Dalla paper compliance alla paper security: i rischi dell’approccio 'burocratico' alla sicurezza
Il fatto che senza cybersecurity non può esserci né privacy né conformità al GDPR è indubbio, così come lo è l’esigenza di creare gruppi di lavoro e di progetto comuni. Perché vi sia reciproca contaminazione, e uniformità nel metodo dato che le sorti di gestione degli adempimenti privacy e della sicurezza informatica sono strettamente legate.
Questi destini incrociati richiedono però di fare particolare attenzione nell’evitare che un erroneo approccio “burocratico” e poco sostanziale alla compliance vada a generare per imitazione un altrettanto se non ben peggiore approccio alla gestione della sicurezza informatica. Il motivo è semplice: quel peccato originale della paper compliance di illudersi (o voler convincere) che qualche carta ben scritta possa sostituire un sistema di gestione si può facilmente propagare in ambiti ben più dinamici come la sicurezza informatica, sfociando nella paper security.
Rispetto ai rischi correlati all’adempimento delle normative cogenti, c’è infatti una fondamentale differenza di magnitudo degli impatti e delle conseguenze negative. Se una non conformità rispetto ad una norma di carattere volontario o obbligatorio può anche essere di poco peso e far incorrere, ad esempio, in conseguenze minori con rischi legali limitati, ogni vulnerabilità irrisolta ha il potenziale di aprire le porte a scenari disastrosi e un effetto domino.
Bisogna ricordare infatti che ogni cybercriminale che pianifica un attacco ben poco attenziona l’accortezza dei termini impiegati e della cura delle annotazioni con cui è stata scritta una relazione. Si limita ad analizzare la superficie d’attacco e i suoi punti deboli, senza farsi intimidire da un’interlinea o margini ben impostati, schemi o acrobazie che illustrano le allucinazioni di una sicurezza che non esiste. Lo stato dell’arte bada più alla sostanza che ai migliori criteri redazionali.
Certamente, l’opera di rendicontazione è importante ma deve per l’appunto essere un riportare ciò che si fa e non far intendere qualcosa di più ed essere parte di un sistema. Altrimenti, è non solo illusoria ma anche significativamente controproducente.
Ad oggi non risulta alcuna comprovata evidenza circa l’efficacia dei desiderata. Sono presenti invece esperienze di segno opposto, dal momento che se cadiamo nell’errata convinzione di credere a ciò che vorremmo che fosse anziché analizzare ciò che è, sovrastimiamo la nostra sicurezza o sottostimiamo le minacce. In entrambi i casi, si inibisce tanto la capacità di analizzare i rischi quanto la tendenza al miglioramento continuo con tutte le conseguenze del caso.
E il sonno tanto della ragione e di un approccio sostanziale va a generare vere e proprie mostruosità il cui conto verrà pagato in prima battuta dagli interessati i cui dati personali e diritti saranno prevedibilmente violati.Dopodiché, saranno le organizzazioni a dover rispondere per non aver provveduto ad un’adeguata gestione della sicurezza e che potrebbero trovarsi non solo a doverne fronteggiare le conseguenze sanzionatorie o risarcitorie, ma anche tutti gli impatti più immediati e diretti che possono compromettere tanto il proprio business quanto la capacità di continuare ad operare nel mercato.