Come per tutte le specie, è sempre difficile riuscire a determinare con chiarezza quali sono le cause e quali gli effetti dell’evoluzione. Sta di fatto che il Security Advisor, nonostante la proliferazione dell’impiego della tecnologia nei processi aziendali e nella vita quotidiana, le campagne comunicative e gli aggiornamenti normativi che riguardano la necessità di garantire la protezione dei dati personali, la sicurezza delle informazioni contro le minacce in continua crescita, e la disponibilità di prodotti software a supporto dell’attività, rischia l’estinzione.
Come mai, se il contesto sembra tanto favorevole a determinarne lo sviluppo, si registra una sempre minore disponibilità di professionisti autentici?
Per comprendere meglio il fenomeno tentiamo prima di capire chi è e cosa fa il Security Advisor. E’ un po’ analista finanziario, un po’ sistemista, un po’ programmatore, un po’ avvocato, un po’ project manager. Non possono mancare poi spiccate abilità comunicative, che dimostra nei frequenti tentativi di conciliazione linguistica tra mondi che utilizzano idiomi differenti, ed abilità formative finalizzate ad innescare una presa di consapevolezza su processi, tecniche e metodi non sempre intuitivi.
Ultimamente però si comporta in modo strano, forse per effetto di un agente altamente degenerativo che agisce in modo silente: le persone, inclusi i suoi stessi clienti. Non è infatti un caso che siano in molti gli esperti a condividere durante i loro speech, in modo più o meno velato, la preoccupazione per l’imprevedibilità della stupidità umana. Fattore che, nelle classifiche di vulnerabilità, sta scavalcando rapidamente quelle riferibili ad aspetti tecnico organizzativi.
Pochi giorni fa, ad un corso professionale, ascoltavo un advisor estremamente preparato compiere uno sforzo sovrumano per tentare di agganciare almeno un paio di neuroni per partecipante, ben oltre la linea che un docente dovrebbe raggiungere, al di là della quale dovrebbe essere pronto il «discente» per raccogliere informazioni e concetti. In ambito di business continuity, per far comprendere in modo realistico i problemi in caso di blocco dei servizi in assenza dei piani di continuità, ha citato la procedura «MCCF» (mo che c[…] famo). M’ha fatto ridere – ripensandoci ancora rido – ma non ha suscitato nessuna reazione nei partecipanti. Sono convinti che sia solo lavoro extra e che non abbia nessuna utilità: per questo neanche ascoltano.
Altri consulenti fanno la muffa sui divanetti della sala d’attesa nella speranza che qualcuno li riceva, anche se hanno un appuntamento, un’offerta firmata e sono loro stessi a crearsi lo scrupolo che il tempo perso è un costo inutile per il cliente. E vogliamo parlare dell’estenuante trattativa che si innesca per far sì che in un singolo task di progetto, ben definito nell’offerta (ovviamente) approvata in termini di ore / uomo e costi, rientri sempre qualche attività straordinaria che cuba almeno il doppio del tempo pattuito?
E’ un meccanismo perverso secondo il quale il valore aggiunto della prestazione di consulenza viene percepito in modo inversamente proporzionale tra le parti: il Security Advisor profonde impegno per supportare le organizzazioni al livello strategico, ma queste in fondo non vogliono altro che uno «scrivano fiorentino» per piazzare qualche «toppa documentale», poca importa se costoso.
Con questi presupposti cadono le braccia. E la specie dei Security Advisor lentamente rischia di estinguersi, lasciando il passo ad una nuova generazione di «venditori di software fai-da-te» che sfornano analisi dei rischi, piani di continuità e manuali di controlli e contromisure già belli e pronti. In fondo interessa a qualcuno se il contenuto non serve a nulla?
Visti i fatti non si dica però che non esistono bravi professionisti. Perché a tutto c’è un limite. Lo insegna bene proprio chi si occupa di sicurezza. E quando le possibili perdite sono troppo elevate, bisogna agire di conseguenza.