Chi si occupa di cybersecurity prova spesso le pene di Cassandra, la figlia di Priamo, che invano avvertì i propri cittadini, che Ilio sarebbe bruciata e che il Cavallo donato dagli Achei, non era poi un gran regalo.
Il management spesso sembra sordo o indifferente agli ammonimenti degli esperti di sicurezza informatica. Vorrebbe proteggere i propri asset digitali ed il proprio patrimonio informativo ma fatica ad accettare i costi associati, non riconoscendo il reale valore o sottostimando l’impatto delle minacce e la probabilità degli accadimenti. A prima vista questo scenario potrebbe apparire privo di senso. Oggi giorno, persino l’uomo della strada, è consapevole di quanto la cybersecurity sia divenuta prioritaria, quanto sia importante adottare idonee contromisure tecniche ed organizzative, quanto siano divenuti frequenti gli eventi, che impattano sulla sicurezza delle informazioni.
La mancanza di visione sulla sicurezza informatica
In uno scenario ideale, il management probabilmente investirebbe a cuor leggero, senza farsi ingessare troppo da contingenze di breve periodo. Purtroppo, nella quotidiana realtà, vincoli contabili e finanziari, necessità contingenti, richieste di spesa provenienti da ogni dove dell’organizzazione, costringono il management a dover fare scelte, spesso condizionate da logiche di breve periodo, da pressioni interne o altro ancora. Spesso purtroppo queste scelte penalizzano le funzioni più tecniche o considerate di supporto come è l’IT.
La mancanza di piena visione, degli scenari di rischio dell’insicurezza informatica da parte del management, è a mio avviso da ricercare nell’incapacità da parte del personale tecnico IT di presentare il problema nelle corrette modalità, a chi dovrà poi approvare gli investimenti. Non è mia intenzione colpevolizzare nessuno ma semplicemente sollevare l’attenzione su un tema che reputo cruciale, l’impossibilità di comunicazione all’interno dell’organizzazione fra persone di diverse funzioni, che utilizzano neologismi professionali, tecnicismi e acronimi, e che senza rendersene conto sollevano barriere semantiche insormontabili per i colleghi di altri settori.
Il budget tecnico per l’IT continua a rimanere inadeguato, anno dopo anno, in primis, perché il budget totale è scarso e le funzioni che si contendono tali limitate risorse sono fortemente motivate a ottenere finanziamenti per le proprie progettualità. In secondo luogo, il budget tecnico per l’IT manca di appeal, è scarsamente interessante, è noioso. Come si spiegherebbe diversamente il fatto che imprenditori, direttori generali, responsabili finanziari, tutte persone istruite, dotate e capaci, non diano priorità agli investimenti digitali e di sicurezza informatica?
Come “vendere” agli executive un progetto valido sulla cybersecurity
L’errore spesso commesso dalle figure tecniche è di avvicinarsi a quelle più manageriali con una certa condiscendenza, sottovalutando le loro capacità di comprensione del problema e conseguentemente rassegnati a giocare al ribasso, ad ottenere piccoli interventi tampone. Ma uno dei punti di forza di chi sta ai piani alti è, da un lato l’abitudine a bilanciare e filtrare le informazioni tattiche senza perdere la visione strategica, dall’altro nel trasformare ogni questione in una trattativa da cui debbano uscirne vincitori. Proposte minimali ed estremamente operative, già depauperate di una visione di lungo periodo e ampio respiro, non potranno suscitare interesse in loro e saranno sicuramente “sforbiciate”.
Se vogliamo “vendere” al nostro executive un progetto di cybersecurity dovremo imprescindibilmente capire il nostro cliente e soprattutto utilizzare i suoi canali comunicativi. O almeno questo è quello che ci consiglierebbero “quelli del marketing”, ma di loro parleremo più avanti.
I dirigenti in tema di sicurezza informatica hanno poche informazioni filtrate da canali non appropriati quali i mass media, che se da un lato hanno avuto il merito di rendere il problema della cybersecurity d’attualità, dall’altro lo hanno fatto con toni sensazionalistici più che realmente divulgativi.
I dirigenti, in secondo luogo, ragionano in termini monetari e per relazioni causa effetto. Si aspettano che gli si dica il “cosa” più in termini di conseguenze che di soluzioni, il “come” senza perdersi in tecnicismi, il “quanto” sia in termini d’impatto sul business, che di investimenti necessari per porvi rimedio.
