Premessa fondamentale: non ci può essere gestione della sicurezza senza quella favolosa fase “Check”, o di controllo, mediante la quale è possibile individuare miglioramenti.
Nel tempo, infatti, mutano rischi e misure, pertanto occorre verificare periodicamente – o all’esito di determinati eventi o mutamenti di contesto – che… tutto torni. Ma questo non significa però cedere all’effetto Samarra. Con due r, l’altra dicono sia una leggendaria CISO che esce direttamente dal monitor per manifestare la propria contrarietà ai clic troppo facili.
Quindi, bisogna fare i controlli. Ma quali? Ecco che c’è lo strumento sempreverde dell’audit, il quale però – è opportuno ricordare – definisce un processo sistematico, indipendente e documentato per ottenere prove oggettive per determinare in che misura i criteri di audit sono stati soddisfatti.
O almeno, così dice la ISO 19011 anche nella sua sfiammante versione del 2026.
Quindi, direi che ci possiamo fidare della fonte. Ma fare dei controlli è condizione necessaria ma non sufficiente, dal momento che vanno svolti sensatamente e, soprattutto, in modo non pilotato. Ricordate l’effetto Samarra di poche righe fa?
Ecco, in questa antica leggenda che alcuni ricorderanno per la canzone Samarcanda di Vecchioni, o una puntata della serie TV Sherlock, sostanzialmente si racconta della inevitabilità del punto di arrivo. Mutatis mutandis, questo effetto in sede di controlli accade nel momento in cui, sostanzialmente, si vuole solo confermare che va tutto bene.
Ma tutto questo non va bene affatto.
La gestione è nulla senza controllo
Nella gestione della sicurezza cyber, l’attività di controllo è un presidio fondamentale. Motivo per cui dev’essere condotta senza orientarla a un risultato atteso, o peggio, sperato.
Altrimenti diventa nella migliore delle ipotesi inutile, e nella peggiore decisamente controproducente andando a rafforzare una serie di bias fra cui, ad esempio, il mito dell’invulnerabilità.
Un esempio emblematico è offerto dalla centralità degli audit di sicurezza nella governance prevista in ambito NIS 2, che esprime un percorso di compliance e security che si ponga oltre i formalismi.
Percorsi che, beninteso, sono tutt’altro che semplici e dunque la loro complessità richiede una giusta dose di maturità delle organizzazioni.
Il dosaggio di un cocktail che porti a realizzare obiettivi con un l’impegno efficace e sostenibile?
Competenza e cultura. Mescolate, e non agitate.
E non ce ne voglia James Bond.
Partecipa alla community