[section_title title=Cybersecurity: non solo obbligo ma opportunità Parte 2]
Come incoraggiare il rispetto di nuove pratiche da parte di chi non viene controllato?
Anche se il senior management ha voce in capitolo e mezzi sufficienti per far rispettare le policy ai dipendenti, sfruttando la formazione e altre leve, le sue azioni non dovrebbero essere confinate nei limiti di ciò che viene percepito come perimetro naturale dell’organizzazione. Fuori da questo confine fittizio, i rischi tendono a restare problemi irrisolti e, spesso e ancor peggio, sconosciuti.
La cooperazione con le altre organizzazioni ed entità diventa quindi necessaria. I driver e i benefici per convincere i partner commerciali a partecipare attivamente e consapevolmente allo sforzo comune, che potrebbe comportare un ritorno in termini di valore diverso a seconda del partner, non sono esattamente facili da definire e calibrare. Una comprensione comune della rilevanza di questi aspetti, tuttavia, rappresenta sempre un pre-requisito necessario e un solido punto di partenza.
Ad esempio, la cooperazione tra organizzazioni certificate ISO 27001 dovrebbe in linea di principio fornire un terreno di partenza comune, condiviso e compreso da tutti gli alleati, che permette di creare un livello superiore con una strategia di cyber-difesa cooperativa, a reciproco vantaggio e supporto.
E il consumatore?
Beh, gli ultimi chilometri sono sempre quelli più faticosi da percorrere. In questo caso è consigliabile dal punto di vista commerciale, anche se non obbligatoriamente, prendere in considerazione i tanti elementi che concorrono a definire il quadro, come l’appeal e la facilità d’uso dell’applicazione, e che spingono la discussione sulla cybersicurezza verso il suo ruolo ancillare.
Educare migliaia o milioni di consumatori non è né un processo realistico né una prassi con cui ci si possa confrontare. In questa prospettiva, l’organizzazione dovrebbe valutare come meglio raggiungere il singolo consumatore, fornendogli la propria “coperta di Linus per la cybersicurezza”. In molti casi, quando i livelli di rischio giustificano l’approccio, questa scelta può rappresentare un vantaggio competitivo se fatta e proposta correttamente.
La “cyber-resilienza” non è qualcosa che si può ottenere facilmente e non può nemmeno essere acquistata come un prodotto pronto all’uso. Si tratta di una caratteristica dell’organizzazione stessa, il risultato finale dell’investimento nella formazione, delle best practice e della tecnologia adottate in tutta l’azienda e nell’ecosistema dell’organizzazione. Solo la direzione e il senior management sono in grado di risolvere il problema, in modo cooperativo, in virtù della rilevanza e pervasività delle questioni che l’organizzazione deve affrontare.
È interessante notare che, nel bene e nel male, il cyberspazio assomiglia al vecchio Far West. Quindi, fate attenzione ai banditi ma anche a chi cerca di vendervi bottiglie di unguento che promettono effetti immediati e miracolosi!
