Sempre e per sempre, quale affascinante chiosa di ogni grande storia d’amore. Amore che però mal si colloca nei contesti cyber, in cui al più assume la forma del love scam. O magari esprime un legame di particolare dedizione nei confronti di un SIEM o un SOC e degli alert tempestivi, chissà.

Certamente, però, il per sempre mal si adatta al concetto di rischio che esprime l’effetto dell’incertezza sugli obiettivi. E, di conseguenza, sembra piuttosto improbabile che tanto la prima quanto i secondi possano dirsi congelati nel tempo o al di fuori di esso, in una dimensione quasi-lovecraftiana.

Il rischio è dunque tutt’altro che immutabile e questo accade a prescindere che si abbia l’accortezza o la volontà di monitorarlo.

Monitorare il rischio nel tempo, o ancor meglio prevederne l’andamento, è così un’operazione fondamentale per la gestione della sicurezza cyber. Altrimenti, l’adeguatezza diventa una pia illusione o altrimenti un’opera di autoconvincimento.

Con la conseguenza di sfumare piuttosto facilmente nel momento in cui la realtà mette alla prova quel velo di Maya di paper compliance in cui sostanzialmente siamo andati a dire non solo che va tutto bene ma che tutto andrà sempre bene in forza di misure di sicurezza predisposte e mai realmente analizzate e misurate.

La dura realtà e l’opera di riesame

La dura realtà bussa alla porta, e dunque se non lo abbiamo fatto noi può imporci un riesame dei rischi in modo piuttosto dirompente. Ad esempio, significando che quella probabilità di minaccia mai considerata, o valutata con un’occorrenza piuttosto limitata, ora ha un valore di 1.

Semplicemente, perché si è realizzata. Meno semplice sarà accettare questo fatto e soprattutto contenere gli effetti dell’evento, oltre che imparare una severa lezione.

Una cartina al tornasole a riguardo viene resa dal trend delle assicurazioni di rischio cyber, sempre meno propense al compromesso della conformità formale. Anche perché, gli ecosistemi complessi come la NIS 2 prevedono una gestione continua del rischio, peraltro estesa a tutta la supply chain.

Nulla che è possibile improvvisare, o rinviare al momento in cui “capiterà qualcosa”. Ovviamente, nella segreta speranza che quel qualcosa non capiti mai.

Lasciamo dunque che il per sempre sia accanto a cose come diamanti e finali da fiaba. Non ai rischi.

Per quelli, bisogna essere più prosaici e ammetterne il riesame nel tempo.