[section_title title=L’approccio alla sicurezza si evolve]
Quindi, come evolve e si adatta un approccio alla sicurezza informatica basato sul concetto di perimetro quando è proprio il perimetro stesso a non essere più definibile o, addirittura, a non esistere più? Si tratta di una domanda ovvia, semplice e diretta, ma che resta spesso ignorata o trascurata dalla maggior parte delle aziende. In generale si rileva che tuttora l’attenzione è centrata sull’applicazione di modelli vecchi di difesa, peraltro in modo spesso frammentario quale tentativo di rispondere a posteriori ai problemi che di volta in volta si presentano. In realtà questo approccio è la conseguenza diretta di tre questioni fondamentali:
1. Come detto in precedenza, lo scollamento tra IT e business – e peggio ancora con gli organi di controllo quali il Consiglio di Amministrazione – rappresenta un aspetto di difficile riconciliazione sulla base di un puro atto di volontà. In passato, membri influenti degli organi direttivi hanno spesso guardato con distanza e sussiego ai temi e problemi propri delI’It, come se “affari” e “It” fossero due mondi totalmente separati. Ora che l’economia digitale li ha di fatto riuniti, l’ignoranza a livello direzionale delle cose proprie dell’It è diventata ancora più evidente e rilevante, rimanendo in gran parte un problema aperto.
2. In passato, ed in larga parte anche nel presente, il personale It si è dimostrato raramente in grado di parlare una lingua comprensibile dal business. Nelle presentazioni aziendali, la maggior parte dei messaggi lanciati dal personale It sono percepiti come complessi o vaghi o non chiari. L’incapacità di affrontare in termini semplici le esigenze del business ha trasformato buona parte dei CIO in una sorta di fastidio necessario, una seccatura da dover per forza accettare, ma poco influente sulle decisioni di business anche a livello operativo. Se è vero che questa affermazione oggi non vale più per le grandi aziende, è altresì vero che il panorama italiano non è fatto da grandi aziende, ed il confronto con altri mercati europei è impietoso per molte e varie ragioni, soprattutto culturali e finanziarie.
3. La cultura della gestione del rischio è limitata, a volte del tutto mancante o comunque non pervasiva in azienda. Quando c’è, la si incontra quasi sempre indirizzata a tematiche specifiche del business – geopolitica, finanza … – e spesso trascura la visione del proprio fare business nella sua interezza, risultante da molti fattori, inclusi quelli endogeni.
Spesso le aziende poco inclini al rischio tendono a soffrire di governance. Definendo un eccesso di regole spesso si scordano delle reali finalità della pratica del risk management, con conseguente eccessiva rigidità indotta nel tessuto stesso dell’organizzazione. In realtà, il ritmo crescente degli attacchi informatici, la loro maggiore sofisticazione e complessità, dovrebbero portare ogni organizzazione a interrogarsi a livello direzionale sui propri modelli di governance e sulla opportunità di un approccio più ampio al tema del risk management. Sebbene quest’ultimo non sia per sua natura riconducibile a blocchi e temi artificialmente separati, ancora oggi assistiamo in larga parte delle aziende alla sussistenza di una artificiale separazione in funzioni organizzative tra sicurezza fisica e digitale. Va da sé che questo è un esempio di reperto culturale fossile, come se l’azienda di oggi non esistesse senza soluzione di continuità in entrambi i due mondi fisico e digitale in qualsiasi momento e luogo. Concetti obsoleti e vecchie regole tendono a separare, ad esempio, il controllo degli accessi fisici, normalmente in capo alla funzione di facility management, dal controllo degli accessi logici ai sistemi informatici, dominio dell’IT. Ne consegue un tradizionale divario tra le due competenze, con conseguente separazione delle responsabilità e intrinseca debolezza del sistema azienda a causa di scelte e soluzioni non sempre coerenti o ben integrate, e finalmente di pertinenza incerta.
La governance in azienda è fondamentale, ma quale è il suo significato nell’odierno contesto di economia digitale se alla base non si ritrova una solida conoscenza delle potenziali minacce e, quindi, senza la definizione delle appropriate misure di sicurezza informatica – applicabili, valide ed efficaci? La realtà è che non esiste una soluzione buona per tutte le situazioni e necessità.
Come un buon giocoliere si destreggia con abilità ed esperienza a mantenere costantemente in aria tre palline, così ciascuna organizzazione deve imparare a bilanciare accuratamente e pragmaticamente tre fattori chiave: garantirsi sufficiente sicurezza mantenendo costi accettabili e godendo del giusto livello di flessibilità operativa. Definire un accettabile livello di equilibrio di questi tre fattori non necessita dell’opera di un mago, bensì di qualcosa che è merce ancora rara in organizzazioni medie e piccole. Infatti, richiede la capacità di partire da solide basi metodologiche nel riconsiderare l’essenza del proprio modello di business, dalle considerazioni strategiche e tattiche sulla sua natura e dalla valutazione dei rischi e della portata delle possibili conseguenze, adeguando il sistema di investimenti, riconoscimenti e controllo in tutta l’organizzazione.
La sicurezza informatica non è pensabile o configurabile come puro prodotto della tecnologia, nemmeno in uno scenario estremamente sofisticato. Essa deriva da uno stato di coscienza di sé quale elemento culturale pervasivo ed intrecciato indissolubilmente nel tessuto stesso dell’organizzazione, a qualsivoglia livello. Certamente, raggiungerla e mantenerla comporta uno sforzo significativo in termini di impegno di risorse, decisioni importanti, definizione dei modelli di difesa e dei necessari investimenti al fine di migliorare l’ambiente di business digitale rendendolo più adattato, sicuro, agile e vincente rispetto alle nuove sfide del mercato.
