Courtney Guss | Responsabile della gestione delle crisi

Una gestione efficace delle crisi informatiche non si basa su documenti o modelli di maturità. Dipende piuttosto dal modo in cui un'organizzazione si comporta nelle prime ore di un incidente reale e dagli strumenti che utilizza per sostenere tali interventi.

In questa serie di articoli del blog, abbiamo cercato di capire perché la gestione delle crisi informatiche fallisca così spesso proprio quando è più importante.

Nel libro *Ripensare la gestione delle crisi informatiche: perché i piani falliscono e cosa costruire al loro posto*, abbiamo esaminato come i piani falliscano quando il processo decisionale crolla sotto la pressione della realtà, non perché i team siano impreparati, ma perché, quando gli eventi si susseguono più rapidamente di quanto previsto, l'autorità, le priorità e le responsabilità diventano poco chiare.

Nell'articolo "Il tassello mancante nella risposta agli incidenti informatici: l'orchestrazione della crisi", abbiamo analizzato cosa succede dopo. Anche quando le organizzazioni sanno cosa dovrebbero fare, faticano a metterlo in pratica. La comunicazione si frammenta. Le responsabilità si confondono. Le informazioni sono sparse in troppi luoghi. E senza un modo per coordinare le azioni in tempo reale, gli sforzi di risposta iniziano a sgretolarsi.

A questo punto, i problemi sono evidenti. Ora la domanda è: in che modo le organizzazioni possono risolvere tali problemi in modo concreto ed efficace?

Come si presenta, in realtà, una buona gestione delle crisi informatiche quando i piani cedono il passo alla pressione, le decisioni devono essere prese sulla base di informazioni incomplete e il coordinamento determina l'esito degli eventi?

Per rispondere a questa domanda non occorre ricorrere a un altro modello o a un'altra lista di controllo. Occorre innanzitutto avere un quadro chiaro dei comportamenti, delle strutture e delle capacità che oggi caratterizzano una gestione efficace delle crisi informatiche.


Come si presenta una buona gestione delle crisi informatiche in caso di un incidente reale?

Nonostante i maggiori sforzi profusi per prepararsi agli incidenti informatici, molte organizzazioni si trovano ancora impreparate di fronte alla realtà della gestione delle crisi informatiche.

Figura 1. Una ricerca di Semperis evidenzia un divario significativo tra il livello di preparazione percepito e i risultati effettivi quando si verifica un incidente reale. (Fonte: The State of Enterprise Cyber Crisis Readiness)

Ciò non significa che tali organizzazioni sbaglino a prepararsi. Una gestione efficace delle crisi informatiche non implica rinunciare alla pianificazione, alla preparazione o alle esercitazioni teoriche. Anzi, le organizzazioni che gestiscono bene gli incidenti sono quasi sempre quelle che investono in tali iniziative.

I piani, i manuali operativi e le simulazioni sono fondamentali. Consentono di raggiungere una visione comune, mettono in luce e mettono in discussione i presupposti e permettono ai team di analizzare gli scenari prima che la pressione diventi reale.

Il problema non è che le organizzazioni non si esercitino o non pianifichino, ma che troppo spesso tali piani vengono elaborati e testati in modi che non trovano applicazione nelle prime ore critiche di un incidente reale. Molte iniziative di preparazione si concentrano sul Piano A senza considerare cosa succede quando quel piano fallisce. Quando il percorso previsto va in fumo, i team sanno come adattarsi?

  • C'è un piano B — o magari un piano C — su cui ripiegare?
  • Siete tutti d'accordo su ciò che conta davvero?
  • Chi ha l'autorità di prendere decisioni cruciali in tempo reale?

Siate pronti a modificare il piano di gestione delle crisi

Quando si verifica una vera e propria crisi informatica, gli eventi raramente seguono il copione. Le informazioni sono incomplete. Le priorità entrano in conflitto. Nuovi rischi emergono di minuto in minuto. A quel punto, il valore della preparazione non si misura più in base alla fedeltà con cui i team seguono un documento, ma in base all’efficacia con cui riescono ad applicare lo spirito del piano sotto pressione.

