Cattivi esempi.
Un professionista si chiedeva su un social, pochi giorni fa, come mai i servizi di una grande banca possano essere stati fermi per quasi 36 ore, per quale causa ed oltretutto perché non abbia fornito una comunicazione ai clienti.
Nessuno ha potuto operare né con lo smartphone, né con il PC su Internet, né andando in agenzia: anche i dipendenti non potevano operare sui conti.
Nessuna comunicazione ufficiale, tranne – dopo una decina di ore di blackout – un “cartello”, a livello online e mobile, che avvisava che a breve (24 ore dopo!) il servizio sarebbe ripreso.
Sembra che ciò sia stato dovuto ad un problema causato da una società di sviluppo software che aveva in corso i test di una nuova procedura. La stessa fonte ha affermato che degli hacker abbiano trovato modo di entrare nei sistemi e fare dei non meglio precisati danni (copiati i dati?). Un’altra fonte interna ha accennato invece ad un serio problema di trasmissione dati (blackout di 36 ore? Possibile?). Quindi, in conclusione, non sappiamo quale sia stata la reale causa.
Perché ho citato questo episodio? Per cogliere l’opportunità di scambiare alcune considerazioni con i lettori, proponendo i seguenti interrogativi:
- L’assenza di comunicazione ai clienti e stakeholders e i lunghi tempi per il ripristino di almeno alcuni servizi essenziali, non sta ad indicare che i piani di business continuity e crisi management non hanno funzionato o sono oramai un ricordo dei bei tempi passati?
- Quante aziende sono nelle stesse condizioni?
- Qualora un malware o degli hacker avessero effettivamente approfittato di qualche “porta” aperta su un server, a causa della concentrazione del personale sui test della nuova applicazione trascurando la sicurezza, non vorrebbe dire che l’esperienza recente (un noto ospedale romano) e quella passata (anni fa nella stessa azienda), non insegnano nulla?
- Si parla, giustamente, di diffondere una adeguata cultura dei rischi informatici, ma è possibile che vi siano delle grandi aziende che non rispettano le norme più elementari?
- L’esperienza insegna che la fretta di mettere in produzione una applicazione (pur giustificata dalla guerra alla concorrenza), non accompagnata da adeguate misure preventive e di contingency, continua a mettere a rischio la sicurezza dei cittadini. Non solo in banca. Il caso recente della Boeing non è drammaticamente eclatante?
- Altresì grave è che l’esperienza passata non abbia alcun valore. Perché il personale con molta esperienza non viene incentivato a trasferire le sue esperienze ai più giovani? Perché non si fa tesoro dell’esperienza?
Credo che sia necessario un momento di riflessione.
Mi farebbe piacere ricevere un vostro parere.