Il rischio informatico da tempo è un aspetto cruciale delle strategie di Risk Management delle aziende, ma l’incidente causato a luglio da un erroneo aggiornamento del software di cybersecurity CrowdStrike ha segnato un punto di svolta.
L’errore ha compromesso la cifra sbalorditiva di 8,5 milioni di dispositivi, con ripercussioni sulle operazioni delle compagnie aeree, sulla logistica delle consegne dei pacchi, sull’eCommerce, sull’assistenza sanitaria e molto altro. Si sono fermati colossi come Starbucks o Delta, che ha dovuto cancellare 600 voli. Un disastro che ha portato il governo americano a convocare davanti al Congresso uno dei top manager dell’azienda, Adam Meyers, che comparirà in aula il 24 settembre per spiegare alla nazione cosa è accaduto.
Gestire il rischio informatico: questione di vita o di morte
A tutti è apparso subito chiaro che ormai le interruzioni aziendali legate all’ICT non sono solo potenziali minacce, ma eventi comuni e imprevedibili, che richiedono l’attenzione del top management. Oggi ogni business è un digital business, dipendente al 100% da software e sistemi, e se si stacca la spina tutto si blocca. L’uso ormai capillare del Cloud e l’automazione sempre più diffusa fanno sì che la sopravvivenza stessa delle aziende dipenda, quindi, dalla capacità di gestire il rischio informatico (o Cyber Risk), definito dalla Banca D’Italia come il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione.
Secondo l’Uptime Institute, oltre il 60% delle interruzioni tecnologiche comporta perdite economiche superiori a 100.000 dollari e il 15% costa più di 1 milione di dollari. Ma non è solo una questione di soldi. In caso di eventi gravi, il 25% delle aziende non riesce a ripartire dopo il disastro, secondo la Federal Emergency Management Agency (FEMA). Alcune ricerche stimano che il costo dell’evento CrowdStrike potrebbe superare 1 miliardo di dollari.
È dunque giunto il momento per i leader di fare un bilancio della resilienza operativa delle loro aziende, ovvero la loro capacità di resistere a interruzioni e crisi. Secondo dati riportati da Statista, tra tutti i rischi aziendali sono proprio gli incidenti informatici quelli percepiti come principali per le aziende a livello globale per il 2024, secondo un sondaggio condotto tra gli esperti di gestione del rischio realizzato alla fine del 2023. Con incidenti informatici si fa riferimento a crimini informatici, guasti o interruzioni dell’IT, violazioni dei dati, multe e sanzioni.
Costruire la resilienza operativa
Secondo gli analisti di Forrester, “Crisi come queste mettono in luce molti aspetti del business e della tecnologia, dalle relazioni strategiche con i fornitori, dei lavoratori dei dipartimenti IT. È fondamentale che i leader tecnologici si preparino ad affrontare le richieste di informazioni da parte di dirigenti, membri del consiglio di amministrazione, clienti e dipendenti. Per evitare che l’evento si ripeta e per ricostruire la fiducia con questi stakeholder chiave, è indispensabile una rivalutazione approfondita del rischio di concentrazione, del rischio di fornitura e delle strategie di aggiornamento automatico. Ciò richiede una revisione critica della gestione IT, del monitoraggio delle infrastrutture vitali e della solidità della risposta agli incidenti”.
Il punto centrale, evidenziato da due esperti in un articolo pubblicato da Harvard Business Review, è costruire la resilienza operativa, preparandosi in anticipo a gestire le crisi, aspetto tanto cruciale quanto la capacità di reagire in risposta agli incidenti. Secondo gli esperti, i leader aziendali dovrebbero valutare la resilienza operativa lavorando su tre fronti: persone, processi e tecnologia.
È necessario istituire un team di gestione delle crisi addestrato, con ruoli e responsabilità chiari, e simulare scenari di interruzione per verificare la capacità di operare durante le crisi. L’attenzione deve essere posta sui rischi degli aggiornamenti software automatizzati, sulle indagini per correggere gli errori e sulle responsabilità e risorse necessarie per un pronto recupero. Non solo. Un piano di comunicazione ben definito è essenziale per mantenere la fiducia degli stakeholder durante le interruzioni. Tutto questo non può essere affrontato una tantum: il miglioramento continuo nella preparazione e nei piani di risposta è fondamentale per mitigare i rischi e garantire la resilienza operativa.
