Gestione del rischio: dagli scenari futuri alle questioni di sicurezza

In altre parole, per i contabili del rischio questi pericoli si trovano al di fuori della loro immaginazione, lontano dai fogli di calcolo Excel e dai cruscotti. Il risultato? Fallimenti, sfortuna e disastri. I media sono pieni di esempi di questo tipo, soprattutto da parte di aziende rinomate che dovrebbero saperlo bene per esperienza.

• L'attacco hacker ai server della banca statunitense J.P. Morgan Chase & Co. è stato più grave di quanto ipotizzato in precedenza. Secondo la banca, nel cyberattacco sono stati rubati i dati di contatto di 76 milioni di famiglie e 7 milioni di piccole imprese. Gli hacker hanno avuto accesso ai server solo per un breve periodo e hanno interrotto le loro attività dopo un'ora.
• Una società americana di sicurezza informatica ha scoperto quello che potrebbe essere il più grande furto di dati di tutti i tempi. Gli hacker russi avrebbero rubato 1,2 miliardi di dati di accesso. Nomi utente e password per tutti i tipi di servizi Internet, dalle e-mail ai social media e ai siti di shopping. Gli esperti consigliano di cambiare le password.
• Il danno causato dall'attacco alla rete Playstation di Sony ha avuto dimensioni enormi. Gli hacker hanno ottenuto dati come nomi, e-mail, dati di login e indirizzi di 71 milioni di utenti. Potrebbero anche essere stati in grado di intercettare i dati delle carte di credito. Il danno finanziario per Sony è stimato in 24 miliardi di dollari.
• Al produttore di software Adobe Systems sono stati rubati 100 milioni di nomi di utenti, comprese le password criptate e i suggerimenti per le password.

L'elenco crescerà molto più rapidamente in futuro, soprattutto per le PMI ...

Ingenuità e negligenza

Gli attacchi informatici sono in aumento da anni. Studi empirici dimostrano che i fallimenti delle tecnologie dell'informazione (IT) in particolare hanno un impatto diretto sui costi di un'azienda. L'aspetto entusiasmante è che è possibile proteggersi, ma per molte aziende l'argomento non è ancora all'ordine del giorno. L'ingenuità spesso inaudita delle aziende e la gestione poco accorta dei loro dati e dei loro sistemi di sicurezza fanno sì che la criminalità informatica sia un "crimine con un futuro". Quando si tratta di gestione delle crisi e della propria sicurezza, purtroppo le aziende sono spesso ingenue e si cullano in un falso senso di sicurezza: l'economia e la criminalità informatica sono troppo spesso viste come "un problema di qualcun altro". Questo nonostante il fatto che, secondo il recente studio "Net Losses - Estimating the Global Cost of Cybercrime" del Center for Strategic and International Studies (CSIS), la criminalità informatica provoca danni annuali globali per oltre 400 miliardi di dollari.

Soprattutto per quanto riguarda il recupero dei dati, il recupero di importanti dati aziendali, si perde inutilmente molto tempo prezioso che potrebbe essere risparmiato ottimizzando la protezione dei dati, soprattutto nel recupero dei dati. Banalmente, più lunghi sono i tempi di inattività, più alti sono i costi associati.

Approcci orientati allo scenario

Ma solo quando le aziende hanno detto addio allo specchietto retrovisore e guardano al futuro con approcci orientati agli scenari, la gestione del rischio offre un solido strumento di navigazione per le aziende. Le principali sfide per la gestione del rischio in un'azienda sono la definizione di scenari e di un "piano di battaglia" per l'eventualità di una crisi. Un piano di crisi di questo tipo è lo strumento più importante con cui un'azienda può reagire in modo rapido e appropriato ad attacchi improvvisi. Ad esempio, un'azienda dovrebbe analizzare i problemi che il furto di dati potrebbe causare alla società, nonché l'entità di una possibile perdita di reputazione. È necessario disporre di una strategia che definisca come trattare con i clienti, la stampa o la procura in caso di crisi. O come l'azienda si comporta in pubblico e, non ultimo, come ci si comporta nei confronti dei propri dipendenti. Il trasferimento del rischio al settore assicurativo funziona solo fino a un certo punto. Deve essere chiaro all'assicurato che solo i danni finanziari possono essere coperti dalla cosiddetta assicurazione informatica. Tuttavia, il danno effettivo, ad esempio la perdita di reputazione, resta e rimane a carico dell'azienda.

Argomento tabù

La comunicazione di crisi è ancora considerata un argomento tabù in molte aziende. Molte aziende dimenticano di adattare i piani di comunicazione di crisi esistenti ai nuovi canali di comunicazione. E ciò che è ancora più importante: Non di rado, manca quel ripensamento della cultura aziendale che rende possibile un dialogo aperto, equo e senza tensioni con gli azionisti arrabbiati in caso di crisi.

La paura di diffondere ondate di protesta sui social media porta al "principio dello struzzo". Le aziende sprecano il potenziale comunicativo di Twitter, Facebook o YouTube perché temono di diventare vittime di un'incontrollabile shitstorm alle due e mezza di notte, quando il loro stesso dipartimento di comunicazione dorme. La considerazione di fare il morto online diventa una decisione gestionale consapevole - nella convinzione, altrettanto falsa quanto incontrovertibile, che ci si possa proteggere dal potenziale di una sommossa non essendo presenti sui social media. Eppure, la shitstorm lanciata da Greenpeace contro l'azienda alimentare Nestlé dovrebbe far capire a tutti i manager che questa strategia fallisce miseramente in caso di crisi. Nel 2010, l'organizzazione ambientalista Greenpeace ha lanciato una campagna contro il prodotto Kitkat di Nestlé perché utilizza olio di palma proveniente dall'Indonesia, coltivato in aree disboscate della foresta pluviale. L'Indonesia ha uno dei tassi di deforestazione più alti al mondo. Dopo l'inizio della campagna di Greenpeace, Nestlé aveva prima cercato di eliminare la protesta dalla rete con mezzi legali: una strategia di forza e di minaccia che avrebbe potuto avere ancora successo sulla carta stampata. Online, tuttavia, questo approccio era destinato a fallire. Alla fine, Nestlé ha dovuto cedere e modificare la sua produzione.

La mappa del mondo del rischio è cambiata massicciamente negli ultimi anni. I tempi per i gestori del rischio sono diventati tutt'altro che noiosi. In futuro le aziende dovranno affrontare sempre di più il tema della gestione delle crisi. Lo strumento di gestione delle crisi deve rimanere un "documento vivente" e le esercitazioni del team di crisi devono essere condotte almeno una volta all'anno con un copione di scenario seriamente preparato e analizzato a fondo.