
I team tecnici, dal canto loro, dovrebbero sviluppare competenze di comunicazione strategica per dialogare efficacemente con i vertici aziendali e tradurre complessità tecniche in decisioni di business.
Il mio punto di vista nelle interviste per il TG di Teleticino, curata da Filippo Suessli, e per la trasmissione SEIDISERA della RSI, curata da Nicola Lüönd.
» Guarda il TG di Teleticino, clicca qui.
» Ascolta la trasmissione SEIDISERA della RSI, clicca qui.
» Hai domande? Scrivimi