Compliance e Sicurezza sono la stessa cosa?

Come ben sappiamo, le minacce cyber sono in costante aumento. Le norme con azioni obbligatorie per la cyber security sono anche in crescita, basti considerare l’impatto sulle aziende del nuovo Regolamento europeo per la Privacy (GDPR), che sarà operativo dal 2018, o quanto ha richiesto lo scorso anno la Circolare 263 nel settore bancario, o l’avvio della nuova Direttiva europea per le infrastrutture critiche (NIS Directive), come descritto nel Paper “Evoluzione della Compliance e Approccio Risk Based alla Cybersecurity” di The Innovation Group.La compliance alle norme è ad oggi uno dei driver principali alla base delle nuove iniziative per la cyber security, ma bisognerebbe sempre chiedersi se la compliance, oltre a essere necessaria, è anche SUFFICIENTE a garantire una corretta protezione del business.Le esperienze passate e alcuni data breach di grande dimensione hanno dimostrato che essere compliant alle norme o conformi agli standard in generale non basta. La compliance dà un’illusione di protezione che non aiuta ad attivare i giusti processi per una “continua attenzione” alla sicurezza. Vediamo quali sono le motivazioni per cui un approccio eccessivamente compliance-based e poco risk-based non favorisce una corretta gestione dei rischi cyber.

• Le norme si riferiscono in genere ad uno specifico ambito che deve essere gestito con maggiore attenzione (ad esempio la sicurezza dei dati delle persone). Non possono però tener conto di tutti i possibili rischi e vulnerabilità, associati all’intero sistema dei processi e alla realtà più ampia in cui si trova ad operare un’azienda, ad esempio, nei suoi rapporti con terze parti, fornitori esterni, supply chain. La compliance è quindi limitativa rispetto a una strategia più ampia di cyber risk management.
• La compliance è spesso un’esigenza improrogabile, fornisce la motivazione per fare un primo step nella direzione di una maggiore maturità, una curva di apprendimento che deve prevedere successive azioni e misure volte a mitigare maggiormente il rischio cyber. Spesso le norme costringono le aziende più riluttanti a muoversi e prendere coscienza di determinati rischi, ma l’azione non deve fermarsi a una lista di attività “TO DO” richieste obbligatoriamente.
• L’eccessiva produzione di documentazione spesso associata alla compliance può portare a un disallineamento tra quelle che sono le richieste della legge/di uno standard rispetto a quello che serve veramente all’organizzazione per avere in essere misure e sistemi efficaci di protezione.
• La compliance porta a stabilire tutta una serie di controlli di sicurezza, che però hanno senso soprattutto in uno specifico momento, e possono “decadere nel tempo”, via via che il business si espande e si trasforma, nuove applicazioni sono implementate, i rischi cambiano.
• Un approccio compliance-based tende a mettere al primo posto l’aderenza alle norme, quando invece servirebbe una comprensione maggiore dei rischi che corre la singola azienda. Un aspetto che un approccio legato alla compliance porta a trascurare è quello della creazione di una cultura interna della sicurezza, un’awareness delle persone sui rischi e sulle loro implicazioni che funga da prevenzione di possibili errori legati al “fattore umano”.

Infine, va considerato che la conformità a norme o standard di cyber security richiede comunque un forte effort all’impresa, in termini di processi, risorse, tecnologie e investimenti da effettuare. Se la sicurezza assoluta è un miraggio, anche la compliance o la conformità completa a standard e best practices può rappresentare un problema … quindi è importante che le aziende facciano scelte oculate, e focalizzino il più possibile i propri investimenti sulla possibilità di rispondere meglio ai rischi più gravi per il proprio business.