La cybersecurity in azienda viene raramente considerata come un asset. Molto più spesso è considerata una sgradita incombenza a cui si adempie malvolentieri.
Penso, in particolare pensando alla zona del nord-est, quella del miracolo di qualche lustro fa, che ancora presenta una moltitudine di imprese, a volte cresciute in proporzioni anche importanti, ma tuttora a stretta conduzione familiare, con il board che all’apice presenta ancora uno dei fondatori, e a seguire, in ordine sparso, figli o nipoti chiamati a subentrare ma rispettando rigorosamente le indicazioni dall’alto. Sto forse estremizzando, ma solo un pochino: si tratta di un tessuto imprenditoriale che, come noto, è presente e ben radicato nel nostro paese, composto principalmente da PMI.
La (scarsa) cultura della cybersicurezza in azienda
Una delle non poche difficoltà di chi si è messo in mente di evangelizzare le aziende e le organizzazioni (ovviamente PMI) presenti sull’italico suolo sui temi della cybersecurity, negli ultimi mesi confusi e sovrapposti (a torto) al tema GDPR, è quella di trovarsi spesso in situazioni nelle quali ci si sente degli alieni. Per quanto ci sforziamo di “tradurre” il linguaggio tecnico dei manuali e il linguaggio formale delle norme e dei framework, il nostro interlocutore, spesso ben posizionato nella piramide gerarchica aziendale, ci guarda con occhio sghembo, e dopo qualche secondo di riflessione, che in cuor nostro speriamo preluda ad una accettazione di tutto (o quasi) ciò che abbiamo esposto, se ne esce con un laconico “non ho capito niente se non che volete farmi spendere dei soldi”, con la variante, esplosa nelle ultime settimane, che suona come “voi e l’Europa volete farci spendere un sacco di soldi anche dove non serve”.
Lo snodo cruciale, indipendentemente dalla versione esposta dal nostro interlocutore, sta proprio qui: la percezione che i denari spesi per l’informatica siano un esborso necessario, ma da evitare o procrastinare il più possibile nel tempo.
IT e sicurezza, beni intangibili quindi incomprensibili
E se già l’IT in azienda è un costo, immaginate cosa succede quando si propone un budget di spesa per la sicurezza, che oltre tutto ha anche lo svantaggio di essere intangibile.
Giusto per intendersi, al termine di un audit piuttosto complesso, dopo aver lavorato giorni per tradurre l’analisi e le rilevazioni in slides da proporre a non addetti ai lavori, davanti al board aziendale, presente il presidente (e azionista di maggioranza) e il commerciale che segue l’azienda per la parte infrastrutturale, arrivati alla descrizione del piano di mitigazione con attività e budget, il presidente mi guarda strano e poi se ne esce così: “Vede, io ho capito tutto, che siamo messi male e tutto quanto, però le chiedo: quando il suo collega mi vende qualcosa, dopo qualche giorno arrivano degli scatoloni e li vedo. Quello che mi vende lei, cosa mi fa vedere?”.
Quindi l’IT e la sicurezza delle informazioni rimangono, nell’ordine, un costo e un oggetto non identificabile.
A meno che non si tratti di acquistare l’ultima versione di smartphone o di tablet, nel qual caso i freni inibitori si sciolgono dinanzi alla tangibilità dell’oggetto da avere, possibilmente prima degli altri. Qualche mese fa, mentre raccontavo all’Amministratore delegato (e proprietario) dell’azienda che i rilievi eseguiti mettevano in luce numerose problematiche di sicurezza, lo stesso mi interrompe e, guardandomi serio mi fa: “ma lei che è un addetto ai lavori, non ha qualche canale preferenziale per prenotare l’iPhone X?”.
Chiaramente dinanzi a queste situazioni viene spontaneo chiedersi dove si sta sbagliando, come poter modulare la comunicazione per renderla efficace al punto di suscitare reazioni diverse da parte degli interlocutori, anche considerato che i ruoli che ricoprono sono tali da decidere se mettere o meno mano alla borsa. Ma scava, scava, rigira e riproponi, le reazioni non cambiano: si potrebbe coniare la “legge dell’invariabilità della reazione dell’Ad davanti al piano di sicurezza IT”.
La fatica di far comprendere che l’IT è un bene di valore
Quanto finora esposto, che di ironico ha la stesura ma non i contenuti, ci riporta alla necessità di far crescere nei nostri interlocutori, intesi coloro che guidano le aziende dove proviamo a fare del nostro meglio, quella che gli anglosassoni chiamano “awareness”. La chiave di volta sta tutta nel trovare il modo di far crescere la consapevolezza che l’IT aziendale non è un costo, ma un asset, e quindi, come ci insegna la norma ISO 27001, un “bene di valore per l’azienda”. Se scatta questo meccanismo, allora (forse) si possono mettere in moto tutta una serie di atteggiamenti virtuosi, tali da far evolvere positivamente tutto il comparto IT aziendale.
