Quando un'organizzazione delega accesso critico senza integrare chi lo esercita, la governance esiste solo sulla carta
Accesso totale, appartenenza zero
Un contractor con privilegi di amministratore di sistema su documenti tra i più classificati al mondo. Nessun percorso di integrazione nella cultura organizzativa. Nessun mentoring. L'unica direttiva ricevuta: siediti, taci, fai il tuo lavoro. Il risultato è stato la sottrazione di 1,5 milioni di documenti, la più grande fuga di informazioni nella storia dell'intelligence. A tredici anni di distanza, chi aveva responsabilità diretta su quella catena di comando lo ammette con una franchezza rara: "Questi errori li potete attribuire a me." Chris Inglis, all'epoca vice-direttore della più potente agenzia di intelligence occidentale, oggi ricostruisce quella sequenza non come un fallimento tecnico, ma come un collasso di leadership. L'organizzazione aveva concesso a un soggetto esterno privilegi straordinari senza mai chiedersi se quel soggetto si sentisse parte del sistema che stava proteggendo. Non è una storia di hacking. È una storia di governance che ha smesso di funzionare nel punto esatto in cui avrebbe dovuto essere più solida.
Il costo reale non è la reputazione
Chi riduce un insider breach alla perdita di dati e al danno reputazionale sta guardando la superficie. Le conseguenze descritte da chi ha gestito quella crisi sono di altro ordine: capacità operative bruciate e ricostruite da zero, tecniche di raccolta intelligence rese inutilizzabili, esplosione dei costi di compliance imposti a cascata su tutta l'organizzazione, non solo sulla funzione compromessa. Il parallelo più efficace arriva dal settore bancario: il fallimento di Silicon Valley Bank ha generato requisiti regolatori aggiuntivi per l'intero comparto, non solo per l'istituto coinvolto. Lo stesso pattern si replica ogni volta che un'organizzazione subisce una breach dall'interno. Il costo non è solo diretto. È sistemico: chi opera nello stesso settore paga il prezzo della vostra incapacità di governare il rischio. E il costo regolatorio, una volta innescato, non si ritira. Si accumula. Si stratifica. Diventa strutturale. Il board che non vede questa dinamica sta sottostimando l'impatto di un ordine di grandezza.
Tre segnali, tre silos, zero correlazione
La frizione di governance è chirurgica e trasferibile a qualsiasi organizzazione complessa. Tre pilastri di monitoraggio esistevano: accesso fisico, accesso logico, segnalazioni HR. Ma operavano in silos separati. Un contractor poteva presentarsi in una sede, non autenticarsi con il proprio profilo, utilizzare credenziali altrui, e nessun sistema collegava questi segnali. Un anno prima della breach, erano emerse segnalazioni sul piano HR. Nessuna correlazione con i pattern di accesso. L'organizzazione aveva costruito controlli su ogni singolo dominio, ma il rischio viveva nelle intersezioni, esattamente dove nessuno guardava. Questa è la contraddizione che dovrebbe preoccupare ogni C-level: governance a silos significa monitoraggio cieco. Non servono nuovi strumenti. Serve la volontà di correlare ciò che già si raccoglie. E serve una decisione organizzativa, non tecnologica, su chi ha la responsabilità di leggere il segnale aggregato. Se quella responsabilità non è assegnata, il segnale si perde. Ogni volta.
Il quadro normativo europeo non lascia più margini
Le evidenze di settore confermano che il modello "contractor con accesso privilegiato trattato come commodity" è esattamente il tipo di rischio che la normativa europea sta chiudendo. NIS2, all'articolo 21, paragrafo 2, lettera d), richiede esplicitamente la sicurezza della catena di approvvigionamento, inclusa la gestione dei rapporti con i fornitori diretti, e l'assenza di integrazione culturale e correlazione dei segnali sui soggetti esterni è il gap che quella norma mira a colmare. DORA, nel Capo V, disciplina la gestione del rischio ICT derivante da terze parti con obblighi di monitoraggio continuo, governance contrattuale e valutazione del rischio di concentrazione. Il GDPR, agli articoli 28, 29 e 32, impone misure di sicurezza adeguate anche nella gestione degli accessi del personale esterno autorizzato. La mancata correlazione tra accesso fisico e logico non è un dettaglio operativo: è una lacuna di accountability. Nessuna di queste norme è stata scritta pensando al caso specifico dell'intelligence americana. Ma tutte convergono su un principio: se concedi accesso privilegiato a un soggetto esterno, devi governarlo come parte del tuo perimetro di rischio. Non basta un contratto.
La domanda che non state facendo
Quanti dei vostri fornitori IT hanno oggi accesso privilegiato ai vostri sistemi critici? E di quanti di loro avete mai correlato il comportamento fisico, quello logico e le eventuali segnalazioni HR? La risposta, nella maggior parte delle organizzazioni europee, è: nessuno. Non perché manchino i dati. Ma perché nessuno ha il mandato, o il coraggio, di incrociarli. Il contractor che oggi gestisce la vostra infrastruttura critica è stato integrato nella vostra cultura organizzativa? Sa cosa protegge e perché? O è semplicemente una riga in un foglio di costi, un soggetto a cui avete detto, implicitamente o esplicitamente, di sedersi, tacere e fare il suo lavoro? Il rischio insider non si previene con più controlli. Si previene con una scelta di governance: decidere che chi ha accesso ai vostri asset più critici non può essere invisibile alla vostra organizzazione.
Il prossimo insider breach nella vostra organizzazione non sarà causato da un attaccante sofisticato. Sarà reso possibile da un organigramma che tratta l'accesso privilegiato come una questione tecnica, e la cultura organizzativa come un costo.