Gli errori che un “tecnico” non deve commettere di fronte a un “contabile”
Idealmente il tecnico è ben consapevole di cosa serva alla propria infrastruttura informatica ed ha un dettagliato elenco di desiderata. Talvolta, se pur privo di background finanziario o contabile, tenterà di inquadrare gli investimenti del programma di sicurezza informatica in termini monetari. Ma cosa potrà accadere quando un tecnico con un dettagliato elenco di componenti tecnologiche, soluzioni e servizi digitali andrà a discutere di aspetti monetari con un esperto di contabilità? L’eventualità più probabile che possa accadere è che la conversazione divenga un confronto fra sordi. Le quantificazioni economiche fatte da un tecnico IT per un esperto di contabilità risulteranno insufficienti, lacunose e superficiali, innescando pregiudizievoli conclusioni sul lavoro svolto. Il tecnico per uscire dall’impasse tornerà su terreni a lui più congeniali disquisendo di questioni prettamente tecniche, che l’economista troverà nel migliore dei casi noiose e nel peggiore dei casi un tentativo deliberato di confonderlo.
Il tecnico non deve commettere l’errore di avventurarsi in campi che non sono di sua competenza, dovrà solo provare a colmare il divario e comunicare in modo onesto e chiaro ciò che sa. L’aspetto della chiarezza e della semplicità saranno prioritari.
Muoversi efficacemente nella babele aziendale
Infine, la conversazione con un dirigente potrà essere un’opportunità. L’errore che commette chiunque, che non sia esperto di trattative complesse, è limitarsi a portare il proprio punto di vista, disquisendo unilateralmente: “Mi servono queste risorse per questo progetto”. Il management così come il tecnico ha proprie opinioni, proprie visioni, proprie soluzioni e stando al vertice non ama non avere il pieno controllo di ogni fattore. Questo aspetto, forse un po’ psicologico, è fondamentale per muoversi efficacemente all’interno della nostra babele aziendale. Il tecnico deve sforzarsi di comprendere e conoscere il pensiero del management, la strategia organizzativa, i piani di sviluppo e utilizzare tali informazioni per contestualizzare le proprie richieste in un’ottica di sviluppo strategico a tre o cinque anni, in termini di espansione territoriale o di persone, di trasformazione digitale o raggiungimento di segmenti di clientela o di creazione di nuove unità aziendali. Tutte questioni che necessiteranno di un adeguamento del piano di sicurezza informatico e della dotazione digitale dell’organizzazione, temi su cui probabilmente la direzione non avrà posto la dovuta attenzione e che dunque saranno un’opportunità per i tecnici.
Ora, in maniera forse un po’ colorata, proverò a descrivere con ironia, quanto le nostre organizzazioni, siano vere e proprie babeli aziendali. In sede di approvazione del budget IT, avremo i tecnici con il loro linguaggio tecnicale, il loro humor un po’ nerd (lo dico con affetto), il loro stile peculiare, che debbono vendere al management programmi di sviluppo, debbono farsi finanziare progettualità. Dall’altro lato del tavolo avremo il management, esperto di economia e contabilità, ingessato nei completi scuri, con ambizioni e aspirazioni proprie, che dall’alto della propria alta opinione di sé guarderà i tecnici con supponenza. L’esigenza di investimento tecnologico si contrapporrà al rigore finanziario e contabile.
Entrambe le parti al tavolo delle trattive, più che cooperare tenderanno a confliggere, teatranti impegnati in un infinito tenzone fra parti, che non si capiscono e che forse nemmeno si piacciono. Purtroppo, è doloroso dirlo, i tecnici, se desiderano farsi approvare il budget o strapparne uno più corposo, debbono parlare la lingua del management e rendere più seducente la loro proposta, rispetto alle altre in concorrenza alla loro. In una situazione non ottimale, sul tavolo del management, vi sono proposte di finanziamento provenienti dagli altri settori dell’organizzazione, ognuna con una sua logica, validi obiettivi e motivazioni che ne corroborino l’utilità. In uno scenario di scarsità di risorse, il lavoro del management sarà sforbiciare, bocciare, ridimensionare un po’ qua e un po’ là. Quale portatore d’interesse la spunterà? Quale funzione aziendale, quale tribù?
Una tribù sul piede di guerra con i tecnici è il marketing ed il marketing è decisamente abile a rendersi interessante agli occhi del management. I tecnici sono molto intelligenti e orgogliosi della qualità del loro lavoro ma peccano in capacità comunicative, guarda caso proprio quello per cui vivono i ragazzi del marketing.
