»
»
»
Tutti sono concentrati sul GDPR, per evitare le multe. Ma chi investe in una maggiore resilienza?
Asset protection

Tutti sono concentrati sul GDPR, per evitare le multe. Ma chi investe in una maggiore resilienza?

di |
Tutti sono concentrati sul GDPR, per evitare le multe. Ma chi investe in una maggiore resilienza? Cybersecurity

Un collega mi ha detto: «Se rifletti, ora tutti sono concentrati sul GDPR: perché? Perché ci sono penalità molto elevate. Ma quante organizzazioni hanno investito e stanno investendo in una maggiore resilienza?

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Il mio precedente articolo ha stimolato alcuni a fornirmi un loro feedback: sono stati tutti di approvazione di quanto da me affermato.

Fra questi, segnalo e riporto qui di seguito, in forma schematica, quanto segnalatami da una persona di lunga esperienza ed elevata competenza:

  1. Diffuse carenze nella consapevolezza sulla gestione dei rischi, specialmente informatici;
  2. Scarse e poco autorevoli figure nell’ICT;
  3. Cattive prassi consolidate;
  4. Tendenza ad occultare la presenza di rischi e criticità;
  5. Diffuse scarse competenze culturali ed informatiche;
  6. Poca meritocrazia;
  7. Insufficiente budget dedicato alla protezione cyber;
  8. Insufficiente formazione necessaria a creare la corretta consapevolezza nell’utilizzo della dotazione informatica.

Ho letto e riletto diverse volte quanto scritto da questa persona, che ricopre tra l’altro un ruolo apicale in una grande azienda, ed ho concluso che a mio avviso si sia rappresentata una situazione reale.

Ho voluto comunque sentire il parere di altri manager che si occupano di information security, operational risk management, ed auditing.

Tutti hanno condiviso quanto scritto.

La situazione è davvero grave, e, quindi, che fare?

Un collega mi ha detto: «Se rifletti, ora tutti sono concentrati sul GDPR: perché? Perché ci sono penalità molto elevate. Ma quante organizzazioni hanno investito e stanno investendo in una maggiore resilienza? Quante si sono accontentate di qualche procedura ad hoc, nuove disposizioni interne e la responsabilizzazione dell’outsourcer?  Nemmeno il rischio di attacchi cyber da concorrenti, nazioni nemiche o da gruppi terroristici, che possano mettere in crisi l’azienda, mettono paura. Bisogna allora puntare sui giovani: creare in loro la giusta consapevolezza dei rischi.».

Riassumendo, il consiglio è: penali elevate e “awareness” nei più giovani?

Concludo con una frase tratta dal lungo testo pervenutomi, e che ha trovato il maggior consenso fra i colleghi:

«Purtroppo l’insufficiente etica professionale, unitamente a scarse competenze culturali ed informatiche, anche ai livelli più alti, riducono l’efficienza interna e quindi la competitività della singola azienda e del Sistema Paese. La poca meritocrazia, permette a persone inadeguate di ricoprire ruoli direttivi, compromettendo un sano processo decisionale, la motivazione delle risorse ed il perseguimento di una corretta Governance aziendale. ».

Il security manager sarà sempre più solo? O sarà l’unico a pagare le conseguenze di un riuscito attacco cyber?

Anthony.wright@anssaif.it

Per saperne di più: Cybercrime

L'autore

Anssaif

Anssaif

Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria

Condividi:

Leggi anche