sicurezza informatica

Se il management ignora i rischi cyber: i problemi di comunicazione e come superarli

Gli avvertimenti dei tecnici IT restano inascoltati e la sicurezza informatica continua a essere immatura. Questo perché le organizzazioni spesso sono torri di babele fra funzioni, tribù o silos non comunicanti. Ecco perché l’IT non deve essere un ostacolo al business ma anzi deve essere il collante tra le diverse divisioni

Pubblicato il 21 Nov 2022

Manuel Salvi

Security, Compliance, Risk Consultant

Security Solutions - Global Security - Online Security - House Security

Chi si occupa di cybersecurity prova spesso le pene di Cassandra, la figlia di Priamo, che invano avvertì i propri cittadini, che Ilio sarebbe bruciata e che il Cavallo donato dagli Achei, non era poi un gran regalo.

Il management spesso sembra sordo o indifferente agli ammonimenti degli esperti di sicurezza informatica. Vorrebbe proteggere i propri asset digitali ed il proprio patrimonio informativo ma fatica ad accettare i costi associati, non riconoscendo il reale valore o sottostimando l’impatto delle minacce e la probabilità degli accadimenti. A prima vista questo scenario potrebbe apparire privo di senso. Oggi giorno, persino l’uomo della strada, è consapevole di quanto la cybersecurity sia divenuta prioritaria, quanto sia importante adottare idonee contromisure tecniche ed organizzative, quanto siano divenuti frequenti gli eventi, che impattano sulla sicurezza delle informazioni.

Formazione alla cyber in azienda: ecco come farla bene

La mancanza di visione sulla sicurezza informatica

In uno scenario ideale, il management probabilmente investirebbe a cuor leggero, senza farsi ingessare troppo da contingenze di breve periodo. Purtroppo, nella quotidiana realtà, vincoli contabili e finanziari, necessità contingenti, richieste di spesa provenienti da ogni dove dell’organizzazione, costringono il management a dover fare scelte, spesso condizionate da logiche di breve periodo, da pressioni interne o altro ancora. Spesso purtroppo queste scelte penalizzano le funzioni più tecniche o considerate di supporto come è l’IT.

La mancanza di piena visione, degli scenari di rischio dell’insicurezza informatica da parte del management, è a mio avviso da ricercare nell’incapacità da parte del personale tecnico IT di presentare il problema nelle corrette modalità, a chi dovrà poi approvare gli investimenti. Non è mia intenzione colpevolizzare nessuno ma semplicemente sollevare l’attenzione su un tema che reputo cruciale, l’impossibilità di comunicazione all’interno dell’organizzazione fra persone di diverse funzioni, che utilizzano neologismi professionali, tecnicismi e acronimi, e che senza rendersene conto sollevano barriere semantiche insormontabili per i colleghi di altri settori.

Il budget tecnico per l’IT continua a rimanere inadeguato, anno dopo anno, in primis, perché il budget totale è scarso e le funzioni che si contendono tali limitate risorse sono fortemente motivate a ottenere finanziamenti per le proprie progettualità. In secondo luogo, il budget tecnico per l’IT manca di appeal, è scarsamente interessante, è noioso. Come si spiegherebbe diversamente il fatto che imprenditori, direttori generali, responsabili finanziari, tutte persone istruite, dotate e capaci, non diano priorità agli investimenti digitali e di sicurezza informatica?

Cybersecurity Odyssey: la chiave per evolvere

Cybersecurity Odyssey: la chiave per evolvere

Guarda questo video su YouTube

Come “vendere” agli executive un progetto valido sulla cybersecurity

L’errore spesso commesso dalle figure tecniche è di avvicinarsi a quelle più manageriali con una certa condiscendenza, sottovalutando le loro capacità di comprensione del problema e conseguentemente rassegnati a giocare al ribasso, ad ottenere piccoli interventi tampone. Ma uno dei punti di forza di chi sta ai piani alti è, da un lato l’abitudine a bilanciare e filtrare le informazioni tattiche senza perdere la visione strategica, dall’altro nel trasformare ogni questione in una trattativa da cui debbano uscirne vincitori. Proposte minimali ed estremamente operative, già depauperate di una visione di lungo periodo e ampio respiro, non potranno suscitare interesse in loro e saranno sicuramente “sforbiciate”.

Se vogliamo “vendere” al nostro executive un progetto di cybersecurity dovremo imprescindibilmente capire il nostro cliente e soprattutto utilizzare i suoi canali comunicativi. O almeno questo è quello che ci consiglierebbero “quelli del marketing”, ma di loro parleremo più avanti.

I dirigenti in tema di sicurezza informatica hanno poche informazioni filtrate da canali non appropriati quali i mass media, che se da un lato hanno avuto il merito di rendere il problema della cybersecurity d’attualità, dall’altro lo hanno fatto con toni sensazionalistici più che realmente divulgativi.

I dirigenti, in secondo luogo, ragionano in termini monetari e per relazioni causa effetto. Si aspettano che gli si dica il “cosa” più in termini di conseguenze che di soluzioni, il “come” senza perdersi in tecnicismi, il “quanto” sia in termini d’impatto sul business, che di investimenti necessari per porvi rimedio.

Gli errori che un “tecnico” non deve commettere di fronte a un “contabile”

Idealmente il tecnico è ben consapevole di cosa serva alla propria infrastruttura informatica ed ha un dettagliato elenco di desiderata. Talvolta, se pur privo di background finanziario o contabile, tenterà di inquadrare gli investimenti del programma di sicurezza informatica in termini monetari. Ma cosa potrà accadere quando un tecnico con un dettagliato elenco di componenti tecnologiche, soluzioni e servizi digitali andrà a discutere di aspetti monetari con un esperto di contabilità? L’eventualità più probabile che possa accadere è che la conversazione divenga un confronto fra sordi. Le quantificazioni economiche fatte da un tecnico IT per un esperto di contabilità risulteranno insufficienti, lacunose e superficiali, innescando pregiudizievoli conclusioni sul lavoro svolto. Il tecnico per uscire dall’impasse tornerà su terreni a lui più congeniali disquisendo di questioni prettamente tecniche, che l’economista troverà nel migliore dei casi noiose e nel peggiore dei casi un tentativo deliberato di confonderlo.

Il tecnico non deve commettere l’errore di avventurarsi in campi che non sono di sua competenza, dovrà solo provare a colmare il divario e comunicare in modo onesto e chiaro ciò che sa. L’aspetto della chiarezza e della semplicità saranno prioritari.

Muoversi efficacemente nella babele aziendale

Infine, la conversazione con un dirigente potrà essere un’opportunità. L’errore che commette chiunque, che non sia esperto di trattative complesse, è limitarsi a portare il proprio punto di vista, disquisendo unilateralmente: “Mi servono queste risorse per questo progetto”. Il management così come il tecnico ha proprie opinioni, proprie visioni, proprie soluzioni e stando al vertice non ama non avere il pieno controllo di ogni fattore. Questo aspetto, forse un po’ psicologico, è fondamentale per muoversi efficacemente all’interno della nostra babele aziendale. Il tecnico deve sforzarsi di comprendere e conoscere il pensiero del management, la strategia organizzativa, i piani di sviluppo e utilizzare tali informazioni per contestualizzare le proprie richieste in un’ottica di sviluppo strategico a tre o cinque anni, in termini di espansione territoriale o di persone, di trasformazione digitale o raggiungimento di segmenti di clientela o di creazione di nuove unità aziendali. Tutte questioni che necessiteranno di un adeguamento del piano di sicurezza informatico e della dotazione digitale dell’organizzazione, temi su cui probabilmente la direzione non avrà posto la dovuta attenzione e che dunque saranno un’opportunità per i tecnici.

Ora, in maniera forse un po’ colorata, proverò a descrivere con ironia, quanto le nostre organizzazioni, siano vere e proprie babeli aziendali. In sede di approvazione del budget IT, avremo i tecnici con il loro linguaggio tecnicale, il loro humor un po’ nerd (lo dico con affetto), il loro stile peculiare, che debbono vendere al management programmi di sviluppo, debbono farsi finanziare progettualità. Dall’altro lato del tavolo avremo il management, esperto di economia e contabilità, ingessato nei completi scuri, con ambizioni e aspirazioni proprie, che dall’alto della propria alta opinione di sé guarderà i tecnici con supponenza. L’esigenza di investimento tecnologico si contrapporrà al rigore finanziario e contabile.

Entrambe le parti al tavolo delle trattive, più che cooperare tenderanno a confliggere, teatranti impegnati in un infinito tenzone fra parti, che non si capiscono e che forse nemmeno si piacciono. Purtroppo, è doloroso dirlo, i tecnici, se desiderano farsi approvare il budget o strapparne uno più corposo, debbono parlare la lingua del management e rendere più seducente la loro proposta, rispetto alle altre in concorrenza alla loro. In una situazione non ottimale, sul tavolo del management, vi sono proposte di finanziamento provenienti dagli altri settori dell’organizzazione, ognuna con una sua logica, validi obiettivi e motivazioni che ne corroborino l’utilità. In uno scenario di scarsità di risorse, il lavoro del management sarà sforbiciare, bocciare, ridimensionare un po’ qua e un po’ là. Quale portatore d’interesse la spunterà? Quale funzione aziendale, quale tribù?

