la simulazione

Come gestire una crisi cyber: fasi e aspetti cruciali



Indirizzo copiato

Sviluppare un corretto processo di crisis management, ovvero un insieme di attività e pratiche grazie alle quali l’organizzazione può prevenire, gestire e mitigare le conseguenze negative di una crisi, è fondamentale per una gestione efficace e tempestiva degli incidenti cyber. Ecco come fare

Pubblicato il 5 ott 2023

 Nicholas Beccari

Consultant · P4I – Partners4Innovation

Veronica Capelli

Information & Cyber Security Advisor presso P4I – Partners4Innovation

Alessio Pennasilico

Information & Cyber Security Advisor, Partners4Innovation



Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

Il governo della sicurezza di ogni organizzazione deve necessariamente comprendere anche un’adeguata e tempestiva gestione degli incidenti, in particolare quelli cyber, che possono comportare impatti gravi e permanenti sull’organizzazione stessa fino a comprometterne l’esistenza.

A confermare la centralità di questo tema, il Clusit pubblica da anni un report in cui viene evidenziato un incremento costante degli incidenti cyber e, soprattutto, dei danni da essi provocati.

Alla luce di ciò, è sempre più cruciale sviluppare un corretto processo di crisis management, ovvero quell’insieme di attività e pratiche, da effettuarsi in momenti diversi, grazie alle quali l’organizzazione può prevenire, gestire e mitigare le conseguenze negative di una crisi.

Ciò si rende ancor più necessario visto il sempre maggior numero di attori che dovrebbero essere coinvolti nella gestione di una crisi cyber: non solamente le funzioni IT e Security, ma anche Compliance, Comunicazione, HR, Operations, ecc.

Le fasi

Al fine di garantire un’efficace crisis management, è necessario mettere in atto, in momenti diversi, una serie di azioni, riassunte in Figura 1:

Ex-Ante: attività di Preparazione e Misurazione

Con l’obiettivo di evitare l’incidente o di mitigarne gli impatti, è importante:

    • Formalizzare processi, procedure, playbook, template, al fine di assicurare la massima efficienza e il minor grado di incertezza possibile nella gestione di un’eventuale crisi;
    • Verificare e aggiornare periodicamente la documentazione e i processi così che siano sempre coerenti, ottimizzati ed efficaci per reagire ai possibili scenari di Crisi;
    • Verificare periodicamente che il personale operativo sia formato correttamente e che sappia come agire in un contesto di Crisi.

    Durante: attività di gestione

    Quando è in corso una crisi, e fino alla sua risoluzione, l’organizzazione dovrebbe essere in grado di gestire e contenere le conseguenze negative dell’evento, grazie anche alla preparazione effettuata nella fase Ex Ante. In particolare, è necessario che l’organizzazione tenga in considerazione tutti gli aspetti correlati alla crisi: attivarsi per risolvere l’incidente a livello tecnico è fondamentale ma non sufficiente, è necessario considerare anche tutti gli aspetti di contorno, come, ad esempio, la gestione della comunicazione.

    Ex-Post: attività di Follow Up

      Nel momento in cui la crisi è stata risolta, è molto importante che venga raccolta e razionalizzata tutta la knowledge relativa a ciò che è successo, in modo da applicare il concetto di “lesson learned”, ovvero imparare dagli errori commessi (sia in fase di preparazione che in fase di gestione) e revisionare documenti, processi e comportamenti di conseguenza.

      Figura 1 Fasi del processo di gestione di una crisi

      La simulazione

      Rispetto alla fase di misurazione, vediamo oggi in dettaglio uno dei possibili strumenti di rilevazione: la simulazione.

      In linea generale, l’attività di simulazione rientra nella categoria di strumenti didattici esperienziali che consentono di “imparare sul campo” i concetti teorici visti in precedenza.

      Nello specifico, una crisis simulation consiste nel simulare il verificarsi di una situazione di crisi all’interno della propria Organizzazione, con l’obiettivo di testare la capacità di risposta degli stakeholder coinvolti rispetto ad eventi con potenziali impatti considerevoli. In particolare, la simulazione ha una duplice finalità:

      • valutare operativamente la capacità di rispondere alla situazione di crisi nel rispetto di normative e buone pratiche di riferimento e verificare che tutte le azioni di risposta previste siano note, efficaci e sia possibile metterle in pratica quando dovesse essere necessario, con l’obiettivo di raccogliere le indicazioni necessarie al fine di colmare i gap rilevati e programmare i necessari interventi migliorativi.​
      • sensibilizzare vertici e middle management sull’importanza di una corretta preparazione ad eventi di crisi, nonché formare il personale coinvolto nelle attività operative di risposta al fine di addestrarlo ad affrontare in modo efficace simili situazioni.

