Information security e compliance: quanto e perché sono importanti per i cittadini

Fare impresa significa rischiare. Ogni organizzazione ha il proprio risk appetite, la propria propensione al rischio, la propria voglia di rischiare un po’ di più o un po’ di meno.

“Il risk appetite relativo alla compliance si assume sia zero”. Così direbbero le best practice. Best practice nella realtà troppo spesso disattese.

Nelle imprese private il risk appetite si può valorizzare economicamente; tenendo poi conto della propensione al rischio dell’imprenditore o degli investitori alcuni decidono di non rispettare del tutto o in parte quale legge dello stato o best practice di riferimento, al fine di massimizzare il profitto. Su quale tipo di organizzazione, processo, strumenti investire.

Lo scenario è sempre più chiaro: il valore in costante crescita, esponenziale, delle informazioni che ci riguardano, la domanda di mercato di informazioni qualificate in grandi quantità è in continuo aumento, anch’esso esponenziale. La criminalità organizzata è sempre più e meglio organizzata per monetizzare i dati rubati tramite truffe o vendita ad altri attori interessati a tali informazioni. Mettendo a rischio l’incolumità digitale, creditizia, finanziaria, reputazionale, a volte perfino fisica, dei cittadini tutti.

Per questa ragione scegliere come e quanto proteggere sé e gli altri diventa una scelta strategica e fondamentale per la società civile, che non può e non deve essere di esclusiva competenza di esperti di cyber security e tecnici informatici o “responsabili del piano finanziario”. Una scelta doverosa che deve essere il frutto del lavoro congiunto di tutti gli attori coinvolti all’interno dell’organizzazione.

Indipendentemente da qualsiasi considerazione etica o morale in proposito alla scelta di non rispettare una legge per ragioni economiche, questo scenario diventa particolarmente inquietante se proiettato sulla pubblica amministrazione. Se l’impresa privata si deve rapportare con il mercato, e certe sanzioni o incidenti possono creare danni reputazionali e far perdere market share, fatturato, ecc… una PA che spesso offre un servizio “monopolistico” di stato, come deve affrontare il problema reputazione? Di certo l’anagrafe di un Comune non perderà mai alcun “cliente”. Un comune che perda i “dati dei cittadini” che danno economico subisce? Che danno in generale? I cittadini, che danno subiscono?

Una private company, indipendentemente dalle mirabolanti dichiarazioni presenti sulle brochure, in ultima analisi deve essere performante, produttiva, economicamente redditizia. Deve! Un investimento eccessivo in information security e in compliance potrebbe far perdere competitività o assottigliare gli utili. Quindi al fine di bilanciare investimenti in euro e persone sceglie la sua strategia di adeguamento e cyber security.

Quale è e quale deve la missione di una Pubblica Amministrazione? È da considerarsi, soprattutto di questi tempi, più importante un utilizzo oculato del denaro mettendo a rischio l’incolumità digitale dei cittadini o un oneroso investimento in cybersecurity e compliance a tutela della società civile tutta?

Esistono per fortuna molte aziende virtuose: hanno saputo identificare gli adeguamenti importanti, importanti per la tutela del proprio business, importanti per poter essere un attore responsabile di mercato visto, soprattutto visto il proprio ruolo, spesso primario e di riferimento. Hanno investito del denaro, consci che non si trattava di un mero “appesantimento burocratico, cartaceo e tecnologico” di alcuni processi aziendali, ma di una strategia tesa a garantire tutela, qualità, uniformità nel tempo e verificabilità di molti processi strategici per l’organizzazione e per tutti gli stakeholder. Questo è probabilmente il passaggio culturale a cui siamo chiamati tutti: avere più organizzazioni con questa consapevolezza e visione. In qualsiasi mercato.

Molte Pubbliche Amministrazioni, soprattutto quelle Centrali, hanno compreso l’importanza della tutela delle informazioni e del come molte leggi siano in ultima analisi mirate a garantire questo tema. Di conseguenza hanno fatto un piano di investimenti adeguati integrando le esigenze di cyber security e quelle di compliance.

Molte altre Amministrazioni hanno compreso il problema, ma sono in oggettiva difficoltà a reperire i fondi necessari per questi progetti, dovendo spesso destinare il poco denaro disponibile ad altri temi che oggi hanno maggior priorità.

Troppe Amministrazioni, purtroppo, considerano invece alcuni temi, come ad esempio quello della data protection e della cyber security, una mera “ulteriore rottura di scatole” a cui dedicare la minor quantità possibile di tempo e denaro. Mettendo a rischio l’incolumità digitale (e non solo) di molti, troppi cittadini.

La certezza è che gli incidenti che riguardano le informazioni di clienti e cittadini sono in continuo aumento, come evidenziato da anni da Clusit nel suo Rapporto annuale sulla sicurezza informatica in Italia.

Il costante aumento del numero, della frequenza e della gravità degli incidenti informatici che coinvolgono dati di cittadini, sta contribuendo a far evolvere la consapevolezza della società sul tema.

Scopriremo nei prossimi anni se, all’aumentare degli incidenti e della nostra sensibilità sul tema della tutela delle informazioni, chi non trovava prioritario l’investimento in information security rivedrà le proprie priorità. Se chi ha ignorato il problema inizierà a prenderlo in considerazione.

Il timore è scoprire se, quando accadrà, i danni che avremo subito a causa delle organizzazioni meno virtuose saranno ancora “accettabili” o purtroppo oramai irreparabili. Soprattutto per i cittadini più giovani, quelli che hanno di fronte a sé una “vita digitale” ancora molto lunga, molto più ricca di quella che abbiamo vissuto noi fino ad oggi. Una “vita digitale” che molti di noi ancora oggi faticano ad immaginare in tutti i dettagli. Proprio per questo tutelare l’incolumità digitale dovrebbe essere una priorità.