La cybersecurity è un problema di cultura, non di strumenti

I manager hanno quasi sempre le conoscenze necessarie per proteggersi, ma quello che manca sono i valori, gli atteggiamenti e le convinzioni per tradurre quella conoscenza in comportamenti concreti. È la tesi centrale di Keri Pearlson, Principal Research Scientist e Senior Lecturer alla MIT Sloan School of Management, dove dirige il consorzio di ricerca CAMS (Cybersecurity at MIT Sloan).

Con una carriera che spazia dall’accademia all’industry (AT&T, Gartner e una propria società di advisory per CIO) e pubblicazioni su Harvard Business Review e MIT Sloan Management Review, Pearlson è una delle voci più autorevoli a livello internazionale sul tema della resilienza cyber nelle organizzazioni. L’abbiamo incontrata ad Atene, a margine di EmTech Europe e non ci siamo lasciati scappare l’occasione per un’intervista.

Cybersecurity e AI security: due sfide distinte

Keri Pearlson, Principal Research Scientist e Senior Lecturer alla MIT Sloan School of Management

Anche nel suo intervento al convegno, Pearlson ha sottolineato una profonda distinzione sul doppio binario su cui sicurezza e resilienza devono muoversi oggi: la cybersecurity tradizionale e la sicurezza legata all’AI. Entrambi soffrono dello stesso limite strutturale: per la stragrande maggioranza dei manager, la sicurezza informatica non è la priorità del loro lavoro.

“Sei un responsabile marketing? Il tuo lavoro è il marketing. Sei un contabile? Il tuo lavoro è la contabilità. La cybersecurity è qualcosa che fai in aggiunta”. E gli strumenti tecnologici, per quanto efficaci, non bastano: “Le minacce cambiano, e ciò che è sicuro oggi non lo sarà domani. Puntare al cento percento di sicurezza è un obiettivo irraggiungibile”.

La soglia di ingresso per chi vuole fare del male si è nel frattempo abbassata drasticamente. Sul dark web si trovano tool già pronti, servizi di consulenza, persino help desk per usare gli strumenti d’attacco. “Non devi saper scrivere codice. Basta avere cattive intenzioni e qualche dollaro da spendere”.

L’AI non fa che abbassare ulteriormente l’asticella. Anche se non è stata progettata per essere malevola, può essere usata per generare deepfake, disinformazione, trovare vulnerabilità e portare attacchi su scala industriale.

Quale deve essere quindi la strategia dei manager per rendere le proprie organizzazioni e soprattutto le persone più resilienti nei confronti delle minacce?

Valori, atteggiamenti, convinzioni: il vero cambio è culturale

La risposta più comune – più formazione, più poster di sensibilizzazione nell’area break, più newsletter – secondo Pearlson è anche la meno efficace. “Sono le soluzioni più facili perché sono proattive. Ma costruire la capacità di reagire richiede uno sforzo maggiore”.

Il problema non è la mancanza di conoscenza: “Penso che abbiamo già tutta la conoscenza necessaria. Quello che manca sono i valori, gli atteggiamenti e le convinzioni per agire su quella conoscenza”.

Servono meccanismi manageriali concreti. Pearlson cita l’esempio di un CEO che apre ogni townhall generale con un “cybersecurity moment”: un aneddoto, un titolo di giornale, una storia reale da condividere con il team. Un gesto piccolo, ma capace di normalizzare il tema, segnalare l’importanza che ha per il top management e costruire una cultura nel tempo.

Secure by design: non solo tecnologia, ma processi

Quando parla di approccio “secure by design”, quindi, Pearlson non si riferisce solo alla tecnologia. Il punto critico sono i processi organizzativi. In fase di progettazione, la sicurezza finisce sistematicamente in fondo alla lista delle priorità, soppiantata da usabilità, costi, velocità di rilascio. “La probabilità percepita del rischio è bassa, anche se le conseguenze sarebbero gravi. Così la gente non ci investe”.

La domanda che le organizzazioni raramente si pongono è: cosa succede davvero quando il sistema è down? “Dove tenete le procedure di ripristino? Sono stampate o sono bloccate nei PC e server attaccati? Avete mai fatto un test della procedura?”. La risposta, nella maggior parte dei casi, è sconsolante. Costruire resilienza significa avere una risposta sperimentata nella pratica, non solo teorica.

