Il gran giorno sta per arrivare: l’ex capo della sicurezza di Twitter Peiter Zatko testimonierà davanti alla commissione giudiziaria del Senato Usa martedì prossimo, appena tre settimane dopo che la sua denuncia contro il social network è diventata pubblica.
I leader aziendali dovrebbero prestare attenzione alla rapidità con cui il Congresso ha trascinato Zatko: per Twitter potrebbe trattarsi dell’inizio di una discesa reputazionale.
Zatko sostiene che i dirigenti senior di Twitter abbiano nascosto le vulnerabilità della sicurezza informatica, riferito erroneamente l’efficacia delle misure di sicurezza alle autorità di regolamentazione e ai clienti, e abbiano intenzionalmente nascosto le informazioni al consiglio di amministrazione. Twitter ha respinto queste accuse parlando di “una falsa narrazione” priva di contesto.
Il contenzioso richiederà probabilmente anni, ma Zatko ha denunciato gli illeciti nella sicurezza informatica ha già mutilato la reputazione e il prezzo delle azioni di Twitter.
Questo caso è parallelo a una denuncia contro l’appaltatore della difesa Aerojet Rocketdyne, che il mese scorso ha accettato di pagare 9 mln di dollari per risolvere le accuse di violazione del False Claims Act travisando la sua conformità ai requisiti di sicurezza informatica.
Si tratta infatti di due società quotate in borsa, due consigli presumibilmente fuorviati e due informatori con informazioni privilegiate e competenze tecniche che identificano i fallimenti della sicurezza informatica in aziende in cui questo tipo di carenze ha implicazioni per la sicurezza nazionale.
Il caso dell’Aerojet Rocketdyne è stato risolto piuttosto in fretta e senza troppo risalto mediatico. È improbabile che Twitter godrà della stessa sorte.
Ciò che Zatko afferma su Twitter sembra più vicino alla norma che all’eccezione, in questo mondo in cui si sottostimano gli incidenti di sicurezza informatica. Sia nel caso di Aerojet Rocketdyne che in quello di Twitter, gli informatori hanno comunicato alle aziende quale linea di condotta adottare, ma non hanno ottenuto il consenso dei vertici.
Ora gli addetti ai lavori e i professionisti della sicurezza nelle società quotate in borsa saranno solo incoraggiati a farsi avanti e condividere ciò che sanno essere vero: la sicurezza informatica nella maggior parte delle aziende, nonostante ovvi problemi di sicurezza nazionale, è sottofinanziata, sottoregolamentata e spesso travisata per creare la falsa percezione di progresso.
I dirigenti devono prendere più sul serio la sicurezza informatica e circondarsi di voci che possano tradurre le vulnerabilità tecniche in rischi per il business. L’argomento non può più essere ignorato, soprattutto con le nuove normative e l’applicazione in arrivo per diversi settori. In effetti, molte aziende devono già far fronte ai requisiti delle normative governative, proprio come Aerojet Rocketdyne e centinaia di migliaia di altri appaltatori della difesa sono soggetti all’iniziativa per le frodi informatiche civili del Dipartimento di giustizia.
I leader aziendali dovrebbero salvaguardare in modo proattivo le loro organizzazioni: non per il timore di contenziosi, ma perché nel panorama attuale è questo il prezzo del fare affari.
Oggi io sono il Ceo di CyberSheath, l’azienda che aiuta gli appaltatori della difesa a ottenere e mantenere la conformità alla sicurezza informatica.
Dieci anni fa, quando ero Global Chief Information Security Officer (CISO) presso BAE Systems, riferivo al consiglio di amministrazione ogni volta che c’era un problema di sicurezza. Il consiglio ha votato per aumentare l’organico per la sicurezza informatica, sviluppare gli strumenti e costruire un centro operativo di sicurezza globale.
È questa la direzione che bisogna prendere. L’investimento iniziale richiesto impallidisce in confronto al rischio di non soddisfare i requisiti normativi di sicurezza informatica. E non è nulla di fronte a una potenziale battaglia legale che porti a un colpo basso di reputazione per l’intera azienda.
Se questa tendenza alle ‘denunce di alto profilo’ continua, ci sarà un cambiamento rapido e significativo. Sarà guidato dal timore di danni alla reputazione e dalla perdita di fiducia dei clienti. Non dalle multe governative.
Un settore può cambiare da solo molto più velocemente di quanto gli sforzi normativi lo costringerebbero a fare. Gli informatori come Jeffrey Wigand, che ha cambiato per sempre l’industria del tabacco, in passato hanno agito in questo modo.
La sicurezza informatica è molto difficile da quantificare e allineare ai finanziamenti come parte di una decisione aziendale basata sul rischio. Tuttavia, quando si aggiungono all’equazione il rischio reputazionale e i potenziali informatori, è facile giustificare gli investimenti che devono essere effettuati. Riconoscere che la sicurezza informatica è una funzione aziendale continua che richiede investimenti dovrebbe essere la base. A prescindere da qualsiasi cosa riveli la testimonianza di Zatko.
L’era degli informatori che denunciano pubblicamente ciò che non funziona in un’azienda, potrebbe essere solo ciò che alla fine porterà i leader aziendali a fare la luce sul motivo per cui la sicurezza informatica è così importante per le loro operazioni, la loro reputazione e, in definitiva, i loro profitti.
L’articolo originale è disponibile su Fortune.com
