Cybersecurity è una questione di fiducia (che manca)

Per prima cosa le aziende dovrebbero eseguire una analisi ad alto livello del possibile impatto economico e reputazionale derivante da un eventuale incidente o blocco di un prodotto e servizio.

Nel corso della tavola rotonda di apertura della V edizione di Negotiorum Fucina ADACI,tenutosi recentemente a Verona, la coordinatrice mi fece anche questa domanda: “Lei ha fiducia nei fornitori di cybersecurity?”. La mia risposta istintiva è stata: “No”.

Non avevo in mente alcun fornitore. La mia risposta è derivata da due fattori: dal “peso”della parola “fiducia” e dallo stato dell’arte della cybersecurity.

La enciclopedia Treccani fornisce la seguente definizione di fiducia: “Atteggiamento, verso altri o verso sé stessi, che risulta da una valutazione positiva di fatti, circostanze, relazioni, per cui si confida nelle altrui o proprie possibilità, e che generalmente produce un sentimento di sicurezza e tranquillità”.

Come è possibile nutrire un sentimento di sicurezza e tranquillità quando:

  • Poche sono le aziende che si sono fatte certificare allo ISO/IEC 27001 e allo ISO 22301? Ossia, alla protezione dei dati ed alla continuità del business?
  • Troppo pochi sono gli specialisti di sicurezza certificati ai sopra detti standard internazionali in qualità di lead auditor?
  • Solamente le grandi aziende hanno affrontato – anche se solo da poco tempo – dei rilevanti progetti tesi a migliorare la cultura interna al rischio?
  • Le aziende che esternalizzano un servizio e prodotto cercano di spuntare il massimo sconto possibile con il risultato di ridurre i margini degli outsourcer?

E, non ultimo, una considerazione sulle aziende committenti: molte di loro non hanno fiducia nei progetti di resilienza alle crescenti minacce cyber.

McKinsey scrive a questo proposito quanto segue: “Companies are using all kinds of sophisticated technologies and techniques to protect critical business assets. But the most important factor in any cybersecurity program is trust. It undergirds all the decisions executives make about tools, talent, and processes. Based on our observations, however, trust is generally lacking in many organizations’ cybersecurity initiatives—in part, because of competing  agendas. Senior business leaders and the board may see cybersecurity as a priority only when an intrusion occurs” (“Hit or myth? Understanding the true costs and impact of cybersecurity programs”, su Digital McKinsey).

Le conseguenze sono ovvie:

(per continuare a leggere l’articolo si prega di cliccare qui.).

 

Gli articoli che possono Interessarti...