Non è così inconsueto che le persone si riferiscano al mondo dell’Information and Communication Technology come uno spazio oscuro e onnicomprensivo. Qualche anziano, parlando di figli o nipoti, dice ancora: “lavora col computer”.
Effettivamente, se fino ad un ventennio fa il fatto di lavorare con il computer presupponeva una competenza verticale, oggi il PC è correttamente considerato uno strumento di supporto che agisce trasversalmente in qualsiasi settore.
Eppure, nonostante questo modo retrò di esprimersi possa far sorridere, non ha completamente perso aderenza rispetto alla realtà odierna.
Consideriamo infatti che in molte organizzazioni l’ICT è ancora identificato come il gestore di un insieme di processi a sé stanti, in alcuni casi pronto a recepire anche le magagne che non è ben noto come trattare.
Più in dettaglio, da quando si parla di Information Security, anche questo nuovo set di attività è stato comunemente scaricato all’ICT.
Occorre fare un po’ di chiarezza al riguardo.
Innanzi tutto, fatta eccezione per quelle organizzazioni che hanno come core business lo sviluppo di sistemi software oppure hardware, l’ICT non è da considerarsi come un processo bensì come un insieme di servizi interni che intervengono trasversalmente a supporto di tutti i processi aziendali. In secondo luogo siamo veramente così convinti che gli uomini dell’informatica siano in grado di gestire la sicurezza delle informazioni?
Il fatto che l’analisi e la gestione dei rischi connessi alla sicurezza delle informazioni (non sicurezza informatica) sia già di per sé un percorso lungo e tortuoso, non significa che riguardi solo server e apparati di rete. La stessa cosa si può asserire in riferimento alla continuità del business e al disaster recovery, troppo spesso confusi con una questione meramente correlata ai sistemi informativi.
Invece sono argomenti che hanno anche molto a che vedere con la contezza delle persone in riferimento alle operazioni che compiono in un’organizzazione.
Sulla base di questa riflessione, si potrebbe quindi dire che è cosa dell’HR? Abbiamo spesso anche parlato della rilevanza del controllo sulla catena di fornitura?
E per questo è cosa esclusiva dell’ufficio acquisti?
Oppure, considerando che una parte importante della disponibilità dell’informazione è fortemente correlata anche con la gestione delle emergenze, se ne dovrà occupare solamente il Responsabile Sicurezza Prevenzione e Protezione (che nella maggior parte dei casi non saprebbe neanche di cosa si sta parlando)?
Potremmo seguitare con questa provocazione in un ragionamento senza fine né soluzione, intentando uno scaricabarile di pessimo gusto. Qualora invece decidessimo di ragionare in modo costruttivo, sarebbe ora di focalizzare la nostra attenzione su alcuni fattori principali, dei quali abbiamo già ampiamente parlato in questa rubrica, ma per i quali il detto repetita iuvant risulta quanto mai appropriato.
L’identificazione dei rischi, all’interno del processo di risk assessment può avvenire in modo dettagliato solo da parte di chi è veramente a contatto con minacce e vulnerabilità che lo riguardano. Le minacce e vulnerabilità interagiscono tra loro creando catene di rapporti causa-effetto che investono trasversalmente tutte le aree aziendali.
Pertanto anche le soluzioni identificate riguarderanno differenti aree. Richiederanno ad ogni persona la capacità di impiegare le proprie competenze in modo verticale ma anche quella, oramai fondamentale, di interpretare in modo trasversale, convergente, ciò che quotidianamente succede, fornendo i giusti input ad un sistema in grado di gestire il panorama dell’incertezza che governa il contesto.
L’ICT, in questo, gioca un ruolo importante e, attraverso le competenze che custodisce, può fare molto.
Ma se isolato, diviene debole, marginale, inadeguato a gestire un quadro così complesso come quello che effettivamente si è configurato.