“Il Chief Information Security Officer si scopre responsabile oltre che del Rischio Sicurezza (Security), in una It con problemi in fondo solo difensivi, anche di un Rischio Protezione (Safety) e Qualità di esecuzione, in una Operational technology e in un’Internet of Things strettamente connesse con le app aziendali”, ha dichiarato Peter Sondergaard Senior Vp e Head of Research, Gartner nella keynote di apertura dello scorso Symposium di Barcellona. Con un impatto dunque sul mondo fisico e un intuibile più alto livello di responsabilità, per via di implicazioni etiche e legali di portata difficile se non impossibile da quantificare a priori.
Per approfondire il tema dei “Nuovi Rischi da Business Digitale”, ZeroUno ha incontrato Richard Hunter, Vp & Fellow Gartner, coautore con G. Westerman di “The Real Business of It”, Harvard Business Press, 10/2009.
“Non deve stupire che ad ogni disruption, con l’allargarsi del focus e delle entità in gioco, crescano, con i risultati, anche i rischi”, dice Hunter. Quantitativamente: con il digital business basato sugli oggetti intelligenti, le reti di cose dell’IoT, dove rispondere al fine ultimo di soddisfare l’utente finale in tempo reale, sono intercomunicanti e come tali sterminate; incombe quindi il potenziale di malfunzionamenti a cascata di sistemi su una scala mai vista prima. Qualitativamente: nel digital business le smart machine agiscono indipendentemente, con una vasta gamma di decisioni che ciascuna macchina può prendere. “Si entra in una fase di rischio di tipo nuovo, etico e di conseguenza legale. Fra quali due ostacoli diventati inevitabili deve scegliere un’auto driverless? A quale, tra due obiettivi, deve sparare un robocop?”, si e ci chiede Hunter, che aggiunge: “Ogni macchina con capacità decisionale agisce con riferimento esplicito o implicito a un ‘sistema di valori’ (ossia gli algoritmi che le fanno agire) che universali non sono, anzi talora sono in conflitto. Insomma, i nuovi rischi del digital business sono non sono solo grandi, ma di nuovo genere”.
Consapevolezza, il primo fattore per garantire la security
Come in tutte le condizioni affette da un rischio, il primo fattore di protezione è la consapevolezza.
La consapevolezza dei Ceo c’è: il 77% è fortemente consapevole di un rischio nuovo e di più alto livello (Ceo Survey Gartner e Fortune 2015, figura 1). Ma c’è minor sensibilità (65%) alla necessità di controllare e gestire il rischio, e una più forte (83%) importanza percepita dell’agilità nell’affrontarlo, cioè di una adeguata resilienza aziendale. La prima preoccupazione del Ceo è di “non perdere il treno” (agilità e resilienza nell’agganciare o riagganciare l’operatività); solo in seconda battuta al Ceo importa “che il treno non deragli” cioè il controllo e la gestione utili a tal fine, che il Cio vorrebbe.
La consapevolezza “di chi opera davanti a uno schermo” c’è invece in misura minore. Hunter mostra (figura 2) alcuni degli exploit [un codice che, sfruttando un bug o una vulnerabilità, porta all’esecuzione di codice non previsto , ndr] dell’ultimo biennio: “Non certo gli unici, solo quelli di maggior impatto. Tutti sono riconducibili a carenza di consapevolezza di un operatore digitale che con un clic di troppo ha abboccato a un phishing”.
Con tutto ciò, ammette Hunter, finché non subentrerà per il business digitale una sostanziale ri-architettura pensata per accessi globali alle risorse It dell’azienda, le stesse tecnologie attuali sono “fondamentalmente vulnerabili”. Bisogna cioè convivere con “persistenti minacce sistemiche da attività maligne”, afferma il ricercatore.
Il messaggio di Gartner ai Ciso, andar oltre al risk management basato su compliance
Dunque il messaggio da Gartner ai Ciso è che l’attuale approccio al Risk Management basato su Compliance alle Normative diventa insufficiente. Lo standard emergente per il digital business è la resilienza, la capacità di riprendersi agilmente dopo inattesi eventi avversi, come chiede il Ceo. “Ognuno dei brand vittima di exploit era di certo compliant, ma è stato tutt’altro che resiliente, capace di riprendersi in fretta. Ovviamente la barra della resilienza è più alta e costosa di quella della compliance: il Chief information security officer si può attendere una spesa per Security e Safety raddoppiata “entro il quinquennio e non oltre il decennio”, precisa Hunter.
Quali i doveri del nuovo Chief information security officer
Concludiamo con un auspicio pragmatico di Martin Whitworth, Senior Analyst, Security & Risk, Forrester, intervistato da ZeroUno.
La constatazione di partenza è il dilagare continuo di innovazione e cambiamento tipico del digital business, in cui il cambiamento non si ferma. “Il Ciso e i suoi professional non possono più permettersi il lusso di controllare l’accesso e manipolare i dati aziendali usando regole predefinite. Serve invece al Ciso una mentalità direttamente business nel garantire la sicurezza, con un approccio basato sulla moderazione e il controllo del rischio di business”, spiega Whitworth. Ecco almeno quattro motivi.
- In primo luogo l’innovazione accresce le aspettative dei clienti in contesti rischiosi sempre nuovi: il social network, i servizi di personal cloud, i wearable: ogni volta c’è l’implicita pretesa del cliente di privacy e sicurezza “incorporate” .
- Secondo, il digital business attira l’interesse della criminalità digitalmente organizzata che vede opportunità nelle disruption digitali come i servizi di “sharing economy” o di moneta elettronica e crypto-currency.
- Terzo, le decisioni intelligenti e contestuali delle “cose” con il loro impatto crescente sul mondo reale (basta pensare a smart meter, telemonitoring medico, auto driverless e così via) impegneranno il Ciso, il suo team e/o eventuali partner con expertise volta a volta business, legale, data management a garantire privacy, security e safety.
- Quarto, nel futuro del Ciso c’è la responsabilità di “avvocato della Privacy del Cliente”, come definisce la nuova Direttiva Ue sulla Data Privacy, con regole vincolanti per le Corporation (riportare violazioni entro le 24 ore, multe fino al 5% del giro d’affari, responsabilità per le azioni intraprese dai propri elaboratori): il Ciso è in posizione ideale per guidare marketing, sales e customer service a usare i dati del cliente senza violarne la fiducia (e oltretutto, così facendo, magari perderla).
Il nuovo Ciso dovrà prendere quindi decisioni anche strategiche e di business. Per le quali dovrà contare, a paetrire dalla propria competenza o per certe expertise dal suo team, su una serie di talenti e competenze caratteristiche: dalla Leadership, al Business Risk Management, alla Expertise Legale, di Sicurezza e Tecnologica.