Dire che la sicurezza cyber è una scommessa può inizialmente sorprendere, o anche indignare. Ma più ci si pensa più la frase approssima una verità che man mano si fa più evidente.
Anche perché l’eccesso di certezze (ovviamente proclamate o declamate) in questo dominio getta ombre piuttosto pericolose, che confondono e assopiscono.
Questo ovviamente non significa doversi arrendere all’ineluttabilità del destino, improvvisandosi tormentati neoromantici della sicurezza cyber.
Essere consapevoli che la worst situation ever può capitare, e dunque contemplare anche quello scenario disastroso o catastrofico all’interno delle analisi dei rischi, consente di predisporre una corretta postura di sicurezza cyber. Ad esempio, operandosi già in sede di progettazione affinché il danno venga sempre ridotto al minimo possibile. O anche valorizzando le misure di mitigazione predisposte affinché le sorti della scommessa possano volgere a proprio favore.
Scommettere senza bluffare
Per fare ciò occorre un approccio calcolatore e consapevole, perché c’è una parte di aleatorietà che è insita nel concetto stesso di rischio e non potrà mai essere inevitabile.
Peraltro, raramente si tratterà di cigni neri perché sono comunque eventi bene o male prevedibili, in tutto o in parte, negli scenari e negli effetti.
Governare l’incertezza significa porsi nella situazione di maggiore consapevolezza possibile a riguardo nel momento in cui si devono operano delle scelte strategiche, come rappresentato in modo spietato dai dati del World Economic Forum.
Ovviamente, riservandosi sempre di riesaminare dette scelte e iniziare a prediligere la misurabilità dei rischi, come ad esempio avviene nel vendor risk management per la valutazione di affidabilità della supply chain.
Anche se la sicurezza cyber in parte è una scommessa, bluffare non è mai una strategia conveniente per chi si difende. Ancora peggio, quando lo si fa nei confronti della propria organizzazione.
Infine, imparare a contare le carte può essere molto utile.
