Bonnie Tyler cantava I need a hero, mentre in Hercules abbiamo il mitologico (è proprio il senso di dirlo) from Zero to Hero. Ma nella sicurezza cyber, in cui il principio 0-trust è consolidato e al più può prendere in considerazione qualche valore negativo, possiamo dire che oramai la fiducia è qualcosa di molto simile ad un atto eroico? Fra la sfida e la hybris, come da tradizione.
Non possiamo arrenderci certamente alla fatalità che ogni sistema di protezione e difesa debba per forza di cose fallire, ma bisogna anche prendere in considerazione il worst case sccenario. E prepararsi al peggio in termini di capacità di reazione, ivi incluso ciò che va oltre il disaster recovery ovverosia la c.d. analisi post mortem.
Ciò non toglie, però, che nell’attribuzione di ruoli e responsabilità in ambito di cybersecurity debba valorizzarsi anche l’aspetto della fiducia. Che si realizza attraverso un chiaro endorsement della direzione nei confronti delle funzioni deputate a gestire – dalla pianificazione alla fase esecutiva – i processi di sicurezza.
Verità spiacevoli
Certamente chi fa consulenza in ambito cyber ha un compito gravoso di dover rappresentare verità spiacevoli, spesso ignorate per effetto di quell’horror vacui che ci porta a non voler considerare punti ciechi e probabilità.
Ma dato che oramai è il modello di sicurezza a fallire, come nel caso dei PC delle banche hackerati, adottare un approccio concreto, consistente e soprattutto strategico è fondamentale.
Ma se nessuno dirige questa strategia e indica la rotta da seguire, o peggio se quando lo fa viene ascoltato in modo parziale e il suo parere non ha un’influenza sugli assetti organizzativi allora l’unico destino è un naufragio più o meno rovinoso.
O l’ammutinamento dell’equipaggio con la realizzazione di minacce ulteriori provenienti dall’interno.
Per quanto diffusamente praticata, coltivare delle Cassandre in-house e collezionare tanti token “ve l’avevo detto” è ben lungi dall’essere una buona strategia di sicurezza.
