Businessman che protegge le informazioni personali su un'interfaccia virtuale
Il management deve smetterla di assumere rischi inutili

#KingstonCognate presenta Bill Mew

Immagine di Bill Mew

Bill Mew è un opinion leader di primo piano, oltre ad essere un imprenditore e un promotore dell'etica digitale.

In qualità di opinion leader, Bill si occupa principalmente dell'individuazione dell'equilibrio ideale tra la "protezione efficace" - settore nel quale viene considerato il più importante influencer al mondo per tutto ciò che attiene alla riservatezza dei dati - e "l'ottimizzazione del valore sociale ed economico" - altro settore in cui è considerato fra i massimi influencer per tutto ciò che attiene a tematiche quali la cybersecurity e la digital transformation verso il GovTech e le smart city. È spesso ospite in trasmissioni televisive e radiofoniche (BBC, RT, ecc.) come esperto di queste tematiche - e può sicuramente vantare il maggior numero di ore in onda di qualsiasi altro esperto del settore nel Regno Unito.

Come imprenditore, Bill ha fondato ed è tuttora CEO di CrisisTeam.co.uk, realtà in cui collabora con un élite di esperti in tecniche di reazione agli incidenti, normative informatiche, gestione della reputazione e influenza sociale che aiutano a ridurre le conseguenze derivanti dagli attacchi informatici.

La cultura aziendale dell'assunzione dei rischi può portare ad un'autentica distruzione mondiale

Dirigenti aziendali che lavorano con un grande tablet video

L'assunzione di alcuni rischi è folle. La maggior parte dei finanziamenti concessi dalle banche sub-prime - che ha portato alla stretta sul credito prima e alla crisi finanziaria globale subito dopo - era diretta a persone che molto chiaramente non erano in grado di sostenere tali prestiti. Ma ancora oggi, quasi tutte le banche stanno perseverando nello stesso comportamento.

Più di recente, nessuno aveva previsto il lockdown e il fatto che azioni semplici quali andare a scuola o al lavoro, incontrare gli amici o andare in spiaggia potessero rivelarsi una minaccia per la vita propria o dei propri cari. Ma ora che abbiamo capito la situazione, tutto sembra ovvio.

La crisi finanziaria del 2008 e l'attuale crisi pandemica si sono rivelate entrambe fenomeni estremamente dannosi, le cui conseguenze sarebbero potute essere evitate - o quanto meno mitigate - semplicemente prestando maggiore attenzione ai rischi o dando prima ascolto ai gestori dei rischi finanziari e agli esperti sanitari.

Giovane businessman che mostra la parola: Risk management

La cultura aziendale trascura la valutazione dei rischi?

Il modo in cui siamo soliti gestire i rischi appare spesso illogico e imprevedibile. Abbiamo assistito a una migrazione di massa verso il lavoro da casa, cosa che ha di fatto spalancato le porte a nuovi possibili attacchi da parte di cyber criminali pronti ad approfittare della situazione. Ci si sarebbe aspettato che le organizzazioni si concentrassero sulla sicurezza delle proprie applicazioni cloud, ma quasi sempre impera la presunzione che siano i fornitori dei servizi cloud a doversi occupare della sicurezza, mentre in realtà è proprio l'errata configurazione di quei servizi a causare i più frequenti episodi di data breach.

Ovviamente nessuno lascerebbe mai la propria connessione cloud o il proprio laptop sprovvisto di una password o di altra forma di protezione, ma quasi sempre le organizzazioni lasciano che siano gli uffici acquisti a procurare i dispositivi IoT e altri oggetti di uso comune, quali le chiavi di memoria USB. La conseguenza piuttosto ovvia di ciò è che vengono scelti sempre i dispositivi più economici, scartando quelli che costerebbero un po' di più, ma offrirebbero vantaggi preziosi come la crittografia. Ad esempio, chiedetevi: l'ultima chiave di memoria USB che ho usato era protetta da crittografia o almeno da una password? Se la risposta è "no" allora urge avviare un controllo sulla sicurezza informatica.

La mancata preparazione alla gestione dei rischi non ha solo radici culturali – i rischi non vengono valutati adeguatamente da nessuno, partendo da chi scatta un selfie e finendo con chi dirige l'ufficio acquisti – ma è anche conseguenza del modo in cui opera l'organizzazione.

Chi è responsabile dei rischi informatici?

Protezione dei dati e sicurezza informatica sull'interfaccia virtuale

Le banche non hanno potuto riconoscere in tempo il rischio finanziario perché sono solite misurare le loro prestazioni esclusivamente in termini di ricavi e profitto. In quasi tutte le aziende, tutti i dipartimenti vengono valutati e premiati in base al rapporto tra ricavi e profitti. Parliamo del celebre valore del ritorno sull'investimento, noto come ROI. Fin quando sarà questo a guidare e a incentivare individui e imprese, non potrà mai esservi una stima efficace dei rischi.

