Nel corso della tavola rotonda di apertura della V edizione di Negotiorum Fucina ADACI, tenutosi recentemente a Verona, la coordinatrice mi fece anche questa domanda: “Lei ha fiducia nei fornitori di cybersecurity?”. La mia risposta istintiva è stata: “No”.
Non avevo in mente alcun fornitore. La mia risposta è derivata da due fattori: dal “peso” della parola “fiducia” e dallo stato dell’arte della cybersecurity.
La enciclopedia Treccani fornisce la seguente definizione di fiducia: “Atteggiamento, verso altri o verso sé stessi, che risulta da una valutazione positiva di fatti, circostanze, relazioni, per cui si confida nelle altrui o proprie possibilità, e che generalmente produce un sentimento di sicurezza e tranquillità”.
Come è possibile nutrire un sentimento di sicurezza e tranquillità quando:
- Poche sono le aziende che si sono fatte certificare allo ISO/IEC 27001 e allo ISO 22301? Ossia, alla protezione dei dati ed alla continuità del business?
- Troppo pochi sono gli specialisti di sicurezza certificati ai sopra detti standard internazionali in qualità di lead auditor?
- Solamente le grandi aziende hanno affrontato – anche se solo da poco tempo – dei rilevanti progetti tesi a migliorare la cultura interna al rischio?
- Le aziende che esternalizzano un servizio e prodotto cercano di spuntare il massimo sconto possibile con il risultato di ridurre i margini degli outsourcer?
E, non ultimo, una considerazione sulle aziende committenti: molte di loro non hanno fiducia nei progetti di resilienza alle crescenti minacce cyber.
McKinsey scrive a questo proposito quanto segue: “Companies are using all kinds of sophisticated technologies and techniques to protect critical business assets. But the most important factor in any cybersecurity program is trust. It undergirds all the decisions executives make about tools, talent, and processes. Based on our observations, however, trust is generally lacking in many organizations’ cybersecurity initiatives—in part, because of competing agendas. Senior business leaders and the board may see cybersecurity as a priority only when an intrusion occurs” (“Hit or myth? Understanding the true costs and impact of cybersecurity programs”, su Digital McKinsey).
Le conseguenze sono ovvie: l’azienda committente in caso di evento malevolo (Perdita di riservatezza dei dati personali, o loro perdita di integrità o disponibilità; interruzione prolungata del servizio; ecc.) ne risponde davanti alle Autorità, può subire una rilevante perdita di immagine e reputazione, e quindi anche di clienti.
E purtroppo, come dice, McKinsey, il Vertice aziendale si occupa di cybersecurity solo quando succede il disastro: “Senior business leaders and the board may see cybersecurity as a priority only when an intrusion occurs”.
“Che fare?”. Non posso che ribadire concetti ovvi, ancorché a quanto sembra assai trascurati:
- “Top management committment”: che sia reale, concreto, dimostrato, e non fittizio.
- Maggiore trasparenza nei progetti di cybersecurity.
- Attenzione all’intera filiera produttiva.
- Attenzione agli “insiders”.
- Trattare a fondo il tema della resilienza con il fornitore (ad esempio: misure preventive adottate, gestione dell’emergenza, cultura interna al rischio cyber, pianificazione ed esecuzione di esercitazioni periodiche, struttura organizzativa e programmi di auditing, esame periodico dei piani di miglioramento della sicurezza, come avviene la gestione degli “incidents” ed il relativo coinvolgimento del top management, ecc.).
Un suggerimento che ripeto da anni: eseguire una analisi ad alto livello del possibile impatto economico e reputazionale derivante da un eventuale incidente o blocco di un prodotto e servizio.
In tal modo, l’azienda può comprendere quali sono i processi realmente critici e concentrarsi su di essi. Infatti, non tutti i processi sono uguali. Non tutti i prodotti sono vitali per la sopravvivenza dell’impresa. E pertanto anche i costi sono limitati e proporzionati ai rischi.