La sicurezza informatica è prevenzione

Lo scopo della sicurezza non è aumentare la sicurezza, ma piuttosto prevenire le perdite. (Steven M. Bellovin)

Il GDPR in vigore obbliga le aziende a garantire attivamente la sicurezza dei dati sensibili. Ma cos’è la sicurezza informatica e come è possibile gestire l’azienda in modo sicuro?

In materia di sicurezza, spesso vi è la tentazione di vedere la questione in modo autoreferenziale: la sicurezza serve a garantire sicurezza, e se non si aumenta la sicurezza, non vi è più sicurezza. Ma la sicurezza in sé non serve a niente, se nella pratica poi ci limita troppo nell’azione. Inoltre, un investimento in sicurezza non necessario è esso stesso una perdita, poiché non risponde a nessuna esigenza concreta.

Come calibrare quindi la politica di sicurezza di un’azienda? La sicurezza aiuta a svolgere le attività dell’azienda ed è quindi importante per il guadagno. Se l’obiettivo della sicurezza è prevenire le perdite, il limite della spesa in sicurezza dovrebbe quindi essere quello di non essere esso stesso una perdita per l’azienda, o perché non rispondente a una minaccia esistente, o perché mal calibrato sulle minacce esistenti.

Ci vuole quindi un approccio a tutto tondo in materia di sicurezza dell’azienda, che parta da una riflessione su quali siano le minacce attuali, quali possano essere le minacce future e come è possibile prevenire le perdite sia oggi che domani. Una buona politica di sicurezza parte quindi da un comportamento di ogni persona all’interno dell’azienda tale da garantire la sicurezza e prevenire quindi ogni possibile perdita di informazioni sensibili.