Quando le squadre gestiscono bene una crisi, alcuni aspetti diventano immediatamente evidenti, anche a chi non è coinvolto direttamente nella gestione:

  • Le decisioni vengono prese senza lunghe discussioni sull'autorità
  • Le azioni procedono senza che vi sia confusione riguardo alla titolarità
  • I dirigenti possono vedere cosa sta succedendo senza dover cercare continuamente gli aggiornamenti
  • L'organizzazione mantiene il controllo, anche quando le condizioni cambiano

Questo non accade perché la situazione è semplice.

Questo accade perché la preparazione è concepita in modo tale da reggere anche quando la realtà si discosta dalle aspettative.


In sostanza, una buona gestione delle crisi informatiche consiste nella capacità di tradurre la preparazione in un’azione coordinata, allineando in tempo reale le decisioni della leadership con l’attuazione pratica, pur garantendo trasparenza, responsabilità e fondatezza durante l’intera risposta.

È proprio questo allineamento che conta di più nelle prime ore di una crisi.


Negli incidenti gestiti in modo inadeguato, i team sono spesso molto impegnati ma poco coordinati. La comunicazione è costante ma frammentata. Le decisioni vengono bloccate o riviste perché l'autorità non è chiara o mancano gli elementi di contesto. I responsabili si affidano a sintesi piuttosto che a una visione d'insieme condivisa, rallentando la risposta proprio quando il tempo è fondamentale.

Negli incidenti gestiti correttamente, vale invece il contrario.

  • L'organizzazione agisce con calma e ponderatezza.
  • Le persone giuste si impegnano sin dall'inizio.
  • Si comprende e si esercita il potere decisionale.
  • Le informazioni circolano attraverso un quadro operativo condiviso.
  • L'attuazione si adatta all'evolversi della situazione senza perdere coerenza né slancio.

E, cosa importante, il successo non si misura in base alla perfezione.

Ogni crisi comporta incertezza e la capacità di riconsiderare le decisioni man mano che emergono nuove informazioni. Ciò che contraddistingue una buona gestione delle crisi non è fare tutto nel modo giusto sin dal primo tentativo, bensì mantenere la capacità di agire, adattarsi e difendere le proprie decisioni man mano che la situazione evolve.

Questa capacità non deriva solo dalla pianificazione. Deriva dal preparare l'organizzazione ad agire quando i piani si scontrano con la realtà.


Concentrarsi su ciò che conta davvero: il punto di riferimento per il processo decisionale in situazioni di crisi

Prima che l'autorità possa essere esercitata in modo efficace — e prima che l'attuazione possa procedere con rapidità — è necessario trovare un accordo su un aspetto ancora più fondamentale: ciò che conta di più quando i compromessi diventano inevitabili.

In ogni crisi informatica, le organizzazioni si trovano a dover prendere decisioni che non possono essere risolte solo con la precisione tecnica.

  • Non è possibile ripristinare tutti i sistemi contemporaneamente.
  • Non è possibile eliminare tutti i rischi contemporaneamente.
  • Le informazioni arrivano in modo irregolare.
  • Il tempo a disposizione è limitato.

In quei momenti, la questione non è semplicemente chi abbia l'autorità di decidere, ma piuttosto quale sia l'obiettivo che tali decisioni dovrebbero perseguire.


Le organizzazioni che incontrano difficoltà durante le crisi spesso non dispongono di questo allineamento. I team operano in base a priorità diverse, talvolta in contrasto tra loro:

  • La sicurezza punta sul contenimento.
  • L'IT si concentra sul restauro.
  • Il diritto si concentra sull'esposizione.
  • I dirigenti aziendali puntano sulla continuità.
  • La comunicazione punta tutto sulla reputazione.

Queste prospettive non sono sbagliate. Tuttavia, senza un obiettivo comune a cui orientarsi, finiscono per contrapporsi anziché convergere.

Le organizzazioni che gestiscono efficacemente le crisi informatiche dedicano tempo in anticipo a concordare quali siano gli aspetti più importanti quando la pressione è al massimo. Tale accordo può vertere sulla tutela della sicurezza dei pazienti, sul mantenimento della fiducia dei clienti, sul proseguimento delle operazioni critiche, sul rispetto delle scadenze normative o sulla riduzione al minimo dei danni reputazionali a lungo termine.