L'unico senior manager che prescinde dal ROI concentrandosi piuttosto sul ROR (Return On Risk) è il CISO*. Basandosi sul budget e sulla propensione al rischio da parte dell'impresa, il CISO fa del suo meglio per mitigare i rischi informatici e i connessi attacchi. Sfortunatamente, adottando una prospettiva contraria a quella del resto del team dirigente, il CISO si trova spesso ad essere isolato (situazione che sono solito definire "CISOlation") e talvolta usato come capro espiatorio, anche quando l'uso scorretto dei dati è conseguente ad azioni decise dal CMO** o quando la violazione della sicurezza si è verificata proprio a causa di azioni decise dal CIO***, con buona pace delle raccomandazioni contrarie del CISO, puntualmente ignorate.

È come se tutti i membri della dirigenza guardassero un televisore che mostra solo due dei tre colori del fascio cromatico - ricavi e profitti. I dirigenti potranno sicuramente avere un'idea di ciò che sta accadendo all'azienda, ma non possono coglierne i dettagli. Quando poi si presenta un rischio serio, rappresentato dal colore mancate, questo risulta visibile solo agli occhi del CISO e non anche a quelli degli altri, con la conseguenza che se i suoi avvertimenti vengono ignorati, è inevitabile che si arrivi alla catastrofe.

I tre punti chiave che vanno sempre considerati

C'è da sperare che le vicende che stiamo vivendo rendano tutti noi molto più attenti ai rischi. Il management deve cambiare il modo in cui è solito gestire e incentivare i propri team, assicurandosi che la loro attenzione sia sempre focalizzata su tutti e tre i punti chiave: ricavi, profitti E rischi. I responsabili dell'ufficio acquisti devono iniziare a valutare i rischi e comprendere che la decisione fra l'acquisto di un dispositivo leggermente più economico (i drive dotati di crittografia non costano in realtà tanto di più) o di un sistema più complesso e costoso va assunta valutando attentamente l'aspetto della sicurezza informatica.

Se la cultura orientata alla prevenzione del rischio portasse un quid in più negli acquisti dedicati alla sicurezza informatica - dai dispositivi sicuri dotati di crittografia ai più complessi sistemi multi-cloud - si attuerebbe un importante investimento e i CISO saprebbero di poter suonare l'allarme senza essere ignorati.

Colleghi che si incontrano per discutere dei propri piani finanziari

Urge un cambio culturale capace di fare la differenza

La nostra società non è mai stata così interconnessa e dipendente dalla tecnologia come lo è oggi e per questo motivo anche così vulnerabile - specialmente a causa di un panorama di minacce in costante evoluzione e cambiamento.

La classe dirigente è chiamata a cambiare i comportamenti di chi ha responsabilità direttive e di tutti coloro che si trovano alle loro dipendenze e questo tipo di cambiamento verso un maggiore apprezzamento del rischio deve avvenire dall'alto. È necessario che tutti i livelli - dal più alto al più basso - siano pervasi da una cultura di etica digitale (inclusa la sicurezza e la riservatezza dei dati). Le organizzazioni che adottano questa cultura ispirata all'etica digitale e maggiormente consapevole dei rischi non solo sono meno esposte alla possibilità di sperimentare un data breach, ma saprebbero certamente come agire nel caso se ne verificasse uno.

Siamo circondati da incentivi che spingono in questa direzione

Primo piano di un elenco di cose da fare con il segno di spunta

Se le multe previste dal GDPR, la sanzione normativa della decadenza dal potere di gestire i dati, i danni da risarcire e i danni di immagine non bastassero ad invogliarci a non agire in modo sbagliato, va ricordato che esiste anche una vera e propria ricompensa per chi agisce nel modo corretto. Infatti, i consumatori e gli investitori, mentre abbandonano i brand che si macchiano dell'onta della vulnerabilità agli attacchi informatici o del mancato rispetto della privacy, allo stesso tempo si mostrano anche sempre più disposti a pagare qualcosa in più per servirsi di brand affidabili, che diano prova di aver abbracciato un'etica digitale.

I clienti in qualsiasi settore, non solo quello tecnologico, stanno diventando sempre più attenti ed esigenti. Uno studio condotto su ciò che si aspettano dalle imprese, oltre che dalle amministrazioni, ha rilevato che la sicurezza e la riservatezza dei dati ha sorpassato anche la diversità e la sostenibilità dei prodotti/servizi. Infatti, sicurezza e riservatezza sono oramai diventati due aspetti a cui i consumatori vogliono che le aziende dedichino la massima importanza, dimostrandosi implacabili quando ciò non avviene. Ecco perché fare le cose per bene paga davvero!

#KingstonIsWithYou

Chiedi a un esperto

Kingston può offrirti un'opinione indipendente sulla configurazione che stai attualmente utilizzando, per poter essere sicuro che sia adatta alla tua organizzazione.

SSD con crittografia automatica

Possiamo esaminare con voi i vantaggi che i drive SSD potrebbero offrire al vostro specifico ambiente di storage. Inoltre, saremo lieti di consigliarvi la tipologia di SSD più adatta a supportare i collegamenti da remoto del vostro personale e garantire la massima sicurezza di questa modalità di lavoro.

Chieda a un esperta SSD

Drive USB crittografati

I nostri esperti sapranno illustrarvi nel dettaglio i vantaggi che i drive USB dotati di funzionalità di crittografia potrebbero offrire alla vostra organizzazione, aiutandovi a individuare il modello di drive più adatto alle vostre specifiche esigenze.

Chieda a un esperta USB

Ulteriori informazioni sulla gamma di soluzioni di storage con crittografia di Kingston

Articoli correlati