L’IT deve fare gioco di squadra con Marketing, Vendite e Compliance
Se le risorse fossero ridotte ed il management dovesse puntare tutto su un solo piano d’investimento, a quali lusinghe sarebbe più sensibile? Cosa lo entusiasmerebbe maggiormente, l’opportunità di avere un sistema di archiviazione ibrido più efficace oppure la possibilità di raggiungere un target di mercato più remunerativo per l’azienda?
La strana e necessaria alleanza tra tecnici e marketing
Se i tecnici si limiteranno a presentare una loro proposta di investimento contenstualizzata solo sulle esigenze organizzative della propria funzione, risulteranno spesso perdenti. Se al contrario i tecnici, invece che giocare contro il marketing, vi si alleeranno, potrebbero trovare un partner estremamente utile ed efficace.
L’alleanza con il marketing costerà qualche piccola sofferenza ma vale la pena provarci. Ai tecnici non piace sentirsi dire come fare le cose, preferiscono arrivarci da soli, risolvendo il puzzle del momento, a loro piace molto l’efficienza e non amano fare il lavoro che non ritengono necessario, ricercano continuamente l’automazione o la ripetibilità delle azioni e la linearità dei processi. Tutti questi elementi sono perfetti quando si ha a che fare con gli ingegneri. Se aggiungiamo un cronoprogramma e un flow chart renderanno la simbiosi quasi perfetta.
Ai ragazzi del marketing e alla loro creatività un approccio siffatto apparirà qualcosa di incredibilmente ingessato e oppressivo. A loro piace parlare, a loro piace comunicare e il miglior inizio con loro sarà semplicemente, chiedere ed ascoltare. Si potrebbe fare la domanda: “Quali sono le tue priorità in questo momento?”. Un altro quesito che li manderà in brodo di giuggiole potrebbe essere: “Come viene misurata la prestazione della tua squadra?” I KPI e gli analitics sono il mantra del digital marketing, e loro saranno incredibilmente fieri di snocciolare le performance, le view, la retention, i click o come con gli A/B test misurino le preferenze dei lead. Infine, la domanda più assertiva possibile è e rimane: “Come posso aiutarti?”. Ascoltare le loro risposte sarà estremamente utile sia per cogliere loro eventuali necessità/specifiche, sia per capire come sfruttare le esigenze future di un settore e concatenarle alle proprie specifiche necessità.
Il marketing è curioso e ama sperimentare tool, applicazioni e strumenti che possano migliorare la propria capacità di analisi o creativa. I ragazzi del marketing sono spiriti liberi, tendono a lavorare con molte terze parti, scaricano applicazioni senza troppi timori, e per farla breve non hanno un comportamento dei più irreprensibili in tema di sicurezza delle informazioni. Difficilmente avranno configurato correttamente lato security i loro strumenti e probabilmente non si saranno preoccupati ogni volta di avvisare “quelli dell’IT” dell’ultimo giocattolino scaricato. Il marketing è per sua natura ambizioso e ha sempre nuovi progetti, nuovi mercati da esplorare, nuove modalità di contatto, nuovi canali da testare.
L’IT non deve divenire un ostacolo per la crescita del business
La febbrilità del marketing per l’IT è sia una possibile minaccia che una significativa opportunità. L’IT non deve divenire un ostacolo per la crescita del business di cui il marketing è uno dei motori, ma al contrario deve divenirne facilitatore. Se l’IT aiuterà i ragazzi del marketing nella configurazione degli strumenti, nell’offrire loro maggiore connessione, nell’evidenziare i vincoli tecnici esistenti nell’infrastruttura informatica, che potrebbero in un secondo momento inficiare o rallentare i programmi a lungo periodo del marketing, quest’ultimo potrebbe divenire il primo sponsor dell’IT presso il management per garantirne la piena operatività.
Inoltre, la cybersecurity e la stessa privacy stanno divenendo sempre più spesso leve di marketing. Ambienti sicuri, una corretta gestione delle attività online e/o dei consensi, spazi di condivisioni professionali e performanti, strumenti aziendali di interazione e piattaforme create in sinergia fra marketing ed IT potrebbero essere soluzioni win to win, che permettano sia all’IT che al marketing di creare budget in parte condivisi, che permettano di perseguire obiettivi comuni.ù
Il rapporto tra IT e venditori
Un’altra tribù con cui spesso l’IT è ai ferri corti è “le vendite”. I venditori sono soldati al fronte, non si guardano mai in dietro, l’unico loro scopo è avanzare, non vanno troppo per il sottile, le uniche parole che assillano le loro menti iperfocalizzate sull’obiettivo sono fatturato, incassi e sconti. Le vendite vogliono solo concludere più contratti possibili.