Una tribù sul piede di guerra con i tecnici è il marketing ed il marketing è decisamente abile a rendersi interessante agli occhi del management. I tecnici sono molto intelligenti e orgogliosi della qualità del loro lavoro ma peccano in capacità comunicative, guarda caso proprio quello per cui vivono i ragazzi del marketing.

L’IT deve fare gioco di squadra con Marketing, Vendite e Compliance

Se le risorse fossero ridotte ed il management dovesse puntare tutto su un solo piano d’investimento, a quali lusinghe sarebbe più sensibile? Cosa lo entusiasmerebbe maggiormente, l’opportunità di avere un sistema di archiviazione ibrido più efficace oppure la possibilità di raggiungere un target di mercato più remunerativo per l’azienda?

La strana e necessaria alleanza tra tecnici e marketing

Se i tecnici si limiteranno a presentare una loro proposta di investimento contenstualizzata solo sulle esigenze organizzative della propria funzione, risulteranno spesso perdenti. Se al contrario i tecnici, invece che giocare contro il marketing, vi si alleeranno, potrebbero trovare un partner estremamente utile ed efficace.

L’alleanza con il marketing costerà qualche piccola sofferenza ma vale la pena provarci. Ai tecnici non piace sentirsi dire come fare le cose, preferiscono arrivarci da soli, risolvendo il puzzle del momento, a loro piace molto l’efficienza e non amano fare il lavoro che non ritengono necessario, ricercano continuamente l’automazione o la ripetibilità delle azioni e la linearità dei processi. Tutti questi elementi sono perfetti quando si ha a che fare con gli ingegneri. Se aggiungiamo un cronoprogramma e un flow chart renderanno la simbiosi quasi perfetta.

Ai ragazzi del marketing e alla loro creatività un approccio siffatto apparirà qualcosa di incredibilmente ingessato e oppressivo. A loro piace parlare, a loro piace comunicare e il miglior inizio con loro sarà semplicemente, chiedere ed ascoltare. Si potrebbe fare la domanda: “Quali sono le tue priorità in questo momento?”. Un altro quesito che li manderà in brodo di giuggiole potrebbe essere: “Come viene misurata la prestazione della tua squadra?” I KPI e gli analitics sono il mantra del digital marketing, e loro saranno incredibilmente fieri di snocciolare le performance, le view, la retention, i click o come con gli A/B test misurino le preferenze dei lead. Infine, la domanda più assertiva possibile è e rimane: “Come posso aiutarti?”. Ascoltare le loro risposte sarà estremamente utile sia per cogliere loro eventuali necessità/specifiche, sia per capire come sfruttare le esigenze future di un settore e concatenarle alle proprie specifiche necessità.

Il marketing è curioso e ama sperimentare tool, applicazioni e strumenti che possano migliorare la propria capacità di analisi o creativa. I ragazzi del marketing sono spiriti liberi, tendono a lavorare con molte terze parti, scaricano applicazioni senza troppi timori, e per farla breve non hanno un comportamento dei più irreprensibili in tema di sicurezza delle informazioni. Difficilmente avranno configurato correttamente lato security i loro strumenti e probabilmente non si saranno preoccupati ogni volta di avvisare “quelli dell’IT” dell’ultimo giocattolino scaricato. Il marketing è per sua natura ambizioso e ha sempre nuovi progetti, nuovi mercati da esplorare, nuove modalità di contatto, nuovi canali da testare.

L’IT non deve divenire un ostacolo per la crescita del business

La febbrilità del marketing per l’IT è sia una possibile minaccia che una significativa opportunità. L’IT non deve divenire un ostacolo per la crescita del business di cui il marketing è uno dei motori, ma al contrario deve divenirne facilitatore. Se l’IT aiuterà i ragazzi del marketing nella configurazione degli strumenti, nell’offrire loro maggiore connessione, nell’evidenziare i vincoli tecnici esistenti nell’infrastruttura informatica, che potrebbero in un secondo momento inficiare o rallentare i programmi a lungo periodo del marketing, quest’ultimo potrebbe divenire il primo sponsor dell’IT presso il management per garantirne la piena operatività.

