Quando si verifica un incidente informatico, la prima domanda che le organizzazioni spesso si pongono è "chi è il responsabile?". Tuttavia, la domanda più importante è "chi è responsabile?".
I team di sicurezza possono guidare la risposta tecnica e i fornitori esterni possono essere coinvolti per aiutare a indagare e contenere la minaccia. Ma quando le autorità di regolamentazione chiamano, i clienti chiedono risposte o il consiglio di amministrazione esamina ciò che è andato storto, la responsabilità ricade saldamente sulla leadership.
Le moderne normative, l'evoluzione delle tattiche di minaccia e la crescente dipendenza delle aziende dai sistemi digitali hanno reso inevitabile questa situazione. Gli incidenti informatici non sono più guasti puramente tecnici. Sono crisi aziendali che richiedono un processo decisionale esecutivo sotto pressione.
Responsabilità e responsabilità sono spesso usate in modo intercambiabile, ma durante un incidente informatico sono cose molto diverse.
I team operativi sono responsabili del rilevamento delle minacce, dell'analisi delle attività, del contenimento degli aggressori e del ripristino dei sistemi. Eseguono la risposta.
La leadership, invece, è responsabile dei risultati. Ciò include le decisioni prese, i rischi accettati e il modo in cui l'organizzazione rispetta gli obblighi legali e normativi.
In pratica, la responsabilità significa che la leadership deve essere in grado di rispondere a domande quali:
- Quali funzioni aziendali sono state colpite e perché?
- Perché alcuni sistemi sono stati isolati o mantenuti in funzione?
- Quando l'organizzazione è venuta a conoscenza dell'incidente?
- Le autorità di regolamentazione e i clienti sono stati informati correttamente e tempestivamente?
- Quali misure sono state adottate per evitare che l'incidente si ripeta?
Queste non sono domande che possono essere delegate, anche quando l'attività di risposta viene esternalizzata.
In tutta Europa e nel Regno Unito, la normativa ha eliminato ogni ambiguità in merito alle responsabilità.
La NIS2 attribuisce agli organi direttivi la responsabilità diretta di approvare le misure di gestione del rischio di cybersecurity, di supervisionarne l'attuazione e di garantirne l'efficacia. Introduce inoltre potenziali conseguenze personali nel caso in cui le organizzazioni non rispettino i loro obblighi.
La DORA rafforza questo aspetto per le entità finanziarie, affermando chiaramente che l'organo di gestione mantiene la responsabilità ultima della gestione del rischio ICT. L'esternalizzazione dei servizi non elimina questa responsabilità.
Nel Regno Unito, il Cyber Governance Code of Practice e la guida dell'NCSC sono entrambi rivolti ai consigli di amministrazione e ai dirigenti, sottolineando che il rischio informatico è un problema di governance, non solo informatico.
Il messaggio di tutto questo è coerente. È possibile esternalizzare le operazioni. Non si può esternalizzare la responsabilità.
Durante un incidente, la responsabilità della leadership si concentra in genere su quattro aree.
I dirigenti devono prendere decisioni rapide e ad alto impatto con informazioni incomplete. Ciò include il bilanciamento tra contenimento e interruzione dell'operatività, la definizione delle priorità dei servizi critici e la decisione su quanto rischio l'organizzazione è disposta ad accettare nel breve termine.
La leadership deve assicurarsi che gli obblighi di segnalazione siano rispettati, che le prove siano conservate e che si tenga conto dei privilegi legali. La segnalazione tardiva o imprecisa è una delle mancanze più comuni individuate dalle autorità di regolamentazione dopo gli incidenti.
Le comunicazioni con i clienti, i partner, i dipendenti e i media sono responsabilità della leadership. Messaggi contrastanti o il silenzio possono causare danni pari a quelli dell'incidente stesso.
Autorizzare il supporto esterno, invocare il disaster recovery, approvare le spese di emergenza e riallocare i team interni richiede la responsabilità dei dirigenti.
I team di sicurezza forniscono input, ma è la leadership a prendere le decisioni.
È qui che Managed Detection and Response svolge un ruolo cruciale, non solo come servizio di sicurezza, ma anche come strumento per una governance efficace.
L'MDR trasforma gli avvisi grezzi in incidenti convalidati e contestualizzati. Invece di essere sommersi dal rumore tecnico, i dirigenti ricevono spiegazioni chiare su ciò che sta accadendo, su ciò che è interessato e sulla sicurezza della valutazione. Ciò consente di prendere decisioni più rapide e informate.
Le autorità di regolamentazione si aspettano che le organizzazioni dimostrino cosa sapevano, quando lo sapevano e quali azioni sono state intraprese. I servizi MDR mantengono cronologie, registri e registri di risposta dettagliati che supportano le relazioni normative e le revisioni post-infortunio.
Un programma MDR maturo definisce in anticipo le soglie di gravità e i percorsi di escalation. La leadership viene informata quando è necessario, non troppo tardi e non sempre con un allarme di basso livello. Ciò favorisce un processo decisionale calmo e controllato sotto pressione.
I team MDR esperti nella risposta agli incidenti possono aiutare a tradurre i risultati tecnici in briefing in linguaggio semplice per i dirigenti, i consigli di amministrazione e i team di crisi. In questo modo si riducono gli errori di comunicazione e si garantisce che tutti lavorino con la stessa consapevolezza del rischio.
Forse l'aspetto più importante è che l'MDR supporta la responsabilità della leadership molto prima che si verifichi un incidente. Le esercitazioni al tