Courtney Guss | Responsabile della gestione delle crisi

Con l'aumentare dell'intensità e della sofisticazione delle minacce informatiche — tra cui il ransomware e gli attacchi sponsorizzati da Stati— la gestione degli incidenti informatici è diventata una delle principali priorità di ogni consiglio di amministrazione.

Ma anche nelle aziende che hanno soddisfatto tutti i requisiti e dispongono di un adeguato sistema di gestione degli incidenti, noto che durante gli incidenti reali si verifica ripetutamente un problema:

Le organizzazioni sanno cosa dovrebbero fare, ma non riescono a coordinarsi con la rapidità necessaria per metterlo effettivamente in pratica.

Nel primo articolo di questa serie (Ripensare la gestione delle crisi informatiche: perché i piani falliscono e cosa costruire al loro posto) ho sostenuto che la maggior parte delle azioni di risposta agli incidenti informatici fallisce non perché le organizzazioni non dispongano di piani, ma perché mancano di chiarezza decisionale.

I manuali operativi, i piani d'azione e le simulazioni teoriche sono strumenti preziosi, ma non sono in grado di prevedere la complessità di una crisi reale. Quando gli schemi prestabiliti vengono meno, i team devono poter contare su priorità chiare, competenze ben definite e sulla capacità di prendere decisioni giustificabili anche sotto pressione.

Crisi dopo crisi, è proprio qui che vedo che la maggior parte delle operazioni di risposta agli incidenti comincia a fallire.

  • Non a causa di un guasto tecnico.
  • Non per mancanza di competenza.
  • Ma poiché l'organizzazione non è in grado di comunicare, assegnare compiti, monitorare e adattarsi in tempo reale.

Ed è proprio qui che la gestione della crisi diventa l'anello mancante.


Ogni crisi informatica si trasforma in un problema di coordinamento

Non si possono prendere decisioni se non si riesce a comunicare. In caso di crisi, questo è ancora più vero.

I responsabili della sicurezza, dell'IT, degli affari legali e della comunicazione, i dirigenti, i leader aziendali e i partner esterni devono agire tutti contemporaneamente, spesso con informazioni incomplete e priorità in continua evoluzione.

In assenza di un metodo strutturato per coordinare tale attività, i team ricorrono agli strumenti che hanno a disposizione:

  • Conversazioni via e-mail
  • Messaggi di chat
  • Fogli di calcolo
  • Appunti personali
  • Teleconferenze
  • Lavagne bianche
Figura 1: Disporre di troppi strumenti disparati costituisce un ostacolo a una risposta informatica efficace.

Presi singolarmente, questi strumenti funzionano. Insieme, però, causano frammentazione.

I compiti vanno persi. Le responsabilità diventano poco chiare. Le informazioni sono incoerenti. Le decisioni vengono prese senza conoscere il contesto completo. E i dirigenti sono costretti ad agire senza avere una visione chiara di ciò che sta realmente accadendo.

In una situazione di crisi, quella mancanza di coordinamento non è solo inefficiente, ma anche pericolosa.

  • Non si possono prendere decisioni valide se non si ha una visione d'insieme.
  • Non è possibile mettere in atto un piano se nessuno sa chi è il responsabile della fase successiva.
  • Non potrai giustificare le tue azioni in seguito se non sarai in grado di dimostrare cosa è successo.

La gestione delle crisi non consiste solo nella risposta agli incidenti, ma è un processo coordinato

Gli incidenti informatici odierni non vengono più gestiti da un unico team, ma richiedono un intervento coordinato a livello dell'intera organizzazione.

Ciò significa che la risposta agli incidenti non è più solo una questione tecnica.

  • È operativo.
  • È un dirigente.
  • È legale.
  • È una questione finanziaria.
  • È una questione di reputazione.

Gestire un tale livello di complessità richiede ben più che semplici documenti.
Richiede un'orchestrazione.

Una capacità efficace di gestione delle crisi dovrebbe garantire:

  • Chiara attribuzione dei compiti e delle responsabilità
  • Visibilità in tempo reale sullo stato di avanzamento e sugli ostacoli
  • Flussi di lavoro definiti e adeguati al tipo di incidente
  • Monitoraggio delle decisioni e procedure di escalation
  • Coordinamento della comunicazione tra i team
  • Documentazione centralizzata delle azioni e dei risultati

Senza questi elementi, anche il piano di gestione delle crisi meglio concepito fallisce nella fase di attuazione.

Grazie a questi strumenti, le organizzazioni possono agire con maggiore rapidità, rimanere coordinate e mantenere il controllo anche quando la situazione cambia.


La realtà della gestione degli incidenti al giorno d'oggi: team distribuiti e nessuna possibilità di riunirsi

La gestione delle crisi si basava su un presupposto che oggi non è più valido: che le persone giuste potessero riunirsi nella stessa stanza.

Le organizzazioni odierne operano a livello globale, in ambienti di lavoro ibridi, su piattaforme cloud e avvalendosi di fornitori terzi. Il personale addetto alle emergenze può trovarsi in città diverse, in paesi diversi o in fusi orari diversi. Il personale dell'ufficio legale può lavorare da remoto. I dirigenti possono essere in viaggio. Le risorse tecniche chiave possono trovarsi presso fornitori di servizi gestiti o partner esterni.

In caso di vera e propria crisi informatica, non c'è tempo per allestire una sala operativa fisica. E anche se ci fosse, le persone di cui avete più bisogno potrebbero non riuscire ad arrivare sul posto in tempo. Aspettare che tutti si riuniscano richiede tempo, e in una crisi il tempo è la risorsa più preziosa di cui disponete.

Ogni ora persa a causa di ritardi nel coordinamento può comportare:

  • Interruzioni prolungate
  • Maggiore impatto finanziario
  • Maggiore esposizione dei dati
  • Scadenze normative non rispettate
  • Perdita di fiducia da parte dei clienti

Il modello tradizionale di gestione delle crisi — che prevede di riunire tutti in un unico luogo per coordinarsi — non è più adeguato alle organizzazioni moderne.

Ecco perché il concetto di centro di comando virtuale è diventato fondamentale.

Figura 2: Per migliorare la preparazione alle crisi, le organizzazioni devono svolgere regolarmente esercitazioni teoriche che mettano alla prova tutte le parti interessate attraverso scenari pratici e realistici di crisi informatiche.

La sala operativa virtuale: coordinamento delle crisi senza limiti fisici

La gestione delle crisi al giorno d'oggi richiede un luogo in cui il coordinamento possa avvenire immediatamente, indipendentemente dalla posizione geografica delle persone.

Un centro di comando virtuale — o "war room" virtuale — consente alle organizzazioni di riunire le persone giuste senza che queste debbano trovarsi fisicamente nello stesso luogo. Questo spazio virtuale offre vantaggi fondamentali:

  • I team possono unirsi immediatamente da qualsiasi luogo
  • La dirigenza può mantenere una visibilità in tempo reale
  • È possibile assegnare i compiti senza creare confusione
  • La comunicazione rimane centralizzata
  • Le decisioni vengono documentate man mano che vengono prese
  • Se necessario, è possibile coinvolgere partner esterni

Invece di aspettare che tutti si riuniscano nella stessa stanza, è la stanza che va da loro.

Non si tratta solo di praticità. È ciò che permette alle organizzazioni di iniziare a gestire la crisi immediatamente, invece di perdere tempo prezioso cercando di organizzare la risposta.

Negli ambienti distribuiti, l'orchestrazione non è solo utile: è indispensabile.

Senza un punto di coordinamento virtuale, la risposta si frammenta rapidamente in conversazioni parallele, aggiornamenti scollegati tra loro e decisioni non documentate. Dobbiamo riunire gli operatori essenziali affinché possano comunicare, condividere informazioni, prendere decisioni sulla base di ciò che osservano e ridurre il divario informativo tra i vari team.

Una sala operativa virtuale funge da fonte unica di informazioni affidabili nei momenti più caotici, consentendo ai team distribuiti di operare come un'unica unità di risposta coordinata, anche quando sono sparsi in tutto il mondo.


Una maggiore visibilità porta a decisioni migliori

In "Ripensare la gestione delle crisi informatiche", ho discusso l'importanza di definire l'autorità decisionale e le priorità aziendali.

Ma l'autorità da sola non basta. I leader non possono prendere decisioni efficaci senza una visione d'insieme.

