Sono ancora molte, troppe, le realtà che si affidano alla compliance come strumento di difesa. La crescita vertiginosa del cybercrime e degli attacchi malware mirati ha notevolmente aumentato il rischio di cadere vittima di hacker motivati e il fatto di avere adempiuto a normative più o meno restrittive aiuta, ma non basta per ritenersi "adeguatamente" al sicuro.

"Almeno questo l'ho fatto" non funziona più! E' ormai risaputo che, onestamente, non esiste un modo infallibile per proteggere al 100% un'azienda dal crimine informatico. Si può lavorare al meglio, con partner fidati e competenti, andando oltre al mero soddisfacimento di requisiti imposti da altri.

L'andare oltre alla compliance non è dovuto solo alla sofisticazione degli attacchi o al loro costante incremento. Bisogna considerare anche l'impatto sulla propria organizzazione: essere aderenti in maniera asettica ai requisiti espressi da una normativa o da un regolamento, come ad esempio PCI o GDPR, vuol dire non tenere in debita considerazione il proprio ambiente, il proprio sistema e i propri asset critici. La migliore sicurezza è data dalla definizione di un apparato difensivo (policy, processi, tecnologie e governance) ritagliato sulle proprie esigenze e sulla propria realtà. Ogni azienda ha il proprio insieme di rischi specifici, esigenze di sicurezza e di business, che devono essere presi in considerazione nella strategia di sicurezza, adottando un approccio che meglio si adatta alle sue esigenze specifiche.

Allo stesso modo, si può discutere del reale valore di un audit effettuato su un sistema critico e sui suoi strumenti di difesa. Anche in questo caso le azioni di audit sono necessarie e fondamentali ma, ancora una volta, non bastano. Bisogna andare oltre: quello che viene rilevato e sottoscritto tramite moduli e interviste e "realmente" quello che accade in campo. L'approfondimento dettagliato e puntuale di ciò che accade "veramente" è divenuto importante tanto quanto l'audit stesso!