Un contratto può sfumare per mille motivi ed uno di questi è la sicurezza informatica del venditore. Qui nasce la sinergia fra IT e Vendite. Sempre più spesso ed in settori più numerosi i requisiti di sicurezza stanno divenendo leve di vendita o ostacoli insormontabili. Bancari, finanziari, assicurativi e tutta la P.A. in generale, sono sempre più stimolati, da riferimenti normativi cogenti o da linee guida di settore, ad essere sempre più strutturati lato sicurezza informatica. Se le vendite vi vogliono fare affari verranno scandagliati da infinite check list e quasi sicuramente da audit in presenza.
L’IT è la soluzione, non il problema
Per i servizi, sempre più digitalizzati, del comparto hi-tech ma anche dell’industria 4.0 è lo stesso mercato a pretendere un’adeguata postura di sicurezza, poiché è il rischio intrinseco di finire fuori dal mercato ad imporre una particolare attenzione alla cybersecurity.
Nell’automotive le grandi case automobilistiche tedesche stanno imponendo a tutta la filiera di fornitura le verifiche di sicurezza Tisax. Spesso, mi è capitato, il motivo per cui mi si chiedesse una consulenza per l’implementazione di un sistema di gestione della sicurezza delle informazioni in conformità alla ISO 27001 con appendice Tisax, non fosse perché il management l’avesse particolarmente a cuore, o l’IT ne avesse sollevato l’utilità, ma semplicemente perché il responsabile delle vendite, per poter essere qualificato quale fornitore per la nota casa automobilistica di Wolfsburg, aveva bisogno di quella certificazione. Nel meeting di kick off, il management e persino le vendite, il primo sponsor della mia presenza, erano annoiati e insofferenti mentre l’IT sprizzava gioia, conscio che finalmente i fondi da sempre richiesti avrebbero iniziato ad arrivare.
Le vendite lo sanno. Per le vendite le obiezioni impossibili o difficili da gestire sono il principale problema quotidiano da affrontare; spesso i clienti obbiettano e pretendono livelli di sicurezza informatici adeguati e l’IT è la soluzione.
L’attitudine introversa, ipertecnologica e poco collaborativa di taluni tecnici fa sì che queste incredibili opportunità non vengano colte. Per alcuni tecnici le richieste di chiarimento che arrivano da altre funzioni, i loro problemucci operativi, sono visti alla stregua dei piagnistei dei bambini quando non riescono a fare cose apparentemente banali. Il risultato è che professionisti quotati e qualificati di altri ambiti si sentano trattati come inetti.
L’IT parte in causa anche nella compliance
I tecnici spesso, liquidano frettolosamente le questioni di compliance legate al GDPR o ad altri sistemi di gestione, lasciando che siano i colleghi dell’ufficio legale, oppure i ragazzi della qualità ad occuparsene. In verità l’IT dovrebbe essere parte integrante di tali team di lavoro per sfruttare al massimo le opportunità offerte da queste leve esterne di trasformazione dell’organizzazione.
Se l’IT diventa parte in causa di queste attività, diverrà il fattore abilitante, acquisendo forza ed argomentazione in sede di trattativa con il management per strappare un budget più sostanzioso.
L’IT deve fare gioco di squadra con Marketing, Vendite e Compliance.
Conclusioni
Le organizzazioni al contrario spesso sembrano torri di babele fra funzioni, tribù o silos non comunicanti o interagenti, con linguaggi e obiettivi così differenti da rendersi vicendevolmente sorde alle richieste e opportunità di collaborazione.
Un IT più collaborativo può aiutare le funzioni marketing, vendite e compliance a risolvere problemi bloccanti per un non tecnico e ottenere a sua volta benefici significativi in termini di centralità e allocazione di risorse scarse.
Il primo grande problema per creare la tanto chiacchierata awareness, o per rendere l’organizzazione matura, o dotarla di una postura adeguata, non è una questione tecnologica o di risorse economiche. Il primo grande problema è di comunicazione. Sintonizzarsi sul canale del ricevente può fare la differenza, soprattutto se fatto al momento giusto, il quale solitamente coincide con l’esigenza altrui, con l’insorgere di un qualsiasi problema tecnico.