Inoltre, la cybersecurity e la stessa privacy stanno divenendo sempre più spesso leve di marketing. Ambienti sicuri, una corretta gestione delle attività online e/o dei consensi, spazi di condivisioni professionali e performanti, strumenti aziendali di interazione e piattaforme create in sinergia fra marketing ed IT potrebbero essere soluzioni win to win, che permettano sia all’IT che al marketing di creare budget in parte condivisi, che permettano di perseguire obiettivi comuni.ù

Il rapporto tra IT e venditori

Un’altra tribù con cui spesso l’IT è ai ferri corti è “le vendite”. I venditori sono soldati al fronte, non si guardano mai in dietro, l’unico loro scopo è avanzare, non vanno troppo per il sottile, le uniche parole che assillano le loro menti iperfocalizzate sull’obiettivo sono fatturato, incassi e sconti. Le vendite vogliono solo concludere più contratti possibili.

Un contratto può sfumare per mille motivi ed uno di questi è la sicurezza informatica del venditore. Qui nasce la sinergia fra IT e Vendite. Sempre più spesso ed in settori più numerosi i requisiti di sicurezza stanno divenendo leve di vendita o ostacoli insormontabili. Bancari, finanziari, assicurativi e tutta la P.A. in generale, sono sempre più stimolati, da riferimenti normativi cogenti o da linee guida di settore, ad essere sempre più strutturati lato sicurezza informatica. Se le vendite vi vogliono fare affari verranno scandagliati da infinite check list e quasi sicuramente da audit in presenza.

L’IT è la soluzione, non il problema

Per i servizi, sempre più digitalizzati, del comparto hi-tech ma anche dell’industria 4.0 è lo stesso mercato a pretendere un’adeguata postura di sicurezza, poiché è il rischio intrinseco di finire fuori dal mercato ad imporre una particolare attenzione alla cybersecurity.

Nell’automotive le grandi case automobilistiche tedesche stanno imponendo a tutta la filiera di fornitura le verifiche di sicurezza Tisax. Spesso, mi è capitato, il motivo per cui mi si chiedesse una consulenza per l’implementazione di un sistema di gestione della sicurezza delle informazioni in conformità alla ISO 27001 con appendice Tisax, non fosse perché il management l’avesse particolarmente a cuore, o l’IT ne avesse sollevato l’utilità, ma semplicemente perché il responsabile delle vendite, per poter essere qualificato quale fornitore per la nota casa automobilistica di Wolfsburg, aveva bisogno di quella certificazione. Nel meeting di kick off, il management e persino le vendite, il primo sponsor della mia presenza, erano annoiati e insofferenti mentre l’IT sprizzava gioia, conscio che finalmente i fondi da sempre richiesti avrebbero iniziato ad arrivare.

Le vendite lo sanno. Per le vendite le obiezioni impossibili o difficili da gestire sono il principale problema quotidiano da affrontare; spesso i clienti obbiettano e pretendono livelli di sicurezza informatici adeguati e l’IT è la soluzione.

L’attitudine introversa, ipertecnologica e poco collaborativa di taluni tecnici fa sì che queste incredibili opportunità non vengano colte. Per alcuni tecnici le richieste di chiarimento che arrivano da altre funzioni, i loro problemucci operativi, sono visti alla stregua dei piagnistei dei bambini quando non riescono a fare cose apparentemente banali. Il risultato è che professionisti quotati e qualificati di altri ambiti si sentano trattati come inetti.

L’IT parte in causa anche nella compliance

I tecnici spesso, liquidano frettolosamente le questioni di compliance legate al GDPR o ad altri sistemi di gestione, lasciando che siano i colleghi dell’ufficio legale, oppure i ragazzi della qualità ad occuparsene. In verità l’IT dovrebbe essere parte integrante di tali team di lavoro per sfruttare al massimo le opportunità offerte da queste leve esterne di trasformazione dell’organizzazione.

Se l’IT diventa parte in causa di queste attività, diverrà il fattore abilitante, acquisendo forza ed argomentazione in sede di trattativa con il management per strappare un budget più sostanzioso.

L’IT deve fare gioco di squadra con Marketing, Vendite e Compliance.

Conclusioni

Le organizzazioni al contrario spesso sembrano torri di babele fra funzioni, tribù o silos non comunicanti o interagenti, con linguaggi e obiettivi così differenti da rendersi vicendevolmente sorde alle richieste e opportunità di collaborazione.

Un IT più collaborativo può aiutare le funzioni marketing, vendite e compliance a risolvere problemi bloccanti per un non tecnico e ottenere a sua volta benefici significativi in termini di centralità e allocazione di risorse scarse.

Il primo grande problema per creare la tanto chiacchierata awareness, o per rendere l’organizzazione matura, o dotarla di una postura adeguata, non è una questione tecnologica o di risorse economiche. Il primo grande problema è di comunicazione. Sintonizzarsi sul canale del ricevente può fare la differenza, soprattutto se fatto al momento giusto, il quale solitamente coincide con l’esigenza altrui, con l’insorgere di un qualsiasi problema tecnico.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3