Intervista al CTO di RSA, Zulfikar Ramzan: La comprensione del rischio digitale

Il CTO di RSA, Zulfikar Ramzan, fa il punto di un aspetto fondamentale

Il rischio digitale, differente dalla minaccia o dall’attacco informatico comunemente inteso, ha avuto una lettura inedita e originale grazie a Zulfikar Ramzan, CTO di RSA, che ha analizzato storia e significato di un aspetto fondamentale del business.

Lei ha parlato di rischio digitale come componente nel DNA di ogni italiano e, più in generale, di chiunque prenda la situazione in mano e decida cosa scegliere. Riguarda qualsiasi essere umano nel senso più vasto, non crede?

Gli italiani, sin dal Rinascimento con matematici come Luca Pacioli e Gerolamo Cardano, hanno dato un grandissimo contributo alla teoria della probabilità, oggi alla base della gestione del rischio. Chiaro che questo rischio, con la trasformazione sempre più pervasiva in atto, diventa quello prevalentemente digitale, e tra qualche anno sarà il più importante di tutti perché il 60% delle aziende avrà problemi di incidenti ed operatività a esso legati. Si tratta, dunque, di un concetto da comprendere per il benessere del business, seriamente compromesso in caso contrario.

Quale tipo di associazione scatta quando si parla di rischio digitale?

La prima regola è che il rischio debba contemplare i concetti di perdita e probabilità, esattamente come fatto da matematici e fisici del passato. Quando parlo con i miei clienti, che sono globali e rappresentano ogni settore, capisco che essi, quando fanno riferimento al rischio, pensano a minacce come malware o ransomware, che rappresentano altro. Mentre la minaccia ha il proprio impatto su alcuni asset, infatti, il rischio riguarda la combinazione, la perdita primaria.

Risulta sempre più importante, quindi, parlare la stessa lingua per comprendersi anche a livello semantico, visto che non farlo può costare caro?

Certamente, e non solo in termini metaforici. Pensiamo alla storia, effettivamente verificatasi, di un ransomware che ha colpito 150 Paesi e per liberarsi dal quale si sono pagati in un caso 30.000 dollari. Può sembrare una cifra da nulla, come in effetti è, ma la perdita finale per l’azienda è stata di 3.785.000 dollari, perché c’è stato un danno d’immagine cui poi si è dovuto riparare, è stato necessario far ricorso a dei legali e dunque pagarli e nel frattempo si è persa la normale produttività. Si tratta di un fenomeno strettamente legato al Board e alle decisioni strategiche, quindi, perché quando si toccano questi livelli è chiaro che sono tutti coinvolti, dalla base ai vertici.

Qual è dunque l’approccio consigliato?

Per affrontare il rischio bisogna dare etichette quantitative a idee qualitative. La visibilità da sola è necessaria ma non sufficiente, perché bisogna avere anche informazioni per misure da mettere insieme al fine di ridurre il rischio. Non bisogna mirare alla perfezione, ma al rigore. Il rischio richiede coerenza e valore da misurare. In questo senso fondamentale è stato il contributo di un fisico come Enrico Fermi che applica il proprio ragionamento, costituito di meccanismi coerenti, per arrivare a una risposta finale. Di sicuro, oggi, ci viene incontro il machine learning che ci mette in condizione di prevedere gli atteggiamenti futuri. La considerazione del rischio è parte fondamentale per formare la strategia della cybersecurity.

nella foto Il CTO di RSA, Zulfikar Ramzan