Fino a che punto è possibile applicare in ambito cyber il noto detto di socratica memoria “So di non sapere”?
Ebbene, per la governance è indispensabile non cadere nelle trappole di una dispercezione di sicurezza che combina sopravvalutare le proprie capacità con sottovalutare le minacce interne ed esterne. Insomma, il cocktail letale che porta praticamente ogni organizzazione ad essere agitata ben più del noto Martini di Mr. Bond.
L’agitazione deriverà infatti dallo scoprire troppo tardi e proprio malgrado il proprio fallimento nell’affrontare un attacco informatico. Motivo per cui la postura di sicurezza dev’essere rafforzata continuamente e non in astratto, con quegli spunti pratici che è possibile trarre da incidenti di sicurezza realizzati o mancati, l’applicazione delle buone prassi e la comprensione del contesto esterno ed interno.
Tutto ciò richiede un duplice sforzo: sapersi porre le giuste domande ed essere in grado di riesaminare le risposte nel tempo.
Sicuri di non essere al sicuro
Predisporre misure tecniche e organizzative prima dell’incidente ed interventi efficaci durante e dopo diventa possibile solo se non ci si abbandona alla facile illusione di “essere al sicuro” cedendo così all’inerzia.
Anche perché le organizzazioni sono soggetti a rischi che mutano nel tempo, come ad esempio quelli provenienti dalle minacce del modello cinese. Ecco dunque che la capacità di gestire un attacco informatico in modo preventivo e reattivo consente di non viverlo come un vero e proprio incubo, ma va mantenuta nel tempo.
Non solo: dev’essere continuamente migliorata, eliminando la convinzione che rilevare minacce, rispondere alle stesse e ripristinare i sistemi possa essere qualcosa che è possibile fare attraverso soluzioni stand-alone, interventi una tantum, o l’improvvisazione.
Ma questo avviene avendo contezza del fatto di non essere mai totalmente al sicuro. Insomma: meglio essere più sicuri che convinti, non viceversa.
