Le Competenze chiave della Nuova Sicurezza: perché – oggi – dobbiamo pensare “al nuovo” !

Quando pensiamo al “nuovo” non dobbiamo più pensare alle “nuove paure” ma “al nuovo”. Ad un nuovo a tutto tondo ! E, se dobbiamo pensare, è indispensabile fare uno sforzo ! Pensare è – in termini generali – uno sforzo Culturale che le norme Europee hanno provato ad instillare da anni: consapevolezza, competenza e rendicontabilità. E questo sforzo – del pensare e della cultura – non va lasciato al perimetro degli specialisti dal momento che i rischi dell’Intelligenza Artificiale riguardano tutti ed emergono nella vita quotidiana, nelle scelte e nei flussi di lavoro. Ma non solo: oggi non è più sufficiente “non fare stupidi errori”, oggi è indispensabile “conoscere”, “comprendere”, “dubitare”. “Conoscere” non significa trasformare ogni dipendente in un esperto ma costruire un’alfabetizzazione di base che consenta a tutti, in ogni ruolo, di capire il senso dei rischi principali e non sentire termini come “prompt injection” o “model extraction” e di non percepire questi termini troppo di nicchia. “Comprendere” – invece – significa ricostruire il contesto, ovvero il sistema che stiamo usando, quali dati stiamo trattando, dove potrebbe rompersi. E’ la differenza tra sapere che il “phishing” è pericoloso e capire perché una specifica email – pur perfetta nella forma – è sospetta nel contesto della propria azienda. “Dubitare” è la competenza più critica nell’era dei “deepfake”. Non dobbiamo farci prendere dal panico o dalla paura ma avere un corretto “dubbio operativo”: chiedersi se la telefonata dal CEO che chiede un’azione urgente e fuori procedura sia reale oppure se un chatbot, che risponde in modo perfetto, stia davvero rivelando qualcosa che non dovrebbe...Molte, troppe organizzazioni stanno ancora sottovalutando questa trasformazione. E va rimarcato che anche tutti i componenti del Consiglio di Amministrazione dovrebbero essere in grado di fare domande sensate sui rischi, sui controlli, sui fornitori, sul monitoraggio e sulle responsabilità. I rischi – in particolare in questo momento storico – vanno tradotti in scelte operative: “quali dati possono entrare in un sistema”, “quali compiti possono essere automatizzati e quali no”, “come si controllano output e comportamenti anomali”, “ quali misure di continuità servono se il servizio degrada o viene abusato”, ecc. E’ anche fondamentale avere strumenti per riconoscere qualcosa che non “torna”, come una richiesta urgente e fuori procedura, una voce troppo perfetta, ecc. Quello che deve diventare la nostra certezza è che la Sicurezza non è più soltanto “non fare” ma è “capire il perché”. Ed arriviamo al punto fondamentale, dal quale potremo capire o meno – se effettivamente – stiamo seguendo la via corretta oppure no...anche perché, questa volta, sbagliarla potrebbe essere molto più pericoloso. E’ ormai evidente che la Formazione tradizionale non basta. E, anche, che le linee guida imposte dal “come condurre un’analisi” piuttosto che “il seguire schemi conosciuti” non possono più essere il cavallo di battaglia di nessuno. Compreso questo concetto dobbiamo – di necessità – costruire un programma in itinere che si differenzia per ruoli e che abbia il potenziale di lavorare ed analizzare con strumenti quali la semantica, la semiotica e la Filosofia. Un attestato che certifica non basta più. Anzi, alcune volte certifica la mancanza di capacità espansiva della mente. E’ necessario rivisitare il lavoro interdisciplinare e mettere “paletti” oltre che valutare l’attuale linguaggio comune: queste sono le chiavi per una valutazione del rischio adeguato. Le competenze distribuite e il lavoro interdisciplinare richiedono una valutazione efficace ed efficiente ma la prima domanda da porsi è “ qual’ è la capacità complessiva della mente del professionista che si erge ad effettuare questa valutazione ? E se il team tecnico deve comprendere le vulnerabilità e le dipendenze è vitale che il legale debba tradurre requisiti e responsabilità. Il business deve stimare l’impatto operativo e reputazionale; le risorse umane devono capire quali competenze servono e come allenarle; chi gestisce procurement e fornitori deve pretendere evidenze e garanzie coerenti con il rischio. Questo processo funziona solo se le parti parlano un linguaggio comune e hanno una comprensione minima del dominio degli altri. Ed è, di nuovo, Formazione: non quella a compartimenti stagni, ma “Quella davvero innovativa”, quella integrata che collega rischi, processi e decisioni: quella che, fino ad ora, vediamo arrancare dietro a tempi e necessità che viaggiano ad altissima competitività. Il concetto del dubbio – spesso visto nella sua accezione negativa – deve essere incoraggiato !In filosofia, il dubbio è un fondamentale strumento di ricerca, non solo incertezza, che indirizza a cercare verità o consapevolezza della sua stessa impossibilità. Si distingue in metodico e scettico. È, anche, il motore del pensiero critico che supera conformismi e dogmi.  