Le priorità specifiche variano a seconda dell'organizzazione. Ciò che conta è che siano comprese, concordate e rese operative prima che si verifichi una crisi.

Quando esiste questa coerenza, il processo decisionale diventa più chiaro, anche quando gli eventi non seguono il piano. I leader possono improvvisare senza perdere la rotta. I team possono adattarsi senza frammentarsi. Le decisioni prese nei momenti di incertezza rimangono in linea con i valori e gli impegni dell'organizzazione.

È proprio qui che molti dei tradizionali programmi di preparazione falliscono. Le simulazioni teoriche spesso si concentrano su azioni specifiche per determinati scenari, piuttosto che su scelte basate sulle priorità. I piani descrivono le fasi da seguire, ma non l'obiettivo aziendale che sta alla base. Quando la realtà si discosta dalle aspettative, i team perdono l'orientamento, non perché non sappiano cosa fare, ma perché non sono sicuri di quale sia l'obiettivo da perseguire.

L'allineamento cambia tutto.

  • Quando le priorità sono chiare, è possibile esercitare l'autorità con determinazione.
  • Quando le priorità sono condivise, l'attuazione diventa più rapida e coerente.
  • Quando le priorità sono chiare, il coordinamento migliora anche se le circostanze cambiano.

Tale allineamento deve essere integrato nello stesso contesto operativo in cui avvengono il processo decisionale e l'attuazione. Se le priorità esistono solo nei documenti programmatici o nelle presentazioni, finiscono per svanire sotto pressione. Quando invece sono integrate nella gestione delle crisi — riflettendosi nella definizione delle priorità dei compiti, nella motivazione delle decisioni e nella visibilità della leadership — continuano a guidare il comportamento anche quando è richiesta l'improvvisazione.


L'orchestrazione svolge un ruolo fondamentale in questo contesto.

Piattaforme come Ready1 non si limitano ad aiutare i team a coordinare le azioni; aiutano le organizzazioni ad allineare le attività di risposta alle priorità concordate in tempo reale. Rendendo visibili in un unico posto decisioni, azioni e contesto, l'orchestrazione garantisce che l'improvvisazione rimanga allineata anziché dispersiva.

In caso di crisi informatica, è proprio l’allineamento a consentire alle autorità di operare e all’attuazione delle misure di seguire. Senza di esso, anche ruoli chiaramente definiti e una comunicazione rapida possono spingere i team in direzioni diverse. Con esso, l’organizzazione può andare avanti unita, guidata da una visione condivisa di ciò che conta davvero quando è più importante.


Stabilire in anticipo le competenze in modo che le decisioni non subiscano ritardi

Una struttura decisionale poco chiara e una comunicazione frammentata causano il blocco o la frammentazione delle decisioni sotto pressione. Quando finalmente si raggiunge un consenso, le opportunità sono ormai andate perdute, i rischi aumentano e la fiducia viene minata.

In una gestione efficace delle crisi, il potere decisionale non viene individuato solo nel bel mezzo dell'incidente. È stato esercitato in precedenza, compreso da tutti i team e consolidato attraverso una preparazione che rispecchia le condizioni reali.

Ciò non significa che i dirigenti stabiliscano in anticipo ogni risultato. Significa piuttosto che l'organizzazione ha concordato in anticipo chi decide, quali sono le questioni rilevanti, quali compromessi sono autorizzati a fare e come tali decisioni vengono comunicate e attuate una volta prese.


Uno degli indicatori più evidenti di una crisi informatica gestita in modo efficace è la rapidità con cui l'organizzazione è in grado di prendere decisioni — e sostenerle — mentre la situazione è ancora in evoluzione.


Quando l'autorità è adeguatamente preparata:

  • I team rimandano le decisioni ai livelli superiori invece di discutere su chi debba assumersene la responsabilità
  • I leader prendono decisioni con sicurezza, senza esitazioni
  • L'esecuzione procede senza attendere approvazioni informali
  • Le decisioni vengono documentate automaticamente nell'ambito della risposta

Molte organizzazioni fraintendono il ruolo della preparazione in questo contesto. Le esercitazioni teoriche spesso si concentrano sulle decisioni da prendere, ma raramente mettono alla prova il modo in cui tali decisioni vengono prese, comunicate, assegnate e monitorate quando la pressione diventa reale.

