Tutte le aziende investono sulla sicurezza. Non tutte comprendono che l’investimento debba essere anche culturale. Il cyber-rischio è ovunque ma, per prevenire e difendersi, non bastano le misure tecnologiche e informatiche adottate. Serve una cultura nuova sulla sicurezza e sulle nuove tecnologie. Meno superficiale e meno legata a considerazioni puramente tecniche. Proattiva, attenta alle rivoluzioni tecnologiche in atto, non conformista e capace di esprime un’influenza positiva e strategica sull’intera organizzazione.

La realtà ancora prevalente

In molte aziende quando si pensa alla sicurezza si continua a focalizzarsi sul back-office, sugli aspetti puramente informatici e tecnologici. Peccato che la sicurezza sia diventata una priorità assoluta che tocca l’azienda come le persone, il back-office come gli end-point, l’infrastruttura così come i comportamenti individuali, procedurali e organizzativi. È una priorità che viene prima di altri asset aziendali quali le strategie commerciali e digitali, i modelli di business e il portafoglio prodotti.

Sicurezza come priorità

La priorità assegnata alla sicurezza deve essere il frutto di decisioni strategiche, comporta il coinvolgimento di tutte le funzioni apicali aziendali, tutte incluse e nessuna esclusa, non può essere il risultato di semplici percezioni e retropensieri. È una scelta strategica sia per il mondo reale così come per quello digitale, per favorire l’innovazione e sostenere programmi sempre più legati alla disponibilità in tempo reale di dati e informazioni, per la trasformazione digitale così come per la mobilità aziendale.

In un contesto mutato

Il contesto nel quale operano le aziende è completamente cambiato. Oggi devono diventare intelligenti, confrontarsi con la complessità, anche del crimine informatico e la sua velocità.  Le strategie e le misure adottate nel passato non sono più sufficienti. La sicurezza non è più un semplice componente di spesa informatica ma una realtà presente e diffusa in ogni aspetto della vita aziendale. Così integrato da richiedere un ripensamento generale delle strategie per la sicurezza informatica e l’impiego di personale, sia esso tecnico o dirigenziale, con una cultura adeguata, con l’esperienza e le competenze che servono per affrontare una sfida difficile perché caratterizzata da elevata dinamicità, aggressività, pervasività e creatività.  

Non esistono strategie standard

In ambito sicurezza non esistono strategie valide per ogni tipologia di azienda o organizzazione. Nessuna singola soluzione può risolvere tutti i molteplici problemi legati alla sicurezza. Tutte le aziende sanno tuttavia di dover difendere alcuni asset fondamentali quali la continuità operativa, la protezione del Brand con i suoi Marchi, l’assistenza ai clienti, la crescita di fatturato e il capitale relazionale dei clienti. Una sfida di questo tipo non può essere affrontata relegando la sicurezza a un problema puramente informatico, di responsabilità della funzione IT aziendale e gestita con un unico budget.

L’approccio necessario

La sicurezza informatica obbliga a scelte non convenzionali, a un cambio di passo, a interventi di change management adeguati (senso dell’urgenza, visione strategica, comunicazione interna, sostegno al cambiamento, ecc.), e a predisporre quanto serve per agire con rapidità, sia nella prevenzione sia nella reazione a eventuali attacchi.  I dirigenti assegnati alla sicurezza devono disporre della cultura che serve ma anche di adeguata autorità e autonomia. Due requisiti/abilità che possano permettere loro di intervenire con rapidità ed efficacia sull’intera organizzazione, senza vincoli o resistenze da parte dei vari silos aziendali presenti in azienda.

Autorità e autonomia non devono mettere in crisi la collaborazione con realtà aziendali diverse come il comparto della supply chain, della produzione, del marketing, con gli stakeholder così come con i partner. Non serve esercitare il potere per ottenere obbedienza. Meglio operare in modo da creare consenso e accettazione delle scelte prese, fino a far valere una leadership riconosciuta, in ambito sicurezza, e tale da essere accettata orizzontalmente, al di là del ruolo e delle gerarchie aziendali.

Le aziende che sanno gestire con successo la sicurezza informatica proteggendo dati, informazioni e conoscenza hanno manager capaci di esercitare una leadership reale, sostenuta da una visione olistica, una apertura mentale utile a interpretare il nuovo che avanza attraverso i suoi trend emergenti, la ricerca della cooperazione e la fame di conoscenza che si traduce nella disponibilità all’apprendimento continuo.

La gestione del rischio: una opportunità

Le capacità tecniche da sole non bastano, così come non bastano gli skill tecnologici. La gestione del rischio informatico passa attraverso le relazioni interne ed esterne all’ecosistema aziendale, la capacità di comunicare il rischio e motivare, anche emotivamente, a contribuire alla difesa e alla prevenzione.

Tutto ciò non deve far dimenticare di operare ormai in stato di assedio, oppressi dal senso di urgenza, sia in termini di opportunità sia di rischio. L’opportunità è di implementare sistemi integrati sicuri ed efficienti, a sostegno delle strategie aziendali, dei loro obiettivi finanziari e del cambiamento. È riuscire a trovare manager capaci, adeguati a gestire il rischio ma anche a comunicare efficacemente (soprattutto i successi ottenuti), a rimuovere le barriere, a scegliere le persone giuste (i professionisti) per farlo e a implementare le azioni e le iniziative che servono, ma sempre dentro una visione strategica in ottica di trasformazione digitale e mobilità aziendale. Il rischio è legato dalla crescita esponenziale degli attacchi informatici (quasi +300% dal 2011 a oggi), all’accresciuta pericolosità e intelligenza dei cybercriminali, alla difficoltà nell’individuare ed eliminare tutte le vulnerabilità, alla necessità di cambiare modelli di business, ma anche alle resistenze che spesso molti interventi di cambiamento incontrano all’interno di ogni tipo di organizzazione.