Finché si parla di sicurezza IT, tutto è terribilmente affascinante. Quasi seducente. La doccia fredda di realtà arriva nel momento in cui si transita dal perché fare qualcosa al come. Anzi, per essere più precisi, al quanto mi costa? che si pone come domanda portata con un tono a metà fra l’intimidatorio e il suggestivo.

E questo, di solito, preannuncia quello che si scosta di molto dal lieto fine dei desiderata. E fa sfumare ogni idea di budget fantastico, o lo riconduce al novero delle fantasie irrealizzabili.

Fra il dire e il fare sicurezza c’è, infatti, di mezzo un’allocazione di budget che, gioco forza, prevede alcune decisioni strategiche. Le quali, salvo aver sbloccato qualche cheat code, comportano delle rinunce in altri campi e potrebbero far emergere alcuni conflitti all’interno dell’organizzazione.

Motivo per cui le richieste avanzate da parte dell’ufficio IT o del CISO devono tenere conto di priorità, urgenze ma soprattutto di una visione concreta.

Tenendo conto anche del fatto che una volta trovato il budget questo deve realizzare un apporto concreto in termini di aumento della sicurezza, altrimenti – eufemisticamente parlando – non verrà rinnovato.

Benefici reali o percepiti?

Il diavolo risiede in quel beneficio concreto che dev’essere tanto reale quanto percepito.

Ma quando si parla di attacchi o disastri sventati diventa difficile rendere questo dato facilmente apprensibile per chi deve stanziare risorse.

Un po’ come la questione della temperatura reale e percepita, insomma. Anche perché non si parla solamente di risorse economico-finanziarie, ma anche di un impegno sia a livello di governance sia sul piano operativo.

Motivo per cui bisogna essere chiari nel comunicare costi e benefici soprattutto nelle attività di prevenzione degli attacchi, le quali possono migliorare anche la capacità di reazione ma richiedono ragionamenti complessi e in termini di rischi.

Che devono essere comunicati in modo corretto ed integrati all’interno delle strategie cyber dell’organizzazione per evitare di cadere nella trappola di preferire i costi nascosti ai costi emergenti, come quelli derivanti dal debito tecnologico che rivela un emblematico conflitto strutturale fra innovazione e sicurezza.

La sicurezza cyber non aumenta con budget fantastici negli intenti o negli annunci, ma con investimenti rilevanti, misurabili, apprezzabili.

Altrimenti, i benefici più che fantastici saranno fantasiosi.