Quando si parla di innovazione nella cybersecurity, l'attenzione si concentra spesso su strumenti, tecnologie o framework. Ma, a mio avviso, uno dei cambiamenti più potenti e sottovalutati riguarda proprio il cambio di mentalità.
Chief Information Security Officer at Nasuni.
Le organizzazioni più solide con cui ho lavorato sono quelle che imparano a misurare e sfruttare il rischio, non solo a evitarlo. Non rispondono alle nuove idee con un "Non possiamo, perché...", ma piuttosto con un: "Vediamo come possiamo realizzarlo, in sicurezza e con i giusti controlli in atto."
La sicurezza come vantaggio competitivo
Questo ripensamento della cultura non si limita a ridurre il rischio, ma aiuta le organizzazioni a costruire un vantaggio competitivo.
Quando un CISO (Chief Information Security Officer) e il suo team sono chiari e comunicativi riguardo ai limiti e alle aree di accettazione del rischio aziendale – in breve, l'appetito al rischio dell'azienda – l'organizzazione è in una posizione molto migliore per rispondere ai cambiamenti del mercato.
Questa fiducia deriva da framework di rischio solidi, da un dialogo aperto e da una comprensione condivisa del fatto che una sicurezza efficace è un abilitatore di business, non semplicemente un guardiano.
Prospettiva aperta
Ciò che fa davvero la differenza è quando le persone di dipartimenti o unità di business diversi portano un'idea ai colleghi della sicurezza e vengono accolte con una prospettiva aperta: "Vediamo come possiamo trovare il modo di realizzarla in sicurezza".
Questo tipo di risposta crea fiducia e apre la porta alla collaborazione. Quando i team sanno che la loro funzione di sicurezza è lì per aiutarli ad avere successo, e non solo per dire di no, sono molto più propensi a chiedere in prima istanza: "Possiamo farlo?". Questo crea una cultura in cui innovazione e protezione procedono di pari passo.
I benefici in un paio di esempi
Prendiamo un'organizzazione desiderosa di passare a operazioni più agili: se il dipartimento di sicurezza si impegna fin dall'inizio a collaborare con le specifiche linee di business che cercano di utilizzare applicazioni cloud più veloci, può aiutare i colleghi dell'unità aziendale a elaborare una strategia, in collaborazione con solution architect e trusted cloud provider, per ridurre il rischio e snellire la migrazione al cloud. Questo è l'approccio vincente, in contrasto con l'opporre rapidamente un veto a tali richieste di innovazione adducendo rischi inaccettabili.
Quando la sicurezza è integrata fin dall'inizio (baked-in), anziché essere "applicata" alla fine (bolted on), tutte le persone coinvolte nel processo sono più soddisfatte.
Allo stesso modo, una funzione di sicurezza dalla mentalità aperta aiuterà la C-level (dirigenza) e gli altri dipartimenti a sviluppare una strategia di sviluppo data-centric per creare le basi per gli strumenti di machine learning e AI, senza ricorrere immediatamente ad argomentazioni sul rischio di conformità dei dati per escludere tali percorsi di innovazione.
Alcune sfide aziendali richiederanno collaborazioni più ampie tra i CISO e le altre funzioni aziendali: ad esempio, una ricerca del World Economic Forum nel 2025 ha rilevato che il 66% degli intervistati ritiene che l'IA influenzerà la cybersecurity nei prossimi 12 mesi, ma solo il 37% dispone di processi adeguati per la sua implementazione sicura. C'è forse un caso più lampante per l'apertura mentale e una collaborazione più profonda?
Dire di no, gestire il richio
L'approccio opposto, in cui i colleghi dei vari dipartimenti danno semplicemente per scontato che la sicurezza opporrà un veto e quindi non inoltrano nemmeno la richiesta iniziale, introduce un rischio decisamente maggiore.
È in quel momento che si finisce per avere team che avviano progetti di Shadow IT e sviluppo "ombra", con controlli inadeguati e workflow non sicuri. Il CISO viene a conoscenza del rischio solo dopo che questo si è manifestato in un incidente.
Dicendo "no" troppo spesso come professionista della sicurezza, non si elimina il rischio: lo si spinge semplicemente in clandestinità e si contribuisce a problemi di lunga data. Una ricerca Gartner del 2022 ha rilevato che quattro dipendenti su dieci utilizzavano già una qualche forma di Shadow IT. Con il boom degli strumenti AI basati su browser, è lecito immaginare quale sia quel numero oggi.
Parametri chiari
Certamente, non tutte le innovazioni o le richieste "fuori dagli schemi" ottengono il via libera. Ma un sì ragionato, che includa la comunicazione di parametri e salvaguardie chiare, è molto più potente di un no netto. Significa che la sicurezza diventa parte della soluzione fin dall'inizio.
Ciò contribuisce a garantire che l'organizzazione rimanga robusta e sicura nelle sue operazioni, dando al contempo la possibilità ai team di sperimentare e crescere.
Applicazioni e processi aziendali agili, con cybersecurity integrata, differenziano e aumentano la reattività delle organizzazioni. Questa apertura, innovazione e vantaggio competitivo sono ciò che una buona sicurezza offre nella pratica.
Sfido gli altri professionisti della cybersecurity a farsi portavoce di questo cambio di mentalità e a incoraggiare gli altri ad abbracciarlo. Perché in un panorama delle minacce in rapida evoluzione, curiosità e collaborazione sono punti di forza strategici per un'organizzazione. E le aziende che sfruttano il rischio, anziché fuggirne, costruiranno un potente vantaggio competitivo.