Come un pendolo che oscilla fra roboanti allarmismi e totale inerzia. Ecco come si può descrivere la reazione delle organizzazioni alle prese con gli scenari della cyberwar. Se poi ci si trova innanzi l’avvertimento del CSIRT, di certo le conseguenze possono consistere in comportamenti di segno diametralmente opposto: trascuratezza o panico. Entrambi gli estremi sono accomunati dall’essere decisamente poco coerenti con una corretta gestione della sicurezza delle informazioni e della cybersecurity.
Dalla trascuratezza nascono gran parte di quelle vulnerabilità che possono essere risolte con interventi – invero tutt’altro che di facile attuazione concreta – rivolti all’innalzamento del generale livello di consapevolezza/awareness. Spesso la mancanza di consapevolezza si traduce su un piano gestionale nell’assenza o la riduzione ad un mero formalismo delle fasi di pianificazione e controllo, fondamentali per qualunque processo di miglioramento continuo. Soprattutto nel campo della sicurezza informatica, un approccio efficace non può mai consistere nella predisposizione di uno o più interventi una tantum, privi di alcuna valutazione sia preventiva che successiva.
L’azione mossa dal timor panico è spesso foriera di pessimi consigli, in quanto se il pericolo sovrastimato diventa di tale portata da essere (erroneamente) valutato come inevitabile, allora qualsiasi misura di mitigazione sarà ritenuta essere sempre insufficiente e pertanto comporterà due scenari probabili. Un primo, in cui si opterà per trasferire le energie dalla predisposizione di misure ex ante (e dunque: preventive) a quella di previsione di misure ex post, più mosse da una volontà di fuga dalla responsabilità che da intenti rimediali o di contenimento degli impatti negativi. Un secondo, in cui inizialmente si predisporranno misure sovradimensionate rispetto ai fabbisogni di cybersecurity e che man mano saranno progressivamente abbandonate fino a precipitare “sotto soglia” rispetto ad un rischio accettabile. Anzi: il più delle volte questo precipitare tortuoso conduce all’abbandono di un approccio risk-based e dunque il primo cedimento del sistema si attua nella mancata attività di analisi (e successivo riesame) del rischio.
Tutti i piani di mitigazione devono pertanto essere ricondotti ad un’azione di identificazione, analisi e valutazione dei rischi. Per concludere: ben venga anche recitare la Litania Bene Gesserit contro la paura, ma la misura deve rispondere ad un processo determinato, coerente e che soprattutto tenga conto del contesto tanto esterno quanto interno dell’organizzazione. Le uniche scelte inaccettabili sono quelle derivanti dal dogmatismo o dall’inazione, dal momento che l’attuale cambio di contesto derivante dalla cyberwar è talmente macroscopico che non può essere trascurato.
