― La figura del responsabile della cyber security è di vitale importanza per le aziende. L'elaborazione di strategy mirate alla sicurezza aziendale non può essere improvvisata

Il gap di professionisti che si occupano di cyber security è un problema strettamente legato all’incessante evoluzione della compagine di rischi insiti ai progressi tecnologici ai quali è connessa la nostra società. Una società iper-connessa, infatti, non può che presentare minacce crescenti in tal senso e per le aziende, l’improvvisazione non è più un buon metodo di controllo.

Sicurezza cibernetica, un problema globale

Il progresso tecnologico, la pervasività di Internet, la sua onnipresenza nei nostri processi aziendali oltre che nella nostra vita personale, comporta rischi correlati elevati, che hanno come principale caratteristica il fatto di essere assai dinamici. Vale il principio per cui ciò che ieri rendeva sicura un’azienda, oggi non è detto che abbia la stessa efficacia.

Da simili osservazioni emerge un problema sistemico, legato alla fortissima carenza di professionisti nell’ambito della cyber security in grado di tutelare le aziende. Il problema è globale, con ripercussioni anche sulla percezione futura delle imprese.
La mancanza di competenze in sicurezza informatica rende le imprese più vulnerabili ed il gap che le maggiori società di analisi hanno previsto entro il 2022 coinvolgerà la mancanza di 1,8 milioni di professionisti.

Ne emerge che la difficoltà di reperire figure esperte di sicurezza cibernetica rende improbabile l’elaborazione di strategie sensate, in grado di porre al riparo la sicurezza aziendale. Inoltre, data l’enorme complessità e volubilità degli attacchi, la gestione della cyber security diventa difficile anche per chi ha grande esperienza, non solo per le aziende che non hanno particolari competenze in tal senso.
Per i non esperti, il problema tende ad ingigantirsi. Chi non ha infatti cultura e capacità specifiche tende a prediligere approcci superficiali, dispendiosi, finendo il più delle volte ad abbassare la posizione di sicurezza dell’azienda.

Aziende in balia dell’approssimazione

La più grande difficoltà nel reperire esperti di cyber security risiede nella complessità da parte dei recruiter di riconoscere e valorizzare queste figure nei ruoli chiave dell’azienda. Spesso nelle imprese, la sicurezza cibernetica viene affidata con dinamiche politiche o a persone che hanno sempre rivestito ruoli operativi, a manager che non hanno competenze nel dominio cyber ma che magari hanno indiscusse abilità in altri settori dell’IT.

La conseguenza logica è un’altissima probabilità di fallimento, dovuta soprattutto ad una concentrazione sugli effetti e non sulle cause, all’errata convinzione che la cyber security sia un problema tecnologico da risolvere solo con le tecnologie.
Di fatto, una guerra – cibernetica – si vince con le strategie più che con le armi, ponendosi prima di tutto il problema fondamentale della gestione del rischio, adottando dinamiche che misurano i processi, i ruoli chiari, le aree di miglioramento.
Se non si è capaci di avere una visione strategica, non è possibile elaborare piani strategici: ci si affida a soluzioni tecnologiche che si spera possano risolvere tutti i problemi. Ci si occupa del day by day senza implementare strategie di lungo termine che possano ottimizzare la posizione di sicurezza aziendale a scapito della crescita del business.

Cosa fa, invece, un esperto di cyber security?

Un esperto di sicurezza cibernetica dovrebbe parlare la lingua del board e rigirare il problema della cyber security in termini di rischio di business. Trasferire la percezione del rischio al Top Management è fondamentale per ottenere attenzione, ma anche budget e risorse. Se questo non succede, il board non comprende né la necessità di investire in cyber security né tanto meno l’impellenza di appoggiarsi a risorse di comprovata competenza in materia. Ecco perché, chi opta per una gestione della sicurezza cibernetica escludendo la leadership è destinato a gestire solo le crisi, con tutte le drastiche conseguenze del caso.