Cybersecurity al centro delle valutazioni degli investitori

Di Abbie Llewellyn-Waters, fund manager Environment & Sustainability, Jupiter AM

La cybersecurity si è trasformata, passando da un ruolo marginale al divenire la priorità dei CdA

Una materia di cui gli investitori devono essere consapevoli, afferma Abbie Llewellyn-Waters, fund manager del team Environmental & Sustainability di Jupiter. L’impatto finanziario delle violazioni della cybersecurity – siano esse di dominio pubblico o meno – può essere notevole e, man mano che le aziende diventano sempre più informatizzate e connesse, il potenziale di erosione del capitale diventa sempre più reale.

Le violazioni informatiche fanno parte della vita aziendale moderna, ma raramente risulta chiaro chi ci sia dietro a specifici cyber-attacchi e quali siano le motivazioni alla base. I colpevoli potrebbero essere organismi statali sofisticati e gruppi avanzati, sostenuti da Stati, che raccolgono informazioni o causano crisi, ma potrebbe anche trattarsi di operazioni ben finanziate da parte di organizzazioni criminali alla ricerca di profitti.

Tuttavia, l’aggressore informatico più frequente è il dipendente, ovvero un insider. Nel 2016, il Cyber Security Intelligence Index di IBM ha rilevato che il 60% di tutti gli attacchi è stato effettuato da insider. Di questi attacchi, un quarto ha coinvolto soggetti involontari, tipicamente il personale che non ha prestato attenzione alle politiche di sicurezza informatica dell’azienda, mentre i restanti casi sono stati causati da azioni volutamente dannose. In genere, lo scopo di questo tipo di attacchi è rubare informazioni sulla concorrenza, vendere dati o intelligence; tuttavia, esistono alcuni esempi in cui si riscontra la volontà esplicita di danneggiare l’organizzazione.

Che cosa significa questo quando si analizzano le aziende?

Le aziende che hanno compreso l’importanza di dotarsi di procedure interne per resistere ai cyber-attacchi sono per noi quelle che dimostrano di avere un management e una gestione di qualità superiore, supportati da una visione e una strategia a lungo termine. Ci sono semplici domande che gli investitori possono porre al management aziendale quando analizzano le opportunità di investimento a lungo termine. In genere ci piace concentrarci su questi aspetti:

  • II ruolo del consiglio di amministrazione
  • La formazione dei dipendenti
  • L’integrazione informatica, particolarmente importante per aziende che crescono via acquisizioni
  • La trasparenza

Disponiamo di parametri specifici in queste aree, che teniamo in considerazione per migliorare la nostra analisi finanziaria di un’azienda. Crediamo che essi offrano una visione più completa del business.

Ci concentriamo su queste quattro aree chiave perché ci permettono di valutare rapidamente se l’azienda è consapevole dei rischi di un attacco informatico. Il rischio finanziario in sé non è legato soltanto ad eventuali difficoltà a livello operativo, ma, come abbiamo visto in diversi casi di rilievo degli ultimi anni, è anche indicativo di potenziali diminuzioni di ricavi futuri a causa di un calo della fiducia da parte dei clienti.

Che fare quando la sicurezza informatica è sotto attacco?

Tutte le aziende sono esposte a violazioni di cybersecurity, ma quando una violazione importante diventa di dominio pubblico, vogliamo che le società in cui siamo investiti siano risolute e trasparenti. Ci aspettiamo che il consiglio di amministrazione si assuma la responsabilità dell’accaduto, comunicandolo ai clienti e agli azionisti.

Come esempio positivo in questo senso, citiamo una delle società in cui investiamo nel settore dell’Information Technology, la cui sicurezza informatica è stata violata bloccando molte delle sue linee di produzione per diversi giorni. Ci siamo attivati immediatamente per contattare la società, che ci ha fornito spiegazioni dettagliate dell’incidente, permettendoci di valutare l’impatto finanziario e l’impatto sul cliente – oltre che, soprattutto, permettendoci di valutare il modo in cui l’azienda stava rispondendo.

L’azienda era stata colpita da un virus ransomware. I virus ransomware divennero tristemente noti nel maggio 2017, quando il virus WannaCry colpì in diverse parti del mondo, raggiungendo più di 200.000 computer in 150 Paesi e causando un danno complessivo stimato in un range compreso fra alcune centinaia di milioni di dollari e alcuni miliardi. Un ransomware viene azionato quando si attiva un kill switch, che acquisisce i dati di un computer per poi crittografarli e trattenerli fino a che non venga pagato un riscatto per il loro rilascio. In teoria, i dati vengono rilasciati nel momento in cui chi gestisce il virus riceve il pagamento, generalmente effettuato in una criptovaluta come i Bitcoin.

Fortunatamente per la società detenuta in portafoglio, il ransomware in questione non è riuscito a crittografare i dati e ciò non gli ha permesso di chiedere alcun riscatto. Benché consapevoli della perdita diretta di ricavi derivanti dalla chiusura delle loro strutture produttive, necessaria a limitare i danni e a risolvere l’incidente, la nostra attenzione si è concentrata sulla minaccia alle relazioni con i clienti.

Grazie alla politica di trasparenza e all’impegno che l’azienda ha dimostrato, abbiamo tenuto conto di queste considerazioni per costruire il nostro mosaico di convinzioni a lungo termine a proposito della qualità dei team di management e della loro capacità di gestire i rischi strategici.

Le misure di cybersecurity sono un indicatore della qualità e della resilienza di un’azienda

Questo esempio illustra come l’inclusione di più ampi fattori ESG nel processo di selezione dei titoli migliori la nostra conoscenza circa la resilienza operativa della continuità aziendale e, in definitiva, la nostra conoscenza della qualità delle società in cui investiamo.

Un’altra pratica di cybersecurity che può illustrare un approccio disciplinato all’eccellenza operativa è una linea di tolleranza zero sulle email di phishing. Le email di phishing sono quelle che tentano di indurti a cliccare su un collegamento ipertestuale. Riteniamo che avere una chiara strategia per prevenire questi attacchi costituisca un indicatore di una qualità del business superiore, pensata per essere resiliente e robusta, proattiva e non reattiva.

Infine, le aziende con processi e governance di cybersecurity di scarsa qualità potrebbero, a nostro avviso, essere esposte a ulteriori debolezze sottostanti, che le rendono soggette a rischi esterni di più ampia portata. Riteniamo che l’applicazione di un approccio basato sul buon senso per incorporare i fattori ESG nel processo di investimento possa aiutare a comprendere la cultura e il posizionamento strategico di un’azienda in maniera molto più profonda, così come il modo in cui pensano, comunicano e quantificano il rischio intrinseco. Spesso accade che le aziende che affrontano il tema della cybersecurity con un approccio olistico, ad esempio, siano naturalmente più resilienti dal punto di vista operativo.

Riteniamo che valutare la governance e la strategia di cybersecurity rafforzi la nostra analisi dei fondamentali, prima di investire il denaro dei nostri clienti. In poche parole, crediamo che le aziende che comprendono e gestiscono questo genere di rischi siano, in genere, aziende gestite meglio.

Vuoi ricevere le notizie di Bluerating direttamente nella tua Inbox? Iscriviti alla nostra newsletter!