In caso di crisi, i responsabili delle decisioni devono comprendere:

  • Cosa è stato completato
  • Cosa è ancora in corso
  • Cosa è bloccato
  • Quali sistemi sono interessati
  • Quali sono i rischi in aumento
  • Quali azioni avranno il maggiore impatto?

Senza quella chiarezza, le decisioni si trasformano in supposizioni e diventano difficili da giustificare o difendere, il che contribuisce a creare una paralisi decisionale.

Una volta implementata l'orchestrazione, i dirigenti possono monitorare lo stato della risposta in tempo reale. Possono stabilire le priorità sulla base dei fatti, non di supposizioni. Possono modificare la direzione senza perdere il controllo dell'esecuzione.

È proprio questo che permette a un'organizzazione di passare da un approccio reattivo a uno proattivo, anche nel bel mezzo di una crisi.


La responsabilità è importante anche dopo che l'incidente è terminato

Uno degli aspetti più trascurati della gestione delle crisi è ciò che accade dopo l'evento.

Ogni incidente informatico di rilievo finisce per sollevare alcune domande:

  • Che cosa è successo?
  • Quando l'abbiamo saputo?
  • Chi ha preso la decisione?
  • Perché abbiamo agito in quel modo?
  • Abbiamo seguito la nostra procedura?
  • Avremmo potuto fare di meglio?

Queste domande possono provenire da autorità di regolamentazione, clienti, revisori, consigli di amministrazione, assicuratori o dai vertici aziendali.

Se la gestione della risposta è avvenuta tramite e-mail, registri delle chat e appunti sparsi, ricostruire la cronologia degli eventi diventa quasi impossibile. Ciò comporta dei rischi anche molto tempo dopo che l'incidente tecnico è stato risolto.

Una risposta coordinata offre qualcosa di diverso:

  • Elenco delle azioni intraprese
  • Cronologia delle decisioni
  • Documentazione relativa alle autorizzazioni
  • Prove di coordinamento
  • Prova che l'organizzazione ha seguito la propria procedura

Questo non si limita a garantire la conformità: protegge l'organizzazione e consente ai dirigenti di difendere le proprie decisioni con sicurezza.

E nell'attuale contesto normativo e giuridico, questo aspetto è importante tanto quanto la risposta stessa.


L'orchestrazione migliora la maturità a tutti i livelli

Uno dei pregiudizi più diffusi è che l'orchestrazione sia riservata esclusivamente alle organizzazioni altamente mature.

In realtà, è vero proprio il contrario.

  • Le organizzazioni con un basso livello di maturità hanno bisogno di una struttura.
  • Le organizzazioni con un elevato grado di maturità necessitano di coordinamento.
  • Le organizzazioni di medie dimensioni hanno bisogno di coerenza.

L'orchestrazione è di aiuto in ogni fase.

  • Le organizzazioni meno mature acquisiscono una struttura.
  • Le organizzazioni più consolidate acquisiscono slancio.
  • Le organizzazioni altamente mature acquisiscono controllo e solidità.

L'orchestrazione non sostituisce la pianificazione. Rende la pianificazione applicabile anche in situazioni di stress.

Figura 3: Il Capability Maturity Model (CMM) — un quadro di riferimento ampiamente riconosciuto per la valutazione delle operazioni aziendali — viene comunemente utilizzato per aiutare le organizzazioni a migliorare il proprio livello di maturità in materia di sicurezza informatica.

Come le organizzazioni riescono a superare un incidente informatico

Ogni organizzazione spera di evitare una crisi. Ma gli incidenti sono inevitabili .

La differenza tra le organizzazioni che si riprendono rapidamente e quelle che faticano a farlo non sta nel numero di procedure operative che hanno a disposizione.

La questione è se siano in grado di:

  • Concentriamoci su ciò che conta
  • Prendi decisioni senza esitare
  • Coordinarsi a livello aziendale
  • Mantenere la lucidità sotto pressione
  • Descrivi cosa è successo
  • Giustificare le proprie azioni a posteriori

Questo è ciò che permette una gestione efficace delle crisi.

  • Trasforma i progetti in realtà.
  • Trasforma le decisioni in azioni concrete.
  • Trasforma il caos in ordine.

E quando la situazione si sarà stabilizzata, le organizzazioni più solide potranno affermare qualcosa che poche altre sono in grado di dire.

Non ci siamo limitati a reagire. Abbiamo gestito la crisi.


Scopri di più