Il management deve smetterla di assumere rischi inutili

La cultura aziendale dell'assunzione dei rischi può portare ad un'autentica distruzione mondiale

L'assunzione di alcuni rischi è folle. La maggior parte dei finanziamenti concessi dalle banche sub-prime - che ha portato alla stretta sul credito prima e alla crisi finanziaria globale subito dopo - era diretta a persone che molto chiaramente non erano in grado di sostenere tali prestiti. Ma ancora oggi, quasi tutte le banche stanno perseverando nello stesso comportamento.

Più di recente, nessuno aveva previsto il lockdown e il fatto che azioni semplici quali andare a scuola o al lavoro, incontrare gli amici o andare in spiaggia potessero rivelarsi una minaccia per la vita propria o dei propri cari. Ma ora che abbiamo capito la situazione, tutto sembra ovvio.

La crisi finanziaria del 2008 e l'attuale crisi pandemica si sono rivelate entrambe fenomeni estremamente dannosi, le cui conseguenze sarebbero potute essere evitate - o quanto meno mitigate - semplicemente prestando maggiore attenzione ai rischi o dando prima ascolto ai gestori dei rischi finanziari e agli esperti sanitari.

La cultura aziendale trascura la valutazione dei rischi?

Il modo in cui siamo soliti gestire i rischi appare spesso illogico e imprevedibile. Abbiamo assistito a una migrazione di massa verso il lavoro da casa, cosa che ha di fatto spalancato le porte a nuovi possibili attacchi da parte di cyber criminali pronti ad approfittare della situazione. Ci si sarebbe aspettato che le organizzazioni si concentrassero sulla sicurezza delle proprie applicazioni cloud, ma quasi sempre impera la presunzione che siano i fornitori dei servizi cloud a doversi occupare della sicurezza, mentre in realtà è proprio l'errata configurazione di quei servizi a causare i più frequenti episodi di data breach.

Ovviamente nessuno lascerebbe mai la propria connessione cloud o il proprio laptop sprovvisto di una password o di altra forma di protezione, ma quasi sempre le organizzazioni lasciano che siano gli uffici acquisti a procurare i dispositivi IoT e altri oggetti di uso comune, quali le chiavi di memoria USB. La conseguenza piuttosto ovvia di ciò è che vengono scelti sempre i dispositivi più economici, scartando quelli che costerebbero un po' di più, ma offrirebbero vantaggi preziosi come la crittografia. Ad esempio, chiedetevi: l'ultima chiave di memoria USB che ho usato era protetta da crittografia o almeno da una password? Se la risposta è "no" allora urge avviare un controllo sulla sicurezza informatica.

La mancata preparazione alla gestione dei rischi non ha solo radici culturali – i rischi non vengono valutati adeguatamente da nessuno, partendo da chi scatta un selfie e finendo con chi dirige l'ufficio acquisti – ma è anche conseguenza del modo in cui opera l'organizzazione.

I tre punti chiave che vanno sempre considerati

C'è da sperare che le vicende che stiamo vivendo rendano tutti noi molto più attenti ai rischi. Il management deve cambiare il modo in cui è solito gestire e incentivare i propri team, assicurandosi che la loro attenzione sia sempre focalizzata su tutti e tre i punti chiave: ricavi, profitti E rischi. I responsabili dell'ufficio acquisti devono iniziare a valutare i rischi e comprendere che la decisione fra l'acquisto di un dispositivo leggermente più economico (i drive dotati di crittografia non costano in realtà tanto di più) o di un sistema più complesso e costoso va assunta valutando attentamente l'aspetto della sicurezza informatica.

Se la cultura orientata alla prevenzione del rischio portasse un quid in più negli acquisti dedicati alla sicurezza informatica - dai dispositivi sicuri dotati di crittografia ai più complessi sistemi multi-cloud - si attuerebbe un importante investimento e i CISO saprebbero di poter suonare l'allarme senza essere ignorati.

Urge un cambio culturale capace di fare la differenza

La nostra società non è mai stata così interconnessa e dipendente dalla tecnologia come lo è oggi e per questo motivo anche così vulnerabile - specialmente a causa di un panorama di minacce in costante evoluzione e cambiamento.

La classe dirigente è chiamata a cambiare i comportamenti di chi ha responsabilità direttive e di tutti coloro che si trovano alle loro dipendenze e questo tipo di cambiamento verso un maggiore apprezzamento del rischio deve avvenire dall'alto. È necessario che tutti i livelli - dal più alto al più basso - siano pervasi da una cultura di etica digitale (inclusa la sicurezza e la riservatezza dei dati). Le organizzazioni che adottano questa cultura ispirata all'etica digitale e maggiormente consapevole dei rischi non solo sono meno esposte alla possibilità di sperimentare un data breach, ma saprebbero certamente come agire nel caso se ne verificasse uno.