Nel suo libro Start With Why, Simon Sinek ha affermato che il cosa e il come sono di certo importanti, ma è meglio iniziare con il "perché" per poter colmare una diffusa lacuna secondo cui "ogni organizzazione o persona sa cosa fa, molti sanno come lo fanno, ma davvero pochi conoscono il perché di ciò che fanno".
Personalmente, a qualche decade di distanza e dopo che diverse centinaia di miliardi di dollari sono stati spesi in questo campo, credo sia ora di ripensare anche al perché della sicurezza informatica.
Cosa ci spinge a cambiare il nostro "perché"?
La risposta è semplice: "il digitale".
Per alcuni si tratta di un termine abusato, per altri è un cambiamento importante o avviene in modo rivoluzionario.
Comunque vogliate definirlo, a mio avviso significa che:
A) La tecnologia rappresenta da sempre un acceleratore ma, con il digitale, il business cambia in tempo reale, le aziende corrono sempre più rapidamente e la tecnologia fa altrettanto.
b) Il digitale non è più semplicemente una tecnologia, ma una tecnologia applicata e disponibile in luoghi un tempo impensabili, come nei pacemaker, all'interno delle automobili o nelle lampadine.
A questo punto molti leader sostengono che con il digitale la tecnologia stessa sia il business.
I dati sono sempre stati il risultato della tecnologia.
Nel mondo digitale, invece, i dati sono il carburante, hanno un valore e alimentano il machine learning e l'intelligenza artificiale.
c) Le nostre catene di distribuzione non sono connesse solo fisicamente ma sono collegate tra loro in modo digitale.
d) Nel mondo digitale, la community dei professionisti del rischio e della sicurezza è passata dal rappresentare una difesa nel background dell'azienda a un'avanguardia capace di abilitare la trasformazione digitale.
È chiaramente il momento di ripensare al perché?
La trasformazione digitale abilita nuovi modelli di business, crea esperienze affascinanti e scatena una produttività senza precedenti, ma nel farlo aumenta e accelera anche il rischio.
Oggi, le organizzazioni che adottano le tecnologie digitali non sono ancora preparate ad affrontare tale livello di permeazione della tecnologia nel proprio business e per questo motivo il rischio digitale è diventato il rischio maggiore che un'organizzazione deve affrontare.
L'economia digitale è costruita su una base di fiducia.
I dati e la tecnologia sono vulnerabili agli attacchi informatici, possono comportare un cambiamento nel lavoro delle persone e generare nuove sfide per la società.
Abbiamo visto che oggi le organizzazioni non riescono a dimostrare una cyber-resilienza sufficiente e una competenza reale nella gestione della privacy e dell'integrità dei dati, per questo assistiamo a una crescente erosione della fiducia nei confronti della tecnologia, un aspetto che deve essere affrontato.
Il nuovo Perché: abilitare la fiducia in un mondo digitale.
Abilitare la fiducia - non sradicare le minacce.
Abilitare il benessere digitale - non sradicare la malattia digitale.
Questo è il nuovo perché collettivo che vogliamo proporre alla sicurezza informatica.
Dal punto di vista del "cosa" in futuro dovremo prestare tutti più attenzione al "Digital Risk Management" per consentire alle organizzazioni di tracciare un passaggio sicuro verso il proprio futuro digitale gestendo i rischi lungo il percorso perché il rischio è ciò che consente l'innovazione ed evitare i rischi significa evitare i progressi, per questo è necessario saperli gestire.
La nostra missione può sembrare impossibile ma è più che mai necessaria e affrontabile se si collabora per trovare insieme nuovi modi di uscire da una logica tradizionale a silos che ci ha imprigionato per anni.
I team dedicati all'IT, alla sicurezza, al rischio e al business devono lavorare tutti insieme per domare il rischio digitale, ognuno deve fare la propria parte.
Se pensiamo al ruolo dell'IT, non si tratta solo di costruire soluzioni tecnologiche per alimentare il percorso verso il futuro digitale.
L'IT è responsabile della riduzione della superficie di attacco progettando la sicurezza come parte intrinseca dello stack e del processo di sviluppo.
La sicurezza deve potersi spostare a sinistra e a destra nel mondo dei SecDevOps e i team della security devono considerare il contesto aziendale per valutare l'orientamento al rischio, perché il loro compito non consiste solo nel bloccare le violazioni ma anche nel minimizzare l'impatto sul business.
Il team che si occupa del rischio deve muoversi alla stessa velocità del business digitale e saper comunicare il rischio cyber e digitale agli stakeholder aziendali.
Infine, il ruolo del business è definire l'agenda digitale e comunicarla efficacemente ai team IT, Sicurezza e Rischio per aiutarli a stabilire le priorità.
Si tratta quindi di uno sport di squadra dove IT e Business collaborano per abilitare la trasformazione digitale, mentre sicurezza e rischio convergono per abilitare la fiducia.
Uno scenario abilitato alla fiducia è un mondo fantastico in cui il potere dell'innovazione si sprigiona, permettendoci di muoverci alla velocità del pensiero e generando guadagni incredibili dal punto di vista economico e umano.
Un mondo abilitato alla fiducia è davvero sorprendente e rappresenta il motivo ultimo per cui operiamo, il perché, la nostra aspirazione.
Rohit Ghai, President di RSA Security
Se l'articolo ti è piaciuto, condividilo con gli amici e colleghi