Il dubbio non è paralizzante, come spesso si pensa. E’ una forma di riflessione anticipata utile per le decisioni. Il dubbio è interpretato come la capacità di mettere in discussione le certezze date, trasformando l'incertezza in un'opportunità di conoscenza e libertà. E come il dubbio, anche le anomalie vanno analizzate. Se chiediamo alle persone di verificare e dubitare dobbiamo però – prima – aver reso praticabile quel comportamento e, soprattutto aver abbattuto ciò che ha incentivato il “farlo poco”, se non raramente. Aver ridicolizzato i falsi allarmi e, allo stesso modo, aver punito chi – per una verifica ragionevole – abbia rallentato un processo non ha avuto poco peso, anzi. E’ compito di una sana e buona organizzazione ricreare la cultura sana del dubbio, dandole -  finalmente – la giusta dignità del dubbio informato. E si può già iniziare, con gli strumenti che già abbiamo: OWASP, NIST e ISO 42001. La differenza è che non devono più essere usati come checklist ma come – vere e proprie – risorse per strutturare le scelte. Questi strumenti possono supportare questo lavoro non perché si vanno a sostituire alla responsabilità ma perché aiutano a fare e a farsi domande migliori, a rendere le scelte documentabili e migliorabili nel tempo. Chiaramente il comportamento delle organizzazioni non sarà lo stesso e perciò, mentre alcune resteranno resilienti al cambiamento e quindi diventeranno sempre più vulnerabili, le altre creeranno – fisiologicamente – un crescente distacco. Un distacco che sarà creato dal salto trasformativo non effettuato dalle aziende che continuano con il business “us usual”. Quelle disposte all’accettazione del cambiamento avranno più resilienza nel riconoscere ed assorbire minacce nuove, avranno maggiore capacità di evitare incidenti che diventando notizia in poche ore danneggia anche la reputazione. E avranno più strumenti per rispondere a richieste di accountability. Quelle che opporranno resistenza andranno avanti un pò ma lo faranno con un debito tecnico e culturale che andrà, ovviamente, ad aumentare — finché un incidente, una scelta sbagliata su un fornitore, o un’integrazione frettolosa con un sistema AI non verificato renderà improvvisamente evidente il costo dell’inerzia. Se non passerà il messaggio che la differenza non sarà solamente la tecnologia a disposizione o il budget allocato alla Sicurezza ma il Pensiero che rappresenta e costituisce la Cultura Organizzativa non ci sarà nessun firewell, per quanto possa essere di livello e sofisticato, che potrà mai compensare un management che autorizza l’integrazione di sistemi senza comprenderne rischi e controlli. Nessuna policy password può proteggere da una richiesta urgente veicolata da un deepfake credibile se non esiste una procedura di verifica e un’abitudine al dubbio. Diversamente dalla Sicurezza del passato – oggi – non ci si può più permettere di recitare una parte, la parte di chi “è” e “si sente” al Sicuro perché ha osservato scrupolosamente tutte le regole della recitazione perfetta, nemmeno fossimo ad uno spettacolo teatrale ! E’ arrivato il Tempo di “essere davvero al sicuro”. E perché questo accada ci vuole consapevolezza, metodo e capacità di cambiare insieme al tempo e al contesto ma, anche, quando le analisi degli incidenti ci stanno indicando che c’è qualche errore nel processo in atto o, solo semplicemente, che ci stiamo sbagliando Noi ! E se tutto questo dovesse accadere – cosa che mi auguro vivamente – ci potremmo finalmente rendere conto che oltre al non pensare e al non essersi presi della cultura abbiamo commesso il più grande degli errori, fin da principio. O meglio: l’ errore è stato commesso e, per svariate ragioni, non abbiamo avuto il coraggio di “fermare” l’adozione di questo comportamento da parte di molti forse anche perché politicamente scorretto in una politica dove le relazioni e i contatti sono importanti. Ma mai quanto la Sicurezza di tutti. Abbiamo fatto o subito una scelta oligarchica e questo, come la storia ci ha insegnato, non ha portato altro che problemi.

articolo di:

DIVENTA REFERENTE