Key4biz

Tutti sono concentrati sul GDPR, per evitare le multe. Ma chi investe in una maggiore resilienza?

Il mio precedente articolo ha stimolato alcuni a fornirmi un loro feedback: sono stati tutti di approvazione di quanto da me affermato.

Fra questi, segnalo e riporto qui di seguito, in forma schematica, quanto segnalatami da una persona di lunga esperienza ed elevata competenza:

  1. Diffuse carenze nella consapevolezza sulla gestione dei rischi, specialmente informatici;
  2. Scarse e poco autorevoli figure nell’ICT;
  3. Cattive prassi consolidate;
  4. Tendenza ad occultare la presenza di rischi e criticità;
  5. Diffuse scarse competenze culturali ed informatiche;
  6. Poca meritocrazia;
  7. Insufficiente budget dedicato alla protezione cyber;
  8. Insufficiente formazione necessaria a creare la corretta consapevolezza nell’utilizzo della dotazione informatica.

Ho letto e riletto diverse volte quanto scritto da questa persona, che ricopre tra l’altro un ruolo apicale in una grande azienda, ed ho concluso che a mio avviso si sia rappresentata una situazione reale.

Ho voluto comunque sentire il parere di altri manager che si occupano di information security, operational risk management, ed auditing.

Tutti hanno condiviso quanto scritto.

La situazione è davvero grave, e, quindi, che fare?

Un collega mi ha detto: «Se rifletti, ora tutti sono concentrati sul GDPR: perché? Perché ci sono penalità molto elevate. Ma quante organizzazioni hanno investito e stanno investendo in una maggiore resilienza? Quante si sono accontentate di qualche procedura ad hoc, nuove disposizioni interne e la responsabilizzazione dell’outsourcer?  Nemmeno il rischio di attacchi cyber da concorrenti, nazioni nemiche o da gruppi terroristici, che possano mettere in crisi l’azienda, mettono paura. Bisogna allora puntare sui giovani: creare in loro la giusta consapevolezza dei rischi.».

Riassumendo, il consiglio è: penali elevate e “awareness” nei più giovani?

Concludo con una frase tratta dal lungo testo pervenutomi, e che ha trovato il maggior consenso fra i colleghi:

«Purtroppo l’insufficiente etica professionale, unitamente a scarse competenze culturali ed informatiche, anche ai livelli più alti, riducono l’efficienza interna e quindi la competitività della singola azienda e del Sistema Paese. La poca meritocrazia, permette a persone inadeguate di ricoprire ruoli direttivi, compromettendo un sano processo decisionale, la motivazione delle risorse ed il perseguimento di una corretta Governance aziendale. ».

Il security manager sarà sempre più solo? O sarà l’unico a pagare le conseguenze di un riuscito attacco cyber?

Anthony.wright@anssaif.it

Exit mobile version