Data breach: esercitare il fattore umano prima della prova sul campo
Una delle citazioni più note e rimbalzate di Mike Tyson, “Everybody has a plan until they get punched in the mouth”, sembra essere perfetta per chiarire quel gap fra l’aver predisposto un ottimo piano ed essere in grado di attuarlo. Così, nel contesto di un data breach, l’adozione di una procedura per la gestione di una situazione naturalmente connotata da crisi ed emergenza qual è una violazione di dati personali rappresenta una condizione necessaria ma non sufficiente per costituire una misura preventiva efficace.
Infatti, nel momento in cui un incidente o una violazione di sicurezza rischia di compromettere tanto i sistemi quanto i database, la capacità di reazione dell’intera organizzazione viene messa duramente alla prova e il fattore umano può rappresentare un elemento in grado di influire sul successo o l’insuccesso dell’intera strategia.
Non è possibile in alcun modo considerare una situazione in cui si può prescindere dall’impatto che un tale evento ha prima di tutto nei confronti del management e degli operatori; dunque, nei confronti dei fornitori nel momento in cui c’è una compromissione di sicurezza della supply chain. E nel momento in cui l’intervento umano è naturalmente limitato ad alcuni passaggi e fasi dell’incident response per effetto delle automazioni tecnologiche, è di chiara evidenza che le conseguenze di un’azione o di un’inazione sono destinate a generare un impatto crescente.
Tanto premesso, la risposta alla domanda circa l’adeguata preparazione del personale per affrontare una violazione di sicurezza è bene che non venga scoperta proprio nel momento in cui tale violazione si realizza.
Per aumentare la preparazione e la partecipazione del management e degli operatori nell’affrontare l’evento di data breach e migliorare così in modo sensibile il livello generale di sicurezza reattiva dell’organizzazione, diventa particolarmente importante attenzionare anche l’esercizio di alcune soft skill quali sono, ad esempio, la capacità di comunicazione, la gestione dello stress, la capacità di lavoro di squadra, la leadership e il problem solving.
Ciò significa che l’organizzazione viene di conseguenza chiamata a predisporre interventi di formazione e sensibilizzazione efficaci, prevedendo anche l’impiego mirato del roleplay per provvedere alla diffusione di una maggiore comprensione e consapevolezza dei ruoli e ad un addestramento operativo riguardante le procedure e le istruzioni adottate.
La misurazione di efficacia degli interventi così predisposti può essere svolta attraverso la programmazione di alcune simulazioni di attacchi o di incidente, all’esito delle quali va espressa una valutazione facendo riferimento alla capacità di reazione dell’organizzazione, dei sistemi e dei reparti e mai dei singoli individui.
Altrimenti, il rischio è quello di andare a compromettere proprio quel fattore umano che invece si vuole andare a potenziare attraverso le azioni di empowerment e formazione continua