Frecvent, în discuţiile avute cu vendorii şi furnizorii de soluţii şi servicii de securitate, atunci când am abordat subiectul principalelor provocări cu care se confruntă în interacţiunea cu companiile de dimensiuni medii, răspunsurile neoficiale primite au făcut nominalizat în primul rând o problemă de mentalitate. Care poate fi sintetizată în formularea: „Că doar nu o să mi se întâmple tocmai mie!“.
Este, evident, o formulare care dezvăluie o strategie de business oportunistică şi păguboasă pe termen mediu şi lung, pentru că „deşteptarea“ retroactivă are costuri adiacente. Lecţiile învăţate pe propria piele prezintă dezavantajul major că au la bază mecanismul cuantificării pagubelor şi al comparării acestora cu cât ar fi costat prevenirea sau măcar diminuarea pierderilor până la un nivel acceptabil.
Parte din interlocutorii cu care am abordat acest subiect au plasat abordarea aceasta naivă a provocărilor securităţii, bazată pe o credinţa nejustificată într-o imanentă în invulnerabilitate, în zona de „specific local“. Iar argumentul cel mai des invocat în favoarea „aspectului local“ a fost, inevitabil, raportarea la pieţele „mai dezvoltate“. Unde se poate vorbi deja de o cultură a securităţii informatice în rândul clienţilor, dar mai ales a potenţialilor beneficiari, şi unde abordările neaoşe de tipul „Nu o să mi se întâmple tocmai mie!“ sunt excepţii.
Ei bine, nu sunt! Argumentele şi mai ales atitudinile de acest tip nu au legătură cu arealul geografic. Aşa susţin analiştii Gartner, care, în topul celor mai frecvente 10 „mituri“ legate de securitate (prezentate în cadrul „Gartner Security & Risk Management Summit“) au nominalizat pe primul loc abordarea „It won’t happen to me!“. Sună cunoscut?
Analiştii citaţi susţin că este o poziţionare dictată de faptul că mediatizarea excesivă a riscurilor de securitate generează în rândul companiilor o reacţie de dezinteres, susţinută de o lipsă cronică a dorinţei de a investi în această direcţie şi de evitarea asumării oricărei responsabilităţi. E de-a dreptul pe româneşte!
Presa de specialitate mi-a mai oferit recent încă un argument în direcţia combaterii pledoariei bazate pe „specificul local“ – studiul „The Risk of an Uncertain Security Strategy“ realizat de Ponemon Institute pe un eşantion de 2.000 de respondeti, provenind din companii din Statele Unite, Marea Britanie, Germania, Australia, India, Singapore şi China. Studiul, sponsorizat de Sophos şi publicat în noiembrie a.c., a avut ca principal obiectiv înţelegerea modului în care companiile mici şi mijlocii având între 100 şi 5.000 de angajaţi (SMB-urile lor sunt mai mari decât IMM-urile noastre) gestionează ameninţările şi riscurile de securitate.
Iar prima concluzie este edificatoare: 58% din subiecţii intervievaţi au confirmat faptul că managementul companiilor în care lucrează nu consideră atacurile şi ameninţările informatice ca pe un risc real pentru business-ul pe care îl desfăşoară. Şi aceasta deşi valoarea pagubelor creşte constant. Însă şi decelarea pierderilor reprezintă o problemă reală pentru subiecţii studiului – o treime din respondenţi au declarat că nu pot afirma cu certitudine dacă organizaţiile în care activează au fost sau nu victimele unui incident de securitate informatică în decursul ultimelor 12 ani.
Sunt concluzii care sună foarte familiar şi care pot fi exemplificate pe larg la nivel local. După cum o demonstrează şi restul miturilor inventariate de analiştii Gartner. Din care mai merită menţionat măcar unul, pentru că face referire de data aceasta la un mod de abordare eronat al vendorilor şi furnizorilor: riscurile de securitate pot fi cuantificate. Este genul de abordare care confirmă perpetuarea unei culturi manageriale dezvoltate pe bază de Excel şi în care argumentul final aparţine celui care are numărul cel mai mare. Ceea ce se poate cuantifica cu certitudine sunt pagubele, dar până la a se ajunge acolo ar fi mult mai utilă conştientizarea non-numerică a riscurilor. Şi înţelegerea faptului că ideea recuperării/amortizării investiţiei într-un sistem de securitate nu este cea mai potrivită, pentru că puţini sunt cei care îşi doresc să aibă parte, cu adevărat, de prilejul de a verifica valabilitatea unei asigurări în caz de accident…