Su Crypto-gram di settembre 2019 è stato segnalato un articolo dal titolo "Does insurance have a future in governing cybersecurity?". Segnalo il post di Crypto-gram, che ne propone un estratto:
- https://www.schneier.com/blog/archives/2019/09/on_cybersecurit.html.
Faccio un estratto dell'estratto le assicurazioni sono una forma debole di trattamento del rischio perché:
- gli assicuratori, al momento, si concentrano troppo sulle procedure organizzative e troppo poco su quelle tecnologiche;
- gli assicuratori, anzi, richiedono procedure di base e non offrono incentivi reali per investire in sicurezza;
- coprono i costi di risposta agli incidenti (spesso attraverso servizi esterni), ma si tratta di misure post-incidente, meno utili di quelle di mitigazione preventiva (questo anche perché i costi del recupero sono più facili da quantificare).
D'altra parte, dice sempre l'articolo, degli approcci rigorosi e standard migliorerebbero la sicurezza dei clienti. Tali approcci, però, si baserebbero su misure che poi sarebbero soggette alla legge di Goodhart ("quando una misura diventa un obiettivo cessa di essere una buona misura") perché chi deve essere misurato cercherà di migliorare le misure e non di ridurre il rischio.
Io ho sempre avuto dei dubbi sulle assicurazioni di sicurezza IT e qui trovo ulteriori elementi per essere dubbioso.
Mi piace anche il fatto che si sottolinea il fatto che le misure di prevenzione dovrebbero essere preferite a quelle di recupero (e io aggiungo: anche a quelle di monitoraggio).
Nessun commento:
Posta un commento