COMPLIANCE VS SICUREZZA: ANTITESI SUPERABILE SE METTIAMO AL CENTRO L’UOMO
Intervista VIP a Riccardo Porcu
L’adempimento delle procedure non basta, per attuare delle strategie efficaci di cyber security – spiega Riccardo Porcu nell’intervista – bisogna saper esercitare logica collaborativa, visione d’insieme, capacità di trovare costantemente la sintesi tra “microcosmo” e “macrocosmo”, nella consapevolezza che viviamo in un sistema di reti e di relazioni connotati da forte instabilità ed elevati fattori di rischio”. Il progetto Academy, tratteggiato nel corso della discussione, innovativo per metodologia e contenuti, apre un interessante scenario sulla costruzione di leadership manageriali sul corretto posizionamento della sicurezza nelle organizzazioni produttive.
Direttore Porcu, Sicurezza e Compliance, sono termini che presentano molti aspetti in antitesi. Come si declinano in contesti organizzativi e produttivi complessi?
Vorrei sottolineare un primo aspetto all’inizio di questa conversazione: la sicurezza non è un bene delegabile, perché ha molto a che fare con i comportamenti agiti da ogni singolo attore dell’organizzazione. Il fattore umano resta centrale quando si devono affrontare tematiche come la protezione di reti e sistemi. La sicurezza è architettura, visione di insieme, comunicazione, non bastano profili tecnici, pur importanti per gestirla, perché sono messe in discussione le logiche che reggono l’intero impianto organizzativo delle istituzioni e delle imprese. Compliance vuol dire “adeguarsi” alle norme, ma sarebbe riduttivo se ci soffermassimo solo su questo aspetto. Il processo che si sviluppa quando si attuano azioni di cyber security ha una radice statistica, ingloba una pluralità di figure, coinvolgendo un teatro molto ampio di attività e di settori di business. Tornando alla sua domanda iniziale direi che la sicurezza comprende il concetto di compliance e, nel contempo, lo travalica.
Se non c’è, come si evince dalla sua riflessione, alcuna contraddizione tra sicurezza e compliance, possiamo evidenziare i punti di convergenza?
Adempiere alle procedure riveste un’importanza decisiva, la gestione dei flussi e delle vulnerabilità che si presentano, e che sono anche dovute a potenziali “errori umani” risponde alla logica della complessità, che non può non tener conto del fatto che oggi ci muoviamo in un “universo di partecipazione” dominato dalle leggi del caos. Chi si occupa di cyber security deve saper conciliare “microcosmo” e “macrocosmo”, gli attaccanti che si insinuano nelle strutture hanno, infatti, un atteggiamento subdolo difficile da prevedere. Sono abilissimi nello sfruttare superficialità commesse dagli attori dell’organizzazione spesso inconsapevolmente, in assoluta buona fede. Per questa ragione un atteggiamento che va bandito è quello dell’autocompiacimento, sovente si è portati a pensare che siccome c’è andata sempre bene, quello che facciamo e abbiamo fatto in termini di protezione degli asset funzionerà sempre. Tanti recenti fatti di cronaca dimostrano che non è proprio così.
La fallibilità di Popper e il ruolo della formazione
La rivoluzione tecnologica ha modificato i concetti di vulnerabilità e rischio, come si attua una corretta governance della sicurezza in uno scenario in costante mutazione?
Dobbiamo imparare ad accettare la fallibilità popperiana, che è sempre un indizio di progresso della scienza e della conoscenza. La domanda che dobbiamo porci non è: “ci sarà un attacco?”, ma: “quando ci sarà un attacco…”. L’approccio riduzionista non è più adatto a leggere la realtà entro cui ci muoviamo, così come appare fuorviante l’approccio di tipo sanzionatorio. La parola chiave è collaborazione. Nessuna realtà organizzativa può avere attualmente le risorse necessarie per far fronte alle esigenze di cyber security, che sono crescenti in ragione della progressiva digitalizzazione degli ambiti in cui ci muoviamo, e non mi riferisco ovviamente solo al lavoro. Non esistono insomma realtà produttive impermeabili al rischio. Dal paradigma del controllo rigido di un perimetro fisico, dobbiamo passare al paradigma della governance di sistemi lontani dall’equilibrio, mutevoli, per nulla statici e per definizione in continua evoluzione, perciò difficili da focalizzare e misurare.
Quello che descrive è un “salto” non solo normativo, ma culturale e organizzativo. La PA è pronta a compiere questo passo?