Questa distinzione cambia completamente le carte in tavola.

Quando si verificano situazioni di emergenza, la sfida non consiste nell'individuare la decisione "giusta", bensì nel garantire che tale decisione si traduca in azione: in modo rapido, visibile e coerente in tutta l'organizzazione.

È proprio in questa fase, dal momento della decisione all'attuazione, che l'orchestrazione diventa fondamentale.

Senza un coordinamento adeguato, anche le competenze ben definite finiscono per perdere efficacia nella pratica. Le decisioni vengono comunicate verbalmente, sepolte nelle chat o trasmesse in modo incoerente. I compiti vengono semplicemente attribuiti a qualcuno anziché assegnati formalmente. I dirigenti credono che si stia già agendo, mentre i team attendono chiarimenti.

Una volta definita l'orchestrazione, l'autorità viene rafforzata attraverso la struttura:

  • Le decisioni vengono registrate man mano che vengono prese
  • La proprietà viene trasferita immediatamente ed esplicitamente
  • La dirigenza può monitorare l'esecuzione in tempo reale
  • I blocchi si manifestano subito, anziché in seguito a ritardi

Il risultato non è la velocità fine a se stessa, ma decisioni che si rivelano efficaci perché vengono attuate come previsto.

È questo che fa sì che le prime ore di una crisi informatica siano decisive: non perché tutti agiscano più rapidamente, ma perché tutti agiscono all’unisono, guidati da una chiara autorità e da un quadro operativo condiviso.


Ripensare la preparazione alla gestione delle crisi informatiche alla luce della realtà

Nel corso di questa serie ho sostenuto che la gestione delle crisi informatiche spesso fallisce quando la realtà si discosta dalle aspettative. Ma la soluzione non sta nel pianificare meno, bensì nel prepararsi in modo diverso.

Le organizzazioni che gestiscono bene le crisi non sono quelle che dispongono del maggior numero di manuali operativi o di schemi di risposta più dettagliati. Sono quelle che concentrano la propria preparazione su ciò che conta di più quando i piani falliscono — perché sanno che prima o poi succederà.

Una preparazione efficace tiene conto del fatto che l'improvvisazione è inevitabile e prepara l'organizzazione a improvvisare con efficacia.

Ciò significa resistere alla tentazione di elaborare procedure troppo complesse, concentrandosi invece sugli scenari che rappresentano una vera minaccia per l’azienda: clienti, pazienti, sicurezza, operazioni, obblighi normativi e fiducia.

Significa anche prepararsi in vista del processo decisionale, non solo delle fasi tecniche.

  • Chi decide quando i compromessi sono inevitabili?
  • Che potere hanno in quel momento?
  • Quali sono le priorità che guidano le decisioni quando le informazioni sono incomplete e il tempo stringe?

Quando le organizzazioni si mettono d'accordo in anticipo su questi aspetti, l'improvvisazione assume un carattere disciplinato anziché caotico. Le decisioni si evolvono, ma rimangono ancorate a valori e responsabilità condivisi.

Anche la preparazione deve essere messa in pratica in modo diverso.

Gli esercizi più utili non sono quelli in cui tutto va secondo i piani, ma quelli in cui le ipotesi si rivelano errate: quando mancano informazioni, i sistemi si comportano in modo imprevisto e i team devono adattarsi in tempo reale.

È qui che l'orchestrazione diventa fondamentale.

Gli incidenti informatici odierni non sono semplici eventi tecnici, ma vere e proprie crisi aziendali che richiedono capacità decisionali da parte dei vertici aziendali, coordinamento tra i vari reparti e assunzione di responsabilità in tempo reale.

Le organizzazioni che ripensano la propria preparazione — concentrandosi meno su copioni perfetti e più su un'improvvisazione coordinata — sono in una posizione migliore per affrontare tale realtà.

Non si limitano a rispondere più velocemente.
Rispondono con un obiettivo preciso.

E quando si presenta la prossima crisi, non si limitano a reagire. La gestiscono.


Scopri di più su come ripensare la gestione delle crisi e la resilienza informatica