Blog

Procedura gestione incidenti informatici: i vantaggi di partire dai dati

9 luglio 2020

La procedura di gestione degli incidenti informatici è solitamente un insieme di azioni di tipo reattivo: si registra un disservizio, si indaga la causa (o la concomitanza di cause) che può averlo determinato, si individua una soluzione e si procede al ripristino della funzionalità interrotta o danneggiata dal problema riscontrato. Un processo che il più delle volte in azienda coinvolge i soli amministratori di sistema, o tutt'al più i responsabili della cyber security e della data protection, e che tende a escludere gli end-user, ai quali viene semplicemente notificata la variazione di stato rispetto al servizio impattato dall'incidente, con la raccomandazione di non adoperarlo fino al ripristino.

È, come sa chiunque ci abbia avuto a che fare almeno una volta nella propria carriera professionale, una procedura poco efficace e per nulla efficiente. Ciò è dovuto al fatto che con questo modus operandi ogni nuovo incidente fa letteralmente storia a sé, anche quando è collegato a eventi già accaduti e registrati o addirittura quando si tratta della medesima problematica che si ripresenta con manifestazioni diverse. Certo, è possibile costruire economie d'esperienza e sfruttare le competenze delle maestranze aziendali che, avendo sviluppato familiarità con situazioni ricorrenti, sono in grado di riconoscerne le varie declinazioni. Ma rimane comunque un metodo empirico e applicabile solo in presenza di chi sa dove mettere le mani. Un'alternativa per rovesciare il paradigma, però, c'è. Basta partire dai dati e utilizzare il patrimonio informativo aziendale per passare, grazie agli analytics, da un approccio reattivo a una logica preventiva.

 

Integrare la procedura di gestione degli incidenti informatici con l'IT Risk Management

Cambiare la procedura di gestione degli incidenti informatici adottando un criterio data-driven significa prima di ogni altra cosa organizzare attività di assessment nell'ambito di un piano esteso di IT Risk Management, un piano cioè che integri gli incidenti informatici in una più ampia valutazione dei fattori di rischio collegati all'utilizzo dei sistemi informativi. Ciò implica non solo il censimento degli asset IT a disposizione della popolazione aziendale e dei touch point attraverso cui collaboratori, clienti e altri elementi esterni si collegano ai network, ma anche il coinvolgimento degli amministratori di sistema e degli stessi end-user per ottenere una valutazione qualitativa delle cattive pratiche, delle anomalie riscontrate individualmente e delle potenziali minacce che secondo ciascun stakeholder affliggono l'ecosistema informatico dell'impresa. Solo a questo punto è possibile ipotizzare probabili scenari di rischio e predisporre Key Risk Indicators (KRI) che misurino attraverso la raccolta dei dati la frequenza con cui si verificano fenomeni da cui – secondo le valutazioni oggettive e soggettive – potrebbero generarsi incidenti ed eventi indesiderati.

 

Dalla reazione alla prevenzione: così i dati rovesciano il paradigma del cyber risk

Sono i dati – o meglio le elaborazioni condotte sui dati – la chiave di volta per rivoluzionare la procedura di gestione degli incidenti informatici. Gli algoritmi delle piattaforme analitiche correlano i valori segnalati dai KRI con le serie storiche di eventi del passato e con informazioni di contesto per trascendere la mera probabilità statistica ed estrapolare da dati relativi a situazioni reali, cogenti, l'incidenza di elementi sfavorevoli sui processi IT.

Diventa a questo punto possibile innanzitutto riconoscere con largo anticipo le manifestazioni di incidenti e disservizi già accaduti, predisponendo contromisure adeguate per evitare che si concretizzino danneggiando l'operatività. In secondo luogo, sistematizzando il coinvolgimento degli utenti nella segnalazione di anomalie e difformità, si può dare vita a un registro degli eventi costantemente aggiornato e condiviso, da cui le piattaforme analitiche e gli addetti alla cyber security estrapoleranno insight sempre più accurati. L'obiettivo è infatti eliminare il rumore e i falsi positivi per ottenere diagnosi oggettive, mirate e coerenti, che consentano in altre parole di individuare la soluzione al problema prima ancora che il problema si manifesti.

White Paper - Una guida pratica per l’IT Manager

Topic: Risk Management, Sicurezza Informatica