L’IT e la necessaria evoluzione della figura del CIO
Se il board aziendale è convinto del valore dell’IT quale asset, il CIO “evolve” da figura di riferimento per la prenotazione dello smartphone, a parte integrante della catena di valore della governance aziendale, con la quale confrontarsi periodicamente e alla quale trasmettere per tempo gli obiettivi di business, in modo che possa studiare le soluzioni più adeguate a supportare il raggiungimento degli stessi. Si realizza così quello che i sacri testi chiamano “allineamento strategico”, che invece di norma si palesa nella telefonata alle 17.30 del giovedì del tipo “domani alle 10 dobbiamo fare una videoconferenza con Shangai. Siamo in grado vero?”, dimenticando che nei tre anni precedenti ogni progetto relativo alla videoconferenza è stato bocciato perché ritenuto troppo costoso e “ma tanto, abbiamo fatto senza fino ad oggi…”.
Facile da scrivere, ovviamente, un po’ meno da realizzare. Non è banale scardinare convinzioni che si sono radicate nel corso degli anni, soprattutto se la crescita del business e i risultati, anche quelli correnti, danno ragione alla strategia di chi, partendo spesso dal nulla, ha portato l’azienda a crescere, con un’attenzione spasmodica ai costi, soprattutto a quelli considerati accessori perché non direttamente connessi al business. L’IT è uno di questi: se un piano di ammodernamento aziendale prevede di investire alcune centinaia di migliaia di euro per l’acquisto di una nuova macchina da dedicare alla produzione, nessuna esitazione o quasi. Ma davanti alla necessità di investire qualche migliaio di euro per sostituire vecchi pc, magari ancora con Windows XP, la prima domanda davanti alla proposta sul tavolo è: “Ma non possiamo tirare avanti qualche altro mese? Sono proprio rotte queste macchine?”.
Gdpr, e-privacy e nuove consapevolezze
Negli ultimi mesi, l’arrivo del GDPR ha generato (e sta generando) nuove richieste, ma anche in questo ambito l’approccio è da un lato improntato alla “solita burocrazia, che non bastasse quella italiana, adesso ci si mette anche l’Europa… vogliono vederci morti…”, dall’altro al più nostrano “ma tanto adesso faranno una legge nostra che ci esonera da tutte queste seccature”. Sappiamo bene che tutto questo non accadrà, che il GDPR è già in vigore, al netto dei dettagli del Decreto Legislativo. Anche in questo ambito latita la consapevolezza che si tratta di una norma che non vuole vessare le aziende, ma che pone l’attenzione sulla necessità di proteggere in maniera adeguata i dati che le stesse trattano. Ed essendo una norma che non impone alcuna misura di sicurezza, ma richiede di applicarle in maniera adeguata a protezione dei dati personali trattati, va da sé che in assenza di un terreno fertile già presente in azienda, con esso inteso la presenza e la pratica di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI, per i puristi ISMS, Information Security Management System), il GDPR è destinato ad essere un fiore che non sboccerà completamente, magari tenuto in vita con sistemi artificiosi, ma incapace di rivelarsi adeguato laddove sia necessario che svolga i compiti per il quale è stato promulgato.
L’arrivo del Regolamento Europeo relativo all’e-privacy, aprirà un nuovo fronte, che creerà nuove difficoltà se continuiamo a percepire tutto ciò che è digitale come un costo aziendale o un nuovo smartphone da esibire.
Regolamento ePrivacy, ecco la nuova frontiera europea della privacy dopo il GDPR
Ci sono quindi consapevolezze da far crescere e intersecare tra loro, con tutte le difficoltà che chi fa questo mestiere conosce, e sulle quali ho provato a strapparvi qualche risata, o almeno qualche ghigno, spero non sarcastico. La nostra crociata, se così vogliamo provare a definirla, è quella di tener duro, di continuare ad approfondire la nostra conoscenza, sfruttando il confronto con i colleghi più preparati o che gestiscono situazioni più complesse quale strumento per la nostra crescita, così da poter avere sempre nuovi spunti e nuovi stimoli da passare ai nostri clienti per condurli, passo dopo passo (e rospo ingoiato dopo rospo ingoiato) a percepire l’IT, la sicurezza delle informazioni e le norme ad essa connesse, con spirito nuovo. Anche se non ci presentiamo con gli scatoloni.
