Il governo della sicurezza di ogni organizzazione deve necessariamente comprendere anche un’adeguata e tempestiva gestione degli incidenti, in particolare quelli cyber, che possono comportare impatti gravi e permanenti sull’organizzazione stessa fino a comprometterne l’esistenza.
A confermare la centralità di questo tema, il Clusit pubblica da anni un report in cui viene evidenziato un incremento costante degli incidenti cyber e, soprattutto, dei danni da essi provocati.
Alla luce di ciò, è sempre più cruciale sviluppare un corretto processo di crisis management, ovvero quell’insieme di attività e pratiche, da effettuarsi in momenti diversi, grazie alle quali l’organizzazione può prevenire, gestire e mitigare le conseguenze negative di una crisi.
Ciò si rende ancor più necessario visto il sempre maggior numero di attori che dovrebbero essere coinvolti nella gestione di una crisi cyber: non solamente le funzioni IT e Security, ma anche Compliance, Comunicazione, HR, Operations, ecc.
Le fasi
Al fine di garantire un’efficace crisis management, è necessario mettere in atto, in momenti diversi, una serie di azioni, riassunte in Figura 1:
Ex-Ante: attività di Preparazione e Misurazione
Con l’obiettivo di evitare l’incidente o di mitigarne gli impatti, è importante:
- Formalizzare processi, procedure, playbook, template, al fine di assicurare la massima efficienza e il minor grado di incertezza possibile nella gestione di un’eventuale crisi;
- Verificare e aggiornare periodicamente la documentazione e i processi così che siano sempre coerenti, ottimizzati ed efficaci per reagire ai possibili scenari di Crisi;
- Verificare periodicamente che il personale operativo sia formato correttamente e che sappia come agire in un contesto di Crisi.
Durante: attività di gestione
Quando è in corso una crisi, e fino alla sua risoluzione, l’organizzazione dovrebbe essere in grado di gestire e contenere le conseguenze negative dell’evento, grazie anche alla preparazione effettuata nella fase Ex Ante. In particolare, è necessario che l’organizzazione tenga in considerazione tutti gli aspetti correlati alla crisi: attivarsi per risolvere l’incidente a livello tecnico è fondamentale ma non sufficiente, è necessario considerare anche tutti gli aspetti di contorno, come, ad esempio, la gestione della comunicazione.
Ex-Post: attività di Follow Up
Nel momento in cui la crisi è stata risolta, è molto importante che venga raccolta e razionalizzata tutta la knowledge relativa a ciò che è successo, in modo da applicare il concetto di “lesson learned”, ovvero imparare dagli errori commessi (sia in fase di preparazione che in fase di gestione) e revisionare documenti, processi e comportamenti di conseguenza.
Figura 1 Fasi del processo di gestione di una crisi
La simulazione
Rispetto alla fase di misurazione, vediamo oggi in dettaglio uno dei possibili strumenti di rilevazione: la simulazione.
In linea generale, l’attività di simulazione rientra nella categoria di strumenti didattici esperienziali che consentono di “imparare sul campo” i concetti teorici visti in precedenza.
Nello specifico, una crisis simulation consiste nel simulare il verificarsi di una situazione di crisi all’interno della propria Organizzazione, con l’obiettivo di testare la capacità di risposta degli stakeholder coinvolti rispetto ad eventi con potenziali impatti considerevoli. In particolare, la simulazione ha una duplice finalità:
- valutare operativamente la capacità di rispondere alla situazione di crisi nel rispetto di normative e buone pratiche di riferimento e verificare che tutte le azioni di risposta previste siano note, efficaci e sia possibile metterle in pratica quando dovesse essere necessario, con l’obiettivo di raccogliere le indicazioni necessarie al fine di colmare i gap rilevati e programmare i necessari interventi migliorativi.
- sensibilizzare vertici e middle management sull’importanza di una corretta preparazione ad eventi di crisi, nonché formare il personale coinvolto nelle attività operative di risposta al fine di addestrarlo ad affrontare in modo efficace simili situazioni.
Un utilizzo alternativo di una Business Simulation è quello di effettuare un “Assessment” rispetto a processi e documenti presenti nell’organizzazione, per verificare che siano presenti tutti quelli necessari e che siano adatti all’affrontare scenari di questo tipo
La simulazione diventa efficace nel momento in cui durante la stessa vengono approfonditi e verificati temi fondamentali legati alla gestione della Crisi: IT, Cyber Security, Legal, Compliance, Content e Communication, Marketing, Commerciale, Operations, Investor Relationship, Risk Management, ecc. Al fine di misurare l’efficacia delle loro interazioni e la coerenza delle azioni intraprese.
Conclusioni
Per concludere, al fine di prepararsi a gestire in modo corretto una potenziale situazione di crisi è necessario considerare tutti i seguenti aspetti:
- è opportuno ragionare con l’ottica del “quando” e non del “se”, dal momento che prima o poi una situazione di Crisi potrà coinvolgere qualsiasi Organizzazione;
- solo se le persone sono formate correttamente e i processi sono efficaci, sarà possibile limitare gli impatti economici e reputazionali negativi di una crisi;
- affinché si possa affrontare ogni tipo di scenario, serve prepararsi in anticipo a ciò che potrebbe accadere;
- tenere a mente che anche i dettagli più insignificanti potrebbero fare la differenza;
- è importante tenere in considerazione ogni aspetto della crisi, dalla componente tecnologica alla comunicazione: è per questo che un team multidisciplinare è fondamentale per tenere sotto controllo tutto ciò che è necessario monitorare