Occorre precisare che esistono più PA. In Italia abbiamo più di seimila comuni che contano meno di seimila abitanti. Le realtà più strutturate possiedono risorse per far fronte anche alle esigenze di formazioni, che sono cruciali in questa fase di cambiamento epocale. Le Regioni e la PA a livello centrale devono diventare un punto di riferimento nell’adozione di strategie collaborative, per consentire al paese la transizione digitale ed energetica. È necessaria una cabina di regia che faccia da polo attrattore dell’innovazione, erogando servizi di sicurezza e più in generale servizi IT per le comunità che hanno bisogno di adeguarsi a standard di connettività sempre più sofisticati. Insisto molto, anche nei corsi che curo per l’Università, sul concetto di cross management. La mia direzione si è fatta parte attiva per la creazione di un nucleo interdisciplinare, non previsto dalla pianta organica e che andrebbe al più presto ricompreso in una legge ad hoc, che ha come mission il macthing di profili e competenze. Il corredo tradizionale dei saperi non appare infatti più idoneo per affrontare il vento della trasformazione, che rischia di travolgerci se non ci attrezziamo in fretta. Questo vale sia per il pubblico che per il privato.
Art. 3 della Costituzione: giustizia, sicurezza e buon governo si toccano
Per sviluppare un’adeguata strategia di cyber security, le aziende che fanno ricerca in questo ambito, insistono sull’importanza della formazione, della collaborazione, della cooperazione, del dialogo costante tra capi e dipendenti. Più facile a dirsi che a farsi, non crede?
Non c’è nulla di scontato quando parliamo di temi caldi come la sicurezza, che investono la collettività, nessuno escluso. La Regione Sardegna si è ispirata all’art.3 della Costituzione. Il passaggio cruciale in cui si parla di “rimozione degli ostacoli” alla partecipazione di tutti alla vita democratica, credo vada posto all’attenzione dell’opinione pubblica, a tutti i livelli. L’uguaglianza sostanziale è un valore essenziale del nostro stare insieme. Abbiamo creato un’Academy strutturata in quattro indirizzi, nella convinzione in questa partita, che attiene a delle scelte politiche fondamentali, anche la sicurezza riveste un ruolo di primo piano, perché sicurezza e buon governo si toccano.
Il Garante della Privacy, Pasquale Stanzione, ha sottolineato nella sua relazione annuale, la stretta connessione che esiste tra umanesimo digitale e protezione dei dati, tracciando un nesso molto forte tra un duplice ambito di riflessione: “rule of law” e “rule of technology”. Si tratta di un parallelismo troppo ardito quello tracciato dal giurista?
Il riferimento storico che mi piace richiamare è il Rinascimento, come ha scritto recentemente il filosofo Marramao dovremmo guardare con intelligenza al passato per guardare con maggior fiducia al futuro. “Essere stati è la condizione per essere”, Fernand Braudel, ha ragione il grande storico degli Annales. Quando, la mia direzione ha deciso di dare un apporto per potenziare il polo strategico nazionale ci siamo trovati, non a caso, a Firenze. In questa splendida città, tra il XV e il XVI secolo l’Italia ha affermato il suo primato, è stata per l’ultima volta al centro del mondo. Donatello, Michelangelo, Raffaello il genio universale si è manifestato in queste menti eccelse. Lo spirito collaborativo di cui parlo, deve rifarsi alla grandezza di questi esempi, i team che operano nella sicurezza devono avere una trasversalità propositiva e creativa. Torno alla riflessione iniziale, ribadendo il carattere non delegabile della sicurezza. Se non si conoscono i linguaggi dell’organizzazione e i comportamenti conseguenti da adottare, non si può avere né tanto meno sviluppare alcuna capacità di reazione nelle situazioni di crisi.
Il progetto Academy
Le Academy che avete progettato rispondono a una visione integrata della sicurezza?
Rispondono ad alcune finalità ben delineate. È sempre più diffusa la necessità di attuare un “rinascimento digitale”, senza di cui risulta impossibile mettere in campo delle collaborazioni qualificanti. Tutti desideriamo uscire al più presto dal tunnel della crisi, bisogna per questo produrre oggetti e progettare servizi che permettano una crescita reale. “Interaction Mind”, primo dei quattro indirizzi della nostra Academy ha questo preciso scopo: affinare la capacità di interagire, di creare team collaborativi e gruppi ad alta capacità assecondando le potenzialità di cui dispone la neocorteccia del nostro cervello. “Organize your mind” scandisce il secondo step, propedeutico alla creazione del cross management e alla riorganizzazione di strutture e servizi. Security mind è l’indirizzo dedicato alla formazione di funzionari e manager della sicurezza consapevoli delle conseguenze legate alla trasformazione digitale.
