Negli ultimi anni, la crescente digitalizzazione dei processi aziendali unita all’incremento degli attacchi informatici ha trasformato la sicurezza informatica (Cyber Security) in una priorità strategica per le organizzazioni.
Di fronte a questa crescente minaccia, anche la funzione di revisione interna è chiamata a svolgere un ruolo sempre più centrale nel monitoraggio, nella valutazione e nel rafforzamento delle difese aziendali contro i rischi informatici e di sicurezza.
L’importanza della Cyber Security nella revisione interna
L’approccio tradizionale, volto a garantire che i controlli interni su aspetti finanziari e operativi siano in linea con le normative interne ed esterne, si è evoluto estendendosi ai temi legati alla Cyber Security per fare fronte all’aumento delle minacce informatiche e alla emanazione di normative specifiche quali DORA e NIS2.
Oggi, internal audit non si limita più a verificare la conformità, ma analizza in modo proattivo i sistemi di difesa contro gli attacchi cyber e valuta l’efficacia delle misure adottate per proteggere i dati sensibili.
Evoluzione dell’approccio tradizionale dell’audit
La crescente complessità degli attacchi informatici, come ransomware, phishing e attacchi DDoS (Distributed Denial of Service), richiede che i revisori abbiano competenze specifiche in ambito tecnologico. Questo rappresenta una sfida significativa, poiché spesso il personale ha una formazione più orientata agli aspetti contabili e gestionali.
Uno dei principali impatti della Cyber Security riguarda la necessità di rivedere e aggiornare continuamente i piani di audit includendo revisioni periodiche delle misure di sicurezza informatica adottate per proteggersi dalla continua evoluzione degli attacchi.
Le aree da monitorare includono, tra le altre, la gestione degli accessi, la protezione delle reti, il monitoraggio delle vulnerabilità e la gestione delle minacce interne ed esterne, garantendo che l’organizzazione rimanga conforme a regolamenti come il GDPR (General Data Protection Regulation), il NIS2 (Network and Information Systems), il DORA (Digital Operational Resilience Act) e altre direttive locali o internazionali.
La revisione interna deve valutare sia l’efficacia delle misure preventive, sia la capacità dell’organizzazione di rispondere a incidenti informatici.
In questo contesto, un’attenta valutazione dei piani di risposta agli incidenti e dei TLTP (threat lead penetration test) diventa essenziale. L’approccio deve essere basato su una valutazione del rischio dinamica e costantemente aggiornata a fronte di nuove minacce emergenti, come le vulnerabilità legate all’intelligenza artificiale, all’Internet of Things (IoT) o al cloud computing. In molti casi, ciò richiede la collaborazione con il team IT e con società di consulenza specializzate per comprendere e monitorare le nuove tecnologie.
Collaborazione tra revisione interna e team IT
Internal audit ha un ruolo fondamentale nei test e nelle simulazioni di attacchi informatici, come ad esempio i test di penetrazione e le simulazioni di attacchi, eseguiti secondo il framework TIBER-EU, progettati per valutare le capacità di difesa dell’organizzazione e per identificare eventuali vulnerabilità che potrebbero essere sfruttate da malintenzionati.
Il coinvolgimento dei revisori in questi processi permette di ottenere una visione più chiara delle debolezze del sistema di sicurezza, consente di sviluppare raccomandazioni specifiche per rafforzare le difese e supporta la creazione di una cultura della sicurezza informatica all’interno dell’organizzazione. Le principali difficoltà riguardano la rapida evoluzione delle minacce e la carenza di competenze specialistiche all’interno delle organizzazioni.
È essenziale che i revisori acquisiscano competenze in ambito Cyber Security, frequentando corsi di formazione specializzati e collaborando con esperti esterni. Nuove minacce emergono costantemente e la velocità dell’innovazione tecnologica può rendere obsoleti i controlli tradizionali. Internal audit deve adattarsi rapidamente e sviluppare nuove metodologie per affrontare i rischi associati alle tecnologie emergenti.
Best practice per una revisione interna efficace in ambito Cyber Security
I revisori devono essere in grado di comprendere il contesto tecnico e strategico in cui operano le misure di sicurezza e, al contempo, di comunicare in modo efficace con il management e il consiglio di amministrazione, garantendo che le problematiche di sicurezza siano comprese a tutti i livelli. Per gestire efficacemente il tema della Cyber Security, la revisione interna dovrebbe adottare alcune best practice che possano rafforzare il ruolo della funzione all’interno dell’organizzazione:
- Formazione continua in materia di sicurezza informatica per tenersi aggiornati sulle ultime minacce e tecnologie.
- Collaborazione con esperti esterni di sicurezza informatica per garantire una valutazione completa e approfondita.
- Adozione di framework internazionali come ISO/IEC 27001 o NIST Cybersecurity Framework, per fornire una base solida alle pratiche di sicurezza.
- Coinvolgimento della leadership, per assicurare che il consiglio di amministrazione e l’alta direzione siano correttamente informati sui temi di Cyber Security e che le risorse siano coinvolte in modo adeguato.
Planetica, grazie alla pluriennale e multidisciplinare esperienza dei suoi professionisti, è il partner ideale per supportare a 360° le attività di:
- la valutazione dei rischi inerenti e la definizione del piano di audit,
- testing finalizzato a valutare adeguatezza ed efficacia dei presidi,
- monitoraggio volto a verificare la rimozione delle anomalie riscontrate e lo stato di avanzamento delle azioni di rimedio,
- predisposizione delle relazioni istituzionali sulle attività svolte e delle ulteriori informazioni rilevanti da inviare alle Autorità di Vigilanza,
- Raccordo con le funzioni ICT e gli outsourcer tecnologici,
- Formazione sui temi di sicurezza ICT ed innovazione.
