Oggi non si dovrebbe rimanere più di tanto sorpresi quando ci si trova di fronte ad una corretta gestione della sicurezza tanto delle informazioni quanto dei sistemi cyber.Eppure, quell’elemento di sorpresa è tristemente rivelatore della qualità delle pratiche di sicurezza cyber che possono ambire a pieno titolo alla Hall of Shame. Le quali, a voler essere buoni, potremmo definire come sub-ottimali.E forse è bene così, giusto per non distrarsi dal vero problema del fatto che si trovi sorprendente una corretta postura di sicurezza cyber.Si potrebbe dire che è una questione di aspettative così basse da non essere deluse, per cui si normalizza la pessima gestione di un data breach, l’evidente mancanza di misure di sicurezza o elementi informativi sgangherati.Con buona pace della corretta postura di sicurezza cyber che oramai è un elemento abilitante dell’attività delle imprese o della Pubblica Amministrazione. Al punto che non emerge neanche “sulla carta”, che ha la duplice funzione di essere un promemoria per ciò che dev’essere fatto e documentare le decisioni assunte per realizzare gli obiettivi della norma. Che è, fondamentalmente, l’espressione formale dell’accountability. Dopodiché, occorre sostanza. E questo non dovrebbe sorprendere più di tanto.Le frontiere della sicurezzaEcco dunque che è tutta una questione di avanzamento delle frontiere della sicurezza, fra cui ad esempio lo stato dell’arte, e della corrispondente capacità dell’organizzazione di allinearsi. Questo significa dunque che le tecnologie e la disciplina circa il loro impiego da parte delle organizzazioni devono offrire delle garanzie reali di sicurezza. Concrete e riscontrabili. Ad esempio, nel commisurare la formazione e l’alfabetizzazione a ruoli, rischi e contesti, come nel caso dell’introduzione degli strumenti di AI nella Pubblica Amministrazione. Dopodiché, bisognerà abbandonare ad ogni declinazione del mito dell’inviolabilità anche nello storytelling diffuso. Giusto per evitare episodi come quello del jailbreak di Fable 5 e dello stupore a seguire. Nonché tutta una serie di ben più spiacevoli ed ulteriori conseguenze.Dotarsi di adeguati assetti organizzativi nei contesti cyber contribuisce ad abituare gli stakeholder a standard più elevati di data maturity.Sorprendendoli un po’ meno quando “tutto funziona” nella gestione della sicurezza cyber, ed accettando la possibilità di poterli deludere.
Quando la sicurezza cyber sorprende (ed è un male) - Cyber Security 360
Nel momento in cui ci si sorprende ancora di fronte ad una sicurezza cyber ben gestita, forse il problema non è tanto l'inconsapevolezza dei più ma una vera e propria sfiducia diffusa. Indizio rivelatore di un cammino ancora lungo da fare di cyberawareness.
TL;DRAI
Le organizzazioni normalizzano posture cyber security scadenti: jailbreak di Fable 5 espone vulnerabilità nelle AI e carenze di accountability. Per manager IT serve governance e data maturity oltre tecnologie, per trasformare la sicurezza da eccezione a baseline.
347 words~2 min read