Come prepararsi ai disastri operativi: persone, processi e tecnologia
Gli esperti forniscono nell’articolo una check list di 6 domande per guidare le organizzazioni nella definizione del piano di gestione del rischio informatico.
Siamo sufficientemente preparati per affrontare i problemi quando si presentano?
È cruciale che le aziende istituiscano un team di gestione delle crisi ben addestrato, responsabile della progettazione e del mantenimento del piano di continuità operativa e di ripristino in caso di disastro, garantendo una risposta robusta ed efficace alle potenziali catastrofi. Riguardo al processo, serve mantenere il piano sempre aggiornato e condurre periodicamente simulazioni per scenari peggiori, come la perdita di accesso a sistemi funzionali cruciali, favorendo una cultura di miglioramento e preparazione continua. Sul piano tecnologico serve simulare diversi tipi di interruzioni e convalidare l’intera infrastruttura per verificare se l’azienda è in grado di continuare a operare durante un’interruzione.
Ci sono ruoli e responsabilità chiari per la continuità operativa?
Le persone del team di gestione dei disastri devono avere ruoli e responsabilità chiare nei diversi scenari di interruzione, definendo compiti primari e linee guida per il processo decisionale. Vanno previste esercitazioni, incorporando complicazioni impreviste e casuali. Serve inoltre garantire la diffusione di chiare procedure di gestione delle crisi per fornire risposte strutturate ed efficaci durante le interruzioni a tutti i membri del team e dare un feedback dopo le prove. Gli strumenti tecnologici, oltre a supportare i ruoli assegnati, devono garantire un funzionamento e un coordinamento senza problemi, incluse le diverse modalità di comunicazione.
Quali sono i rischi relativi agli aggiornamenti software automatizzati?
Occorre formare i team per comprendere e gestire i rischi negli aggiornamenti software automatizzati, ciò che ha causato la crisi CrowdStrike. Lavorando a stretto contatto con i fornitori, è importante comprendere i loro rischi, così come quelli dei partner e dei clienti. Serve poi implementare un robusto processo di gestione dei fornitori per i sistemi critici che consideri il rischio di continuità operativa, garantendo trasparenza reciproca nel processo di erogazione del software. La tecnologia aiuta i team ad avere visibilità e controllo sulla catena di fornitura del software e sulla sicurezza delle applicazioni.
Siamo preparati per un’indagine volta a correggere gli errori quando inevitabilmente qualcosa andrà storto?
Il personale qualificato deve essere a disposizione quando si presenta la necessità di un’indagine su larga scala, comprese quelle che coinvolgono le autorità. Per questo è opportuno strutturare la documentazione, i processi e le comunicazioni a supporto delle indagini ed effettuare simulazioni. La tecnologia supporta nel tracciare e fornire le informazioni necessarie durante le indagini, facilitando una rapida e accurata correzione degli errori.
Chi è responsabile e quali risorse dovremmo fornire per il recupero?
Oltre a stabilire chiare responsabilità e governance, compresa l’adeguata consulenza legale, bisogna valutare eventuali assicurazioni, come la copertura per la responsabilità civile degli amministratori e dei dirigenti e delle persone in ruoli critici. Mitigare il rischio informatico significa anche che le condizioni contrattuali con fornitori e assicuratori vanno periodicamente riviste, per valutare l’esposizione al rischio e le esigenze infrastrutturali in evoluzione.
Come comunichiamo con clienti, stakeholder e investitori?
Saper gestire efficacemente la comunicazione in caso di crisi e le relazioni pubbliche sotto pressione è un’arte. È bene assicurarsi che i team di comunicazione siano allineati e formati per sviluppare un piano di comunicazione ben definito, tempestivo e trasparente, fornendo anche alle autorità le informazioni necessarie nei tempi previsti dalla legge.