“New public mind” è la parte dei nostri corsi che guarda al settore pubblico, ambito cruciale che deve affrontare questa stagione di cambiamento con responsabilità, metodo, consapevolezza. Quando parliamo della PA, ci riferiamo a quella che rimane la prima “azienda” del Paese. Dalla collaborazione interistituzionale e dall’evoluzione della PA dipenderà lo sviluppo del sistema paese nel suo complesso.
La visione interdisciplinare implica un diverso posizionamento della sicurezza nel contesto delle organizzazioni produttive?
La direzione generale presso la Regione Sardegna che mi è stata affidata aveva prima del mio arrivo la seguente denominazione: “affari generali e società dell’informazione”, ho modificato la dizione trasformandola in “innovazione e sicurezza IT”, nella convinzione che per guidare il cambiamento occorre un grande lavoro di change management.Voglio ringraziare a questo proposito il Presidente della Regione Sardegna, Christian Solinas e l’Assessore Regionale agli Affari generali, Personale e Riforma, Valeria Satta per il committment e la programmazione concordata. Il loro apporto è stato essenziale per portare avanti i progetti e per dare effetto concreto al generale bisogno di innovare, che tutti avvertiamo. Non dimentichiamo che la sicurezza non è un affare da ingegneri in “camice bianco” ma è legata a un miglioramento costante a tutto tondo delle risorse umane, che va perseguita con attività di coaching molto mirate.
Si riferisce all’importanza di porre in essere efficaci e innovative attività di awareness?
Awareness nella mia visione vuol dire sviluppare capacità di essere collegati a un mondo multidimensionale. L’universo è in espansione, non vedo perché dirigenti e manager non debbano sentire l’esigenza di allargare costantemente il proprio raggio di azione. Torna ancora una volta la filosofia del rinascimento, soprattutto quel nesso inscindibile tra macrocosmo e microcosmo, che avevo già richiamato. Grandi maestri, come Eugenio Garin, ci hanno fatto vedere tutte le implicazioni legate al passaggio dal cosmo chiuso all’universo infinito. A questa costellazione di concetti, aggiungerei la libertà come valore. La sicurezza è intimamente legata al concetto di libertà. Non dobbiamo costruire “regimi vessatori” per garantire la sicurezza. La tutela del corpo fisico ed elettronico, la difesa della sfera intima e della privacy devono contemperare la libertà di espressione e di movimento di cui ognuno di noi deve godere. Credo abbia ragione il Garante, torno al tema della compliance, quando invocando responsabilità e attenzione da
parte delle imprese chiamate a rispettare le normative vigenti, sgombra il campo dalla prospettiva di un diritto “tiranno”, facendo riferimento proprio alla privacy. Lo si è visto nella pandemia: dal giusto bilanciamento tra privacy e diritto all’informazione è dipesa la possibilità di intervenire e di salvare molte vite somministrando con puntualità e capillarità terapie e vaccini.
Compliance e diritti della persona
Nella tutela del corpo elettronico etica e tecnologia si toccano. Possiamo dire che siamo di fronte a un’ulteriore declinazione della compliance?
A patto di interpretarne il significato in maniera ampia. Nomos, ethos e patos si toccano come ci ha insegnato per primo Platone. Chi opera nella sicurezza si muove su questi tre versanti: la legge, il dover essere, e il pathos la preoccupazione e la paura che le nostre certezze vengano messe a rischio da insidie e pericoli sempre più difficili da individuare, prevenire, contrastare. Una compliance avvertita deve tenere conto dei dritti della persona nel disegnare i regolamenti.
La comunicazione che funzione può avere nella compliance della sicurezza?
Una funzione decisiva. La comunicazione non è una disciplina in più, è una competenza che deve stare dentro i processi, contribuendo, grazie a un rigoroso lavoro sul linguaggio, a fugare le ambiguità e a chiarificare messaggi, procedure, policies. Una compliance priva di una reale comprensione delle norme sarebbe un controsenso. Il linguaggio è il nostro mondo come sosteneva Heidegger. La Scuola di Palo Alto ha fondato molte delle sue teorie sul concetto di retroazione, per cui risulta decisivo quello che i miei interlocutori capiscono, i significati cui accedono, non quello che dicono i capi o i responsabili, magari ex cathedra, esercitando una pressione gerarchica ormai fuori dal tempo. Per dirla in sintesi: i dirigenti che hanno competenze manageriali in grado di gestire la comunicazione hanno oggi un’arma in più.
Chiuderei questa conversazione se mi permette dal punto in cui abbiamo iniziato: la sicurezza è un valore non delegabile. Per questa ragione la creazione di leadership collaborative, aperte in termini culturali e di visione non può non contemplare la comunicazione quale asset strategico, utile ad affrontare una corretta governance del cambiamento, nel contesto di una società evoluta, in perenne divenire.
Autore: Massimiliano Cannata