Vai al contenuto
Home » L’awareness fatto finora ha fallito

L’awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed
LinkedIN e per la quantità di
fuffa che molti contatti, soprattutto italiani, producono alla ricerca di
opportunità ci business quasi sempre legate al, rullo di tamburi, GDPR.

Il mantra è sempre il solito. Ci si lamenta delle tante vulnerabilità, si parla
dei produttori di software o di hardware che non si preoccupano della security
e si chiosa su quanto sarebbe bello il mondo se la privacy dei dati fosse
tenuta in considerazione e salvaguardata.

Spesso, oltre che su LinkedIN, queste considerazioni vengono fatte in auto
referenziali conferenze dove si parla o tra CISO o con IT manager strizzando un
occhio, più a cercare di qualificarsi come fornitore che dare una risposta
chiara ad un problema vecchio come il cucco.

Se non vai a parlare agli sviluppatori o a chi disegna hardware, come puoi
incrementarne la security posture?

Eh già, tutti si lamentano del problema della security ma pochi hanno veramente
voglia di risolverlo.

Come capire se chi ci sta davanti vuole vendere un servizio o vuole realmente
vedermi felice e sicuro, magari come suo cliente? Bhé la persona che mi deve
stare davanti deve spaccare il bit e parlare la lingua di chi scrive software o
di chi progetta un’architettura hardware. Un jack of all trades che si limita
a snocciolare storie di cybercrime mi farà si passare un’ora nella magia delle
atmosfere da Mr. Robot, ma non sarà in grado di aiutarmi nell’atto pratico di
non scrivere più codice insicuro.

Piccola storia. Un fornitore di un software mi ha dato JVM 5 come requisito per
un servizio che devo integrare. Questo fornitore, mi aspetto abbia sentito,
nelle tavole rotonde o in qualche altro contesto, un esperto che gli ha
parlato di sicurezza, di GDPR e altre amenità del genere.
Quanto gli è rimasto di quelle vuote parole, se mi chiedi un ambiente operativo
che non ha più supporto, neanche nella sua versione estesa, da 4 anni?

A volte penso che il nostro sia un mercato che viva più sull’auto alimentazione
di un circuito che non vuole risolvere i problemi per non perdere in giornate
fatturabili al cliente.
Un po’ come dire “ehi, a me non frega niente di java, ruby o python, io sono un
cyber esperto e ti parlo di privacy”, tutto questo senza voler andare un passo
in là e affrontare il problema di “come coniugo privacy, sicurezza, sviluppo,
marketing e business?”

Sì perché le anime da coniugare, per aumentare la security posture di
un’azienda, sono tutte le anime presenti in azienda, dagli amministrativi al
top management. Management che, invece di andare a sentire all’ennesima tavola
rotonda deve rivedere profondamente come vuol fare awareness in azienda a
partire proprio dalle figure che vuole ingaggiare.

Mi spiace essere così rude, ma mai come ora chi viene chiamato a fare awareness
è necessario sia qualcuno che queste problematiche le abbia risolte e si sia
sporcato le mani, ma soprattutto sia in grado di parlare il linguaggio delle
persone che intende formare.

Altrimenti staremo ancora a sorridere davanti al buffet di qualche anonimo
albergo mentre la persona davanti a noi ci parla di cybercriminali, criminal
hackers e gdpr.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.