PMI e supply chain: il vettore d’attacco più sottovalutato

Le piccole e medie imprese sono il punto debole dell’ecosistem, e stanno diventando uno dei principali vettori d’attacco. Il team di ricerca di Pearlson al MIT si occupa specificamente di questo tema. Il paradosso è noto: non puoi fare business con una PMI che non abbia un presidio cyber, ma se la escludi non le darai mai la possibilità di costruirne uno.

La soluzione non passa per le checklist di audit, che le aziende grandi impongono ai fornitori e poi accettano acriticamente. “Se ti limiti ad aspettarti che lo facciano da soli, stai solo facendo finta di affrontare il problema”. Pearlson cita due modelli più efficaci osservati negli Stati Uniti: grandi aziende che, in virtù della leva che esercitano sui fornitori IT, possono negoziare tariffe scontate sui tool cyber per i propri fornitori, e imprese che mettono a disposizione delle PMI il proprio team di sicurezza attraverso sportelli di consulenza gratuiti. “Non solo audit e segnalazioni: bisogna entrare nelle PMI e aiutarle a strutturarsi”.

A livello di ecosistema, la logica è quella della resilienza collettiva: “La vostra azienda è sicura solo quanto lo è la persona meno sicura nel vostro ecosistema”. In questa direzione vanno anche gli ISAC (Information Sharing and Analysis Center), strutture di condivisione delle informazioni sulle minacce che stanno cominciando a diffondersi anche in Italia, su spinta dell’Agenzia per la Cybersicurezza Nazionale.

Fiducia: si costruisce un passo alla volta

La condivisione delle informazioni presuppone fiducia, e la fiducia è esattamente ciò che manca, specialmente in contesti come quello italiano, dove la frammentazione produttiva in distretti industriali alimenta una competitività che rende difficile anche la collaborazione difensiva tra aziende dello stesso settore.

Pearson ha citato l’esperienza americana degli ISAC (Information Sharing and Analysis Center): gruppi di coordinamento tra CISO di diverse aziende che facilitano la condivisione strutturata di informazioni sulle minacce cyber tra aziende dello stesso comparto, con l’obiettivo di rafforzare la difesa collettiva dell’intero ecosistema.

In Italia la pratica non è mai decollata, probabilmente anche per un atteggiamento di campanilismo e timore reciproco tra aziende concorrenti, che non si fidano a condividere informazioni.

Pearlson ha studiato il tema della fiducia nel contesto della cybersecurity e ha una risposta pragmatica: non si può chiedere fiducia in bianco, ma si può costruirla con tanti piccoli passi. “Le aziende non si fidano, ma possono fare un passo. Qualcosa di piccolo, che non spaventa, che non dà la sensazione di esporsi. La fiducia non arriva in un colpo solo: si costruisce”. Un esempio concreto: condividere solo le pratiche anti-ransomware, senza toccare informazioni sensibili. Abbastanza per iniziare, abbastanza per creare un precedente.

Vale la pena ricordare anche che la fiducia si deposita sulle persone, non sulle organizzazioni: basta un episodio negativo con un singolo interlocutore per compromettere la relazione con l’intera azienda.

AI e lavoro: la fusione tra persone e tecnologia resta il vantaggio competitivo

Sull’impatto dell’AI sull’occupazione, Pearlson non è tra gli apocalittici. L’AI è per lei un assistente potente, non un sostituto. “Chi saprà usare l’AI efficacemente prenderà il posto di chi non imparerà mai a usare questi strumenti”. Ma le aziende che oggi licenziano in doppia cifra per sostituire persone con sistemi AI stanno scommettendo su un’equazione che potrebbe rivelarsi sbagliata nel medio termine.

Il rischio, secondo Pearlson, è perdere le capacità cognitive che nessun sistema AI potrà replicare, e ritrovarsi con infrastrutture dipendenti da tecnologie che non si adatteranno abbastanza velocemente.

Il vantaggio competitivo non sta nell’AI da sola, né nelle persone da sole: sta nella loro integrazione. Lo illustra con un caso di studio che usa fin dai tempi del dottorato – Mrs. Fields Cookies, il marchio americano di biscotti che negli anni Ottanta combinò la visione commerciale della fondatrice con un sistema informatico artigianale costruito dal marito per gestire la produzione. “Erano molto più forti insieme – persone e tecnologia – di quanto avrebbero potuto essere separatamente”. Quarant’anni dopo, il principio è lo stesso.