L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business quasi sempre legate al, rullo di tamburi, GDPR.

Il mantra è sempre il solito. Ci si lamenta delle tante vulnerabilità, si parla dei produttori di software o di hardware che non si preoccupano della security e si chiosa su quanto sarebbe bello il mondo se la privacy dei dati fosse tenuta in considerazione e salvaguardata.

Spesso, oltre che su LinkedIN, queste considerazioni vengono fatte in auto referenziali conferenze dove si parla o tra CISO o con IT manager strizzando un occhio, più a cercare di qualificarsi come fornitore che dare una risposta chiara ad un problema vecchio come il cucco.

Se non vai a parlare agli sviluppatori o a chi disegna hardware, come puoi incrementarne la security posture?

Eh già, tutti si lamentano del problema della security ma pochi hanno veramente voglia di risolverlo.

Come capire se chi ci sta davanti vuole vendere un servizio o vuole realmente vedermi felice e sicuro, magari come suo cliente? Bhé la persona che mi deve stare davanti deve spaccare il bit e parlare la lingua di chi scrive software o di chi progetta un’architettura hardware. Un jack of all trades che si limita a snocciolare storie di cybercrime mi farà si passare un’ora nella magia delle atmosfere da Mr. Robot, ma non sarà in grado di aiutarmi nell’atto pratico di non scrivere più codice insicuro.

Piccola storia. Un fornitore di un software mi ha dato JVM 5 come requisito per un servizio che devo integrare. Questo fornitore, mi aspetto abbia sentito, nelle tavole rotonde o in qualche altro contesto, un esperto che gli ha parlato di sicurezza, di GDPR e altre amenità del genere. Quanto gli è rimasto di quelle vuote parole, se mi chiedi un ambiente operativo che non ha più supporto, neanche nella sua versione estesa, da 4 anni?

A volte penso che il nostro sia un mercato che viva più sull’auto alimentazione di un circuito che non vuole risolvere i problemi per non perdere in giornate fatturabili al cliente. Un po’ come dire “ehi, a me non frega niente di java, ruby o python, io sono un cyber esperto e ti parlo di privacy”, tutto questo senza voler andare un passo in là e affrontare il problema di “come coniugo privacy, sicurezza, sviluppo, marketing e business?”

Sì perché le anime da coniugare, per aumentare la security posture di un’azienda, sono tutte le anime presenti in azienda, dagli amministrativi al top management. Management che, invece di andare a sentire all’ennesima tavola rotonda deve rivedere profondamente come vuol fare awareness in azienda a partire proprio dalle figure che vuole ingaggiare.

Mi spiace essere così rude, ma mai come ora chi viene chiamato a fare awareness è necessario sia qualcuno che queste problematiche le abbia risolte e si sia sporcato le mani, ma soprattutto sia in grado di parlare il linguaggio delle persone che intende formare.

Altrimenti staremo ancora a sorridere davanti al buffet di qualche anonimo albergo mentre la persona davanti a noi ci parla di cybercriminali, criminal hackers e gdpr.