Blog

Incident Management: la guida per gestire incidenti cyber, operativi e di compliance

4 luglio 2024

Parlare di incident management, ovvero di gestione e risposta agli incidenti di tipo cyber, operativo e di compliance, vuol dire descrivere una componente cruciale di qualsiasi strategia di governance del rischio. Il risk management, d'altra parte, non riguarda solo la prevenzione dell'avverarsi di minacce nell'ottica di preservare sempre e comunque la continuità operativa: gli incidenti, dopotutto, capitano, e anche con le migliori contromisure è impossibile garantire la protezione del business al 100%. Ciascun incidente, dunque, per quanto spiacevole, va affrontato e gestito con maturità, considerandolo un'opportunità per conoscere meglio le vulnerabilità dei propri processi, comprendere i margini di miglioramento dell'organizzazione e soprattutto imparare a prevenire, in futuro, situazioni dalle caratteristiche simili.

 

Ecco una guida su cosa conviene fare prima, durante e dopo un incidente per massimizzare la resilienza del business attraverso una buona prevenzione, una risposta efficace, un recupero rapido dell'operatività e il miglioramento continuo del processo di incident management.

 

Incident management: le mosse per gestire il ciclo di vita degli eventi

 

Prima di ogni altra cosa va precisato che secondo le discipline dell'incident management esiste un vero e proprio ciclo di vita degli incidenti, a cui deve corrispondere una roadmap incardinata su quattro macro-attività principali:

1 (1)

 

Le azioni da intraprendere prima che l'incidente si verifichi

 

L'incident management prevede una serie di azioni all'interno di ciascuna macro-area di attività. Più nello specifico, prepararsi a evitare o a mitigare gli effetti di un incidente significa:

  1. Sviluppare un piano dettagliato di risposta agli incidenti che delinei le procedure di rilevamento, segnalazione e risposta agli eventi. Il piano deve includere le fasi per contenere l'incidente, indagare sulla causa principale e ripristinare le normali operazioni.

  2. Creare un team di professionisti in grado di rispondere in modo rapido ed efficace agli incidenti di sicurezza. Il gruppo di lavoro dovrebbe includere persone provenienti da vari dipartimenti, come quello informatico, della sicurezza, legale e delle comunicazioni.

  3. Formare regolarmente i membri del team di incident management (e tutto il personale potenzialmente interessato) sulle procedure di risposta agli incidenti, in modo che siano preparati ad agire in modo rapido ed efficace.

  4. Condurre con frequenza esercitazioni di risposta agli incidenti e simulazioni da tavolo per testare il piano di risposta agli incidenti e identificare le aree da migliorare.

  5. Assicurarsi di disporre di modelli e strumenti appropriati per la comunicazione e il reporting. In quest'ottica potrebbe essere utile prendere in considerazione canali alternativi per comunicare con i principali stakeholder e con le istituzioni se i meccanismi primari non sono disponibili o sono compromessi.

  6. Stabilire partnership con parti interessate e soggetti esterni. La risposta a un incidente non può essere un esercizio da condurre in solitaria: richiede impegno, coordinamento e cooperazione con molti stakeholder e parti esterne. Meglio quindi assicurarsi di aver stabilito relazioni e di sapere come contattare le parti interessate oltre che le forze dell'ordine, gli enti normativi e le compagnie di assicurazione. Sapere in anticipo chi sono queste persone e queste organizzazioni e come interagire con loro renderà le cose più facili durante un incidente.


Come comportarsi durante un incidente

 

4

Se le attività di prevenzione non sono state sufficienti per impedire a una minaccia di avverarsi, una volta verificatosi un incidente è fondamentale che tutti gli attori coinvolti seguano le fasi indicate nel piano. Attenendosi scrupolosamente alle linee guida, l'organizzazione può ridurre al minimo l'impatto di un incidente, ripristinare rapidamente le normali operazioni e migliorare la propria posizione di sicurezza complessiva.

Vediamo nello specifico cosa occorre fare dal punto di vista operativo nel momento in cui un'azienda si trova a gestire un incidente cyber:

2 (1)

 

 

Le azioni da intraprendere dopo l'incidente

 

Una volta contenuti gli effetti dell'evento, il team dedicato all'incident management lavorerà per recuperare eventuali perdite di dati e ripristinare le normali operazioni. Ciò, rimanendo nell'ambito degli incidenti cyber (ma la considerazione vale anche sul piano dei tradizionali processi operativi), comporta il riavvio dei sistemi e la riduzione al minimo dell'impatto sull'organizzazione e sui suoi stakeholder.

5

 

 

I vantaggi dell'automazione nell'ambito dell'incident management

 

Adottando una piattaforma unificata per la risk governance e centralizzando su un unico punto di attenzione tutti i dati che descrivono le fattispecie di rischio, infine, è possibile introdurre all'interno dei processi che compongono l'incident management componenti di automazione in grado non solo di migliorare notevolmente l'efficacia e l'efficienza di ciascuna delle operazioni sopra descritte, ma anche di rendere le attività di reportistica sempre più accurate.

Per automatizzare la catena del valore legata all'incident management occorrono tipicamente sette passaggi:

 

3 (1)

 

 

CTA_BANCHE E CYBER RISK: come proteggersi efficacemente

Topic: Risk Management, Risk Governance