uando si è iscritto al programma MBA della London Business School, Nuno Sebastião aveva in mente qualcosa di diverso dalle carriere tradizionali nel settore delle consulenze e delle banche di investimento, e ha deciso di prepararsi a combattere gli hacker. La sua scelta non è stata motivata da mere ragioni ideologiche: in precedenza aveva assistito a un attacco hacker alla rete informatica del suo datore di lavoro dell’epoca, l’Agenzia spaziale europea, e nella formazione MBA ha intravisto la possibilità di individuare una nicchia redditizia per chi ha competenze commerciali e comunicative tali da entrare nel campo specialistico della cyber-security. «Già nel 2009 mi è parso chiaro che prima o poi sarebbe stato necessario affrontare e risolvere questo problema», ha detto.

Dopo il diploma, Nuno Sebastião ha fondato insieme a due amici ingegneri portoghesi come lui Feedzai, una società che identifica le transazioni di pagamento fraudolente. «A individuare il problema commerciale sono stato io», ha detto. La sua società, con sede in California, ha raggiunto i 150 dipendenti, ma ci sono piani per portarli a 300 entro quest’anno. Nuno Sebastião non è di sicuro l’unico candidato o diplomato MBA ad aver individuato un’opportunità nella lotta alla cyber-criminalità. Già molti infatti si interessano alla possibilità di acquisire competenze che permetteranno loro, una volta diventati leader, in futuro, di combattere le situazioni critiche provocate dagli hackers, e una nidiata di scuole ha aggiunto ai propri corsi MBA contenuti relativi alla cyber-sicurezza.

“Tutti oggi parlano di quanto sarà incredibile il futuro digitale, ma nessuno spiega in maniera adeguata i rischi ”

Gianluca D’Antonio, responsabile information technology Fcc

La mancanza di esperti di cyber-security a livello tecnico è un dato di fatto. Problema un po’ meno avvertito, tuttavia, è quello della corrispondente penuria di dirigenti manager con competenze tecniche tali da saper affrontare i pirati informatici. «Spesso le aziende assumono personale addetto alla cyber-security, molto competente dal punto di vista tecnico, ma privo di “sof skill” e di intuito commerciale», dice Gianluca D’Antonio, responsabile per gli aspetti informatici del gruppo spagnolo FCC di costruzione e servizi, e presidente dell’Associazione spagnola per il progresso della sicurezza informatica. Secondo D’Antonio, chi lavora nel settore della cyber-security non è capace di comunicare al consiglio di amministrazione i rischi che si corrono. «È un problema di comunicazione, e anche di management. Tutti oggi parlano di quanto sarà incredibile il futuro digitale, ma nessuno spiega in maniera adeguata i rischi connessi al digitale».

Alla IE Business School di Madrid, José Esteves, professore di sistemi informatici, tiene un corso di innovazione digitale per l’MBA durante il quale si intromette furtivamente negli account di posta elettronica dei suoi studenti per dimostrare loro quanto sia facile farlo. A ottobre presso la IE partirà anche un nuovo corso, un master in cyber-security per i futuri leader d’impresa. Nel frattempo, la Iese Business School di Barcelona ha reclutato Deloitte per contribuire a offrire sessioni in cyber-security in uno dei suoi MBA d’elezione. «La cyber-security non è delegabile: è qualcosa che ha somma importanza per la sicurezza e la reputazione di un’azienda», dice Javier Zamora, conferenziere senior esperto di sistemi informatici presso Iese.

Perfino i network più sicuri sono vulnerabili agli attacchi hacker, come hanno dimostrato le incursioni in Yahoo e Sony durante le quali i pirati informatici si sono impossessati dei dati personali degli utenti. Nel 2016 gli attacchi di questo tipo sono costati alle imprese 280 miliardi di dollari: lo afferma la società di consulenze Grant Thornton, secondo la quale i rischi peggiori che corrono le corporation sono quello di immagine e di reputazione.

Secondo Stuart Madnick, professore di informatica e sistemi ingegneristici presso la MIT Sloan School of Management, le ramificazioni di alto livello degli attacchi hacker necessitano dell’intervento risolutivo di dirigenti che sappiano stare al timone della strategia aziendale, invece di affidarsi soltanto ai tecnici. Madnick, che insegna cyber-security nel corso MBA della scuola, dice che avere a che fare con i pirati informatici richiede di pensare in modo perspicace, perché gli attacchi sono ancor meno prevedibili dei disastri naturali. «Un ciclone non cambia direzione soltanto perché sai che è in arrivo, mentre un attacco hacker può farlo».

In buona parte, in questi casi i manager si scontrano col grande problema della complessità legata alla risoluzione del fenomeno: ad affermarlo è David Upton, professore di operation management alla Oxford’s Saïd Business School. Upton aggiunge che fa parte degli attacchi cyber un po’ di tutto, dallo spionaggio sponsorizzato dagli Stati a reati di poco conto finalizzati a guadagnare qualcosa. Secondo lui, però, difendersi da un evento negativo catastrofico è anche «intrinsecamente poco allettante» per molti leader d’impresa, i cui occhi «tendono a diventare vitrei, non appena vi si fa riferimento». Nondimeno, il rischio deve essere affrontato e risolto a livello di consiglio di amministrazione, dato che interessa in teoria tutti i settori di un’azienda. Il professor Upton ha contribuito a mettere a punto un corso per dirigenti a livello di consiglio di amministrazione e tiene un corso obbligatorio per l’MBA della Saïd. «Al lavoro su questo c’è un intero settore globale e al timone abbiamo manager addormentati», dice.

Anche il professor Zamora della Iese crede che col diffondersi delle tecnologie la questione della cyber-security permeerà ogni aspetto di un’azienda, dalle risorse umane al rischio assicurativo. Spesso la sicurezza arriva soltanto in un secondo tempo in guisa di pentimento, mentre la velocità di immissione sul mercato di gadget di ultima generazione ha sempre la precedenza. «Ogni volta che si progetta un prodotto o un servizio bisogna farlo tenendo presente la cyber-security fin dall’inizio. La sicurezza deve essere parte integrante dell’intera progettazione», dice Zamora.

Alla Harvard Business School, il professore associato Ben Edelman difende la riluttanza dei suoi colleghi a impegnarsi in queste tematiche perché gli aspetti tecnici sono in disaccordo con un approccio manageriale in senso lato. Ma ciò non lo ha fermato. «Ho pensato che queste fossero faccende veramente importanti e mi ci sono buttato a capofitto», dice. Quando tiene i suoi corsi, Edelman presenta il caso ipotetico di un attacco informatico ai sistemi di un’azienda e gli studenti devono decidere come dovrebbe reagire un manager. Il caso arriva poi al nocciolo etico cruciale: per evitare futuri attacchi hacker un manager farebbe meglio a chiudere il network aziendale o sperare di risolvere il problema dietro le quinte, senza informarne i clienti? «Naturalmente, queste sono domande difficili, ma ciò non significa che non debbano essere poste per trovare risposte adeguate», dice il professor Edelman.

Sebastião paragona la situazione al periodo antecendente al 2008 che sfociò nella crisi finanziaria. «Nessuno si interessava ai problemi e a un certo punto il mondo crollò. Soltanto allora furono predisposti meccanismi di ogni tipo per evitare che il guaio si ripresentasse. Ecco: la stessa cosa sta per accadere adesso con la cyber-sicurezza».

Copyright The Financial Times Ltd. 2017
(Traduzione di Anna Bissanti)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *