Quell’azienda è un’eccellenza assoluta, ma sulla sicurezza sono un po’ indietro

Entri in un ristorante stellato.

Tre mesi di attesa. Tavolo perfetto: centrale ma appartato. Visuale sulla cucina a vista dove l’influ-chef del momento dirige la brigata con fare marziale.

Fai accomodare il tuo partner con gesto galante, poi qualcosa in cucina cattura la tua attenzione.

Guardi il tuo commensale in cerca di complicità ed esclami:

“Wow. Incredibile. Si lavano le mani.”

Non chiedermi perché, ma a me questa battuta scatena un’ilarità esplosiva.

Vorrei evitare l’esegesi del buonumore perché appena lo analizzi, un motto di spirito perde irrimediabilmente verve.

(Non è vero. Se ci penso continua a scapparmi da ridere.)

Limitiamoci allora a dire che la battuta funziona perché nessuno considererebbe l’igiene un valore aggiunto. Credo che fin qui concorderai. Oltre entriamo in ambito soggettivo.

Però sicuramente nessuno penserebbe:

“L’ingrediente segreto dei suoi piatti sopraffini è la salmonella.”

Perché l’igiene non è il talento dello chef.

È il presupposto che rende possibile riconoscere quel talento come tale.

Non esiste una stella Michelin per l’igiene. Quella non si recensisce.

Apri una critica gastronomica e troverai tecnica, impiattamento, sperimentazione, equilibrio dei sapori.

Non troverai:

“Lo chef si lava le mani.”

Non perché non lo faccia, ma perché il fatto che lo faccia è parte del patto implicito con il cliente.

L’igiene non è una feature della cucina.

È l’habitat.

Il sistema di condizioni dentro cui il talento può esistere, crescere, esprimersi.

Senza, non c’è sopravvivenza. Del piatto. Del ristorante. Della reputazione.

Nessuno direbbe:

“È uno chef geniale. Certo, non si lava le mani… ma vuoi mettere la creatività di trovare un’unghia nei pansoti?”

Perché esiste un punto oltre il quale la sciatteria operativa invalida automaticamente il talento.

Eppure nel mondo aziendale accade continuamente il contrario.

Sentiamo dire:

• “Azienda incredibile”,
• “Prodotto eccezionale”,
• “Crescita impressionante”,
• “Sulla sicurezza sono un po’ indietro.”

Come se la sicurezza informatica fosse un accessorio. Un lusso. Una rifinitura.

Ma la sicurezza informatica funziona esattamente come l’igiene in una cucina.

È il prodotto dell’azienda? No.

È il suo core business? No.

È il talento dei suoi dipendenti? No.

Ma senza, tutto questo fatica a esistere.

La sicurezza informatica è l’ecologia dell’azienda.

È il sistema di condizioni che permette all’azienda di continuare a fare il proprio lavoro:

• operare,
• accedere ai dati,
• coordinare persone,
• mantenere continuità,
• preservare fiducia.

Quando quell’ecologia si degrada, l’azienda non necessariamente “muore”.

Ma inizia a perdere capacità operativa.

Arrivano:

• interruzioni,
• ritardi,
• dipendenze fragili,
• indisponibilità dei sistemi,
• costi organizzativi crescenti,
• perdita di fiducia.

Il punto interessante è che il danno della cattiva igiene digitale, a differenza di quella alimentare, spesso è invisibile fino al momento del collasso.

Ed è probabilmente per questo che molte aziende continuano a trattare la sicurezza come qualcosa di separato dal proprio talento.

Ma il mercato sta iniziando a cambiare linguaggio.

Con normative come NIS2, la sicurezza non è più soltanto una questione interna.

Diventa una condizione di accesso all’ecosistema economico.

Perché la supply chain eredita il rischio dei suoi fornitori.

E quindi un’azienda non sicura non è più soltanto un’azienda vulnerabile.

È un’azienda che progressivamente rischia di non poter più partecipare a determinati ecosistemi di business.

In fondo, il vero salto culturale avviene quando smettiamo di pensare alla sicurezza come a una tecnologia difensiva e iniziamo a considerarla per quello che realmente è:

un habitat operativo.

L’ecologia dell’azienda

Se qualcuno entrasse nella tua cucina e vedesse un cuoco che si soffia il naso e poi impasta, capirebbe immediatamente che il problema non è la tecnica culinaria.

È l’ambiente.

Perché il vero problema non è il talento contaminato.

È aver normalizzato la contaminazione.

Ci sono aziende in cui il ransomware è diventato un problema di “crittografia un po’ troppo restrittiva”.

In due anni è successo tredici volte, documentate.

L’azienda è sempre sopravvissuta.

“Ah, i server sono inaccessibili!”

“Tranquillo, sappiamo cosa fare.”

Prendi il muletto dall’armadio. Connettiti all’hotspot del telefono. Manda una mail ai clienti: oggi facciamo inventario. Poi apri la cassaforte, prendi i DAT della settimana scorsa, ripristini. Domani mattina si riparte.

Tredici volte.

E ogni volta che funziona, quella procedura diventa un po’ più normale. Un po’ più parte del paesaggio.

Fino a smettere di essere un’emergenza e diventare — semplicemente — il modo in cui funziona quell’azienda.

Il problema non è nemmeno più che prendono il ransomware.

È che hanno imparato a gestirlo come operatività quotidiana.

Quanti problemi vedi nella procedura di disaster recovery che ho esemplificato qui sopra?

Proviamo insieme a contarli.

I tuoi dati sono al sicuro. Talmente al sicuro che non ci accedi nemmeno tu.

Hai investito tempo, energie e stress per validare una procedura che spegne sempre lo stesso incendio. Non prova nemmeno a prevenirlo.

Tredici volte.

Hai normalizzato i blocchi operativi.

Stai pagando i tuoi dipendenti per aspettare.

Per non spendere in sicurezza, stai facendo in modo che periodicamente la tua azienda non produca.

Cosa costa di più?

Ogni ripristino dal backup del sabato non ti fa perdere solo il “giorno dell’inventario”.

Ti fa perdere tutto quello che è successo nel mezzo.

E poi il tempo necessario per ricostruirlo.

Ogni volta.

E stai continuando a saltare senza paracadute dando per scontato di essere al piano terra.

Che la situazione sia prevedibile. Che il backup ti salvi sempre.

Cosa succede se il DAT è corrotto?

Se la catena di ripristino è rotta?

Se questa volta non si riparte domani mattina?

Ogni volta che il ripristino funziona, l’azienda si ripete:

“Fino a qui tutto bene.”

Ma come in L’odio di Kassovitz, il problema non è la caduta.

È l’atterraggio.

Perché un’organizzazione può adattarsi quasi a tutto.

Anche al degrado.

Anche all’interruzione.

Anche alla contaminazione.

Ma adattarsi a un ambiente tossico non significa aver costruito resilienza.

Significa aver imparato a sopravvivere dentro il problema.

Il ramsomware è grave.

Ma il fatto che abbia smesso di sembrare grave lo è ancora di più.

È ancora più grave il degrado che diventa paesaggio.

È ancora più grave la contaminazione che diventa procedura.

Perché avere un habitat sano non è eroismo.

Non è innovazione.

Non è un KPI.

È la condizione minima per lavorare, in cucina come in azienda.

E forse è arrivato il momento di chiederti:

per me, lavarsi le mani è ancora un optional?