Nel magnifico mondo della PDF security – cui invero si aggiunge anche quello della .ppt security, fatta di scintillanti diapositive e basta – il rischio è solo quello di qui ed ora o che ci consente di vendere facilmente una o più soluzioni.

Soluzioni che fondamentalmente alimentano il mito dell’invulnerabilità e il raccontarsi una favola confortante in cui la nostra postura di cyber security è perfetta, mai perfettibile, ma soprattutto senza neanche una vaga possibilità di scenari in cui uno o più talloni sono esposti.

Con buona pace delle valutazioni oggettive, superate con tanto d’invasione dell’altra corsia da una valutazione eminentemente soggettiva e alimentata a bias, con tanto di sgommata e parcheggio in doppia fila.

Di sicuro, non serve scomodare Comfortably Numb e David Gilmour. Ma lo facciamo comunque. Perché quel che si realizza è un vero e proprio intorpidimento di quei ragionamenti che sono necessari per realizzare quella sicurezza cyber che, oltre ad essere indicata come obiettivo da alcune norme (es. GDPR, DORA, NIS 2) è e rimane un fattore di sopravvivenza dell’organizzazione in quell’ampio mondo che poco si cura delle illusioni ed è particolarmente attento a sfruttare ogni vulnerabilità.

Figurarsi poi quelle consolidate grazie all’erronea convinzione di essere al sicuro e di non voler prevedere alcun tipo di rischio emergente.

Non una scommessa, ma progettazione

Certamente, quello della previsione in ambito di sicurezza cyber è un ambito che potrebbe condurre ad alcuni eccessi creativi, portando alle pericolose deviazioni verso il mondo degli indovini, dei maghi e degli aruspici.

Ma così non è, dal momento che gli osservatori riportano continuamente l’evoluzione dei trend delle minacce e il calcolo dei rischi è il frutto di un processo di analisi e valutazione che tiene conto anche di una linea temporale e dei cambi di contesto.

Basti pensare all’impatto che ha avuto l’AI nella resilienza digitale e l’esigenza di una governane adattiva, elementi quanto mai rilevanti negli ecosistemi finanziari regolati dal DORA. Evolviti o soccombi è il paradigma del darwinismo digitale, motivo per cui le organizzazioni devono essere in grado di affrontare un continuo processo di adattamento per consolidare la propria sicurezza.

Ma tutto questo è e rimane responsabilità del management, in quanto incide in maniera rilevante sulle scelte strategiche.

Quale che sia il futuro, non viene chiesto infatti di indovinarlo né tantomeno ritenerlo intriso dell’aleatorietà propria della scommessa.

Tant’è che il buon vecchio Deming ha inteso inserire nel proprio ciclo una fase Plan e non Gambling.

E chi siamo noi per contraddirlo?