      Un utilizzo alternativo di una Business Simulation è quello di effettuare un “Assessment” rispetto a processi e documenti presenti nell’organizzazione, per verificare che siano presenti tutti quelli necessari e che siano adatti all’affrontare scenari di questo tipo

      La simulazione diventa efficace nel momento in cui durante la stessa vengono approfonditi e verificati temi fondamentali legati alla gestione della Crisi: IT,  Cyber Security, Legal, Compliance, Content e Communication, Marketing, Commerciale, Operations, Investor Relationship, Risk Management, ecc. Al fine di misurare l’efficacia delle loro interazioni e la coerenza delle azioni intraprese.

      Conclusioni

      Per concludere, al fine di prepararsi a gestire in modo corretto una potenziale situazione di crisi è  necessario considerare tutti i seguenti aspetti:

      • è opportuno ragionare con l’ottica del “quando” e non del “se”, dal momento che prima o poi una situazione di Crisi potrà coinvolgere qualsiasi Organizzazione;
      • solo se le persone sono formate correttamente e i processi sono efficaci, sarà possibile limitare gli impatti economici e reputazionali negativi di una crisi;
      • affinché si possa affrontare ogni tipo di scenario, serve prepararsi in anticipo a ciò che potrebbe accadere;
      • tenere a mente che anche i dettagli più insignificanti potrebbero fare la differenza;
      • è importante tenere in considerazione ogni aspetto della crisi, dalla componente tecnologica alla comunicazione: è per questo che un team multidisciplinare è fondamentale per tenere sotto controllo tutto ciò che è necessario monitorare

      EU Stories - La coesione innova l'Italia

      Tutti
      Analisi
      Video
      Iniziative
      Social
      Programmazione europ
      Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
      Interventi
      Riccardo Monaco e le politiche di coesione per il Sud
      Iniziative
      Implementare correttamente i costi standard, l'esperienza AdG
      Finanziamenti
      Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
      Formazione
      Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
      Interviste
      L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
      Interviste
      La ricerca e l'innovazione in Campania: l'ecosistema digitale
      Iniziative
      Settimana europea delle regioni e città: un passo avanti verso la coesione
      Iniziative
      Al via il progetto COINS
      Eventi
      Un nuovo sguardo sulla politica di coesione dell'UE
      Iniziative
      EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
      Iniziative
      Parte la campagna di comunicazione COINS
      Interviste
      Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
      Analisi
      La politica di coesione europea: motore della transizione digitale in Italia
      Politiche UE
      Il dibattito sul futuro della Politica di Coesione
      Mobilità Sostenibile
      L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
      Iniziative
      Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
      Politiche ue
      Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
      Finanziamenti
      Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
      Analisi
      Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
      Politiche UE
      Innovazione locale con i fondi di coesione: progetti di successo in Italia
      Programmazione europ
      Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
      Interventi
      Riccardo Monaco e le politiche di coesione per il Sud
      Iniziative
      Implementare correttamente i costi standard, l'esperienza AdG
      Finanziamenti
      Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
      Formazione
      Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
      Interviste
      L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
      Interviste
      La ricerca e l'innovazione in Campania: l'ecosistema digitale
      Iniziative
      Settimana europea delle regioni e città: un passo avanti verso la coesione
      Iniziative
      Al via il progetto COINS
      Eventi
      Un nuovo sguardo sulla politica di coesione dell'UE
      Iniziative
      EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
      Iniziative
      Parte la campagna di comunicazione COINS
      Interviste
      Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
      Analisi
      La politica di coesione europea: motore della transizione digitale in Italia
      Politiche UE
      Il dibattito sul futuro della Politica di Coesione
      Mobilità Sostenibile
      L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
      Iniziative
      Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
      Politiche ue
      Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
      Finanziamenti
      Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
      Analisi
      Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
      Politiche UE
      Innovazione locale con i fondi di coesione: progetti di successo in Italia

      Articoli correlati

      Articolo 1 di 2