Key4biz

AssetProtection. Cybersecurity è una questione di fiducia (che manca)

Nel corso della tavola rotonda di apertura della V edizione di Negotiorum Fucina ADACI, tenutosi recentemente a Verona, la coordinatrice mi fece anche questa domanda: “Lei ha fiducia nei fornitori di cybersecurity?”. La mia risposta istintiva è stata: “No”.

Non avevo in mente alcun fornitore. La mia risposta è derivata da due fattori: dal “peso” della parola “fiducia” e dallo stato dell’arte della cybersecurity.

La enciclopedia Treccani fornisce la seguente definizione di fiducia: “Atteggiamento, verso altri o verso sé stessi, che risulta da una valutazione positiva di fatti, circostanze, relazioni, per cui si confida nelle altrui o proprie possibilità, e che generalmente produce un sentimento di sicurezza e tranquillità”.

Come è possibile nutrire un sentimento di sicurezza e tranquillità quando:

E, non ultimo, una considerazione sulle aziende committenti: molte di loro non hanno fiducia nei progetti di resilienza alle crescenti minacce cyber.

McKinsey scrive a questo proposito quanto segue: “Companies are using all kinds of sophisticated technologies and techniques to protect critical business assets. But the most important factor in any cybersecurity program is trust. It undergirds all the decisions executives make about tools, talent, and processes. Based on our observations, however, trust is generally lacking in many organizations’ cybersecurity initiatives—in part, because of competing  agendas. Senior business leaders and the board may see cybersecurity as a priority only when an intrusion occurs” (“Hit or myth? Understanding the true costs and impact of cybersecurity programs”, su Digital McKinsey).

Le conseguenze sono ovvie: l’azienda committente in caso di evento malevolo (Perdita di riservatezza dei dati personali, o loro perdita di integrità o disponibilità; interruzione prolungata del servizio; ecc.) ne risponde davanti alle Autorità, può subire una rilevante perdita di immagine e reputazione, e quindi anche di clienti.

E purtroppo, come dice, McKinsey, il Vertice aziendale si occupa di cybersecurity solo quando succede il disastro: “Senior business leaders and the board may see cybersecurity as a priority only when an intrusion occurs”.

“Che fare?”. Non posso che ribadire concetti ovvi, ancorché a quanto sembra assai trascurati:

Un suggerimento che ripeto da anni: eseguire una analisi ad alto livello del possibile impatto economico e reputazionale derivante da un eventuale incidente o blocco di un prodotto e servizio.

In tal modo, l’azienda può comprendere quali sono i processi realmente critici e concentrarsi su di essi. Infatti, non tutti i processi sono uguali. Non tutti i prodotti sono vitali per la sopravvivenza dell’impresa. E pertanto anche i costi sono limitati e proporzionati ai rischi.

Anthony.wright@anssaif.it

Exit mobile version