Per farsi le giuste domande bisogna comprendere i trend del periodo che viviamo. Un esempio sotto gli occhi di tutti è il cambiamento climatico: si tratta di un megatrend che ha amplificato l’attenzione sui grandi incendi anche se già prima si verificavano. Analogamente, la trasformazione digitale è un megatrend, che a sua volta moltiplica i rischi.

Con questo parallelo Rohit Ghai, Presidente di Rsa, ha aperto la sua presentazione al Cybertech Europe 2019 di Roma.

Rohit Ghai, Presidente di Rsa.

Rohit Ghai, Presidente di Rsa.

Comprendere i trend ed individuare le azioni necessarie è un compito possibile, se affrontato però con la collaborazione di tutti. Fortunatamente “oggi, il livello di consapevolezza è al suo massimo storico, spinto da business leader, politici e organismi di policy e standard”, spiega il presidente di RSA. Anche i dipendenti devono passare da employed a empowered, da impiegati a esperti.

Le norme, in questo scenario, risultano essere essenziali e nell’era digitale l’aderenza alle norme è un processo sempre in itinere, secondo il “continuous compliance model” evocato da Ghai.

Il digitale aumenta o accelera tutto ciò che lo riguarda. Questo paradigma aumenta le possibilità, ma altrettanto succede ai rischi correlati: quelli esistenti vengono accelerati, mentre alcuni di nuovo tipo vengono generati. Per rendersi conto della portata dei nuovi rischi, basta pensare a quella parte di IoT che manovra attuatori e a cosa succederebbe in caso di un loro cattivo uso.

Riformulare i perché

Grazie all’attuale livello di consapevolezza è arrivato il momento di cambiare le vecchie domande, di riformularne di nuove. Parlando di sicurezza, se l’obiettivo fosse evitare qualsiasi attacco, il compito sarebbe irraggiungibile: oggi possiamo dirlo. Ma è chiaro che l’obiettivo è un altro: “minimizzare l’impatto delle minacce sul business”, ci ha detto Ghai, precisando il suo punto di vista.

È quindi arrivato il momento di parlare di digital risk management. “Il nostro lavoro è generare fiducia e la formula dice che la fiducia è data dal valore diviso il rischio”. Bisogna trovare un compromesso tra valore e rischio, “ma non cancellare il rischio, perché senza non c’è progresso”.

Gli attacchi che subiamo sono in numero tale che non possiamo seguirli integralmente, perché i security team leader sono subissati da richieste. Per migliorare l’agilità sul business la situazione va considerata statisticamente, introducendo tecniche DevOps e tenendo sotto controllo i punti a rischio di questo approccio.

Non promettere la panacea per tutti i mali equivale a chiedere fiducia, il trust per dirla all’inglese. Anche su questo punto bisogna trovare il giusto mezzo. “La fiducia non è in bianco e nero”: il fornitore non deve promettere troppo, il cliente deve fare la sua parte e non si potranno fermare tutti i casi di violazione. E la parte alta del rischio sarà affidata a pratiche di cyber insurance, “uno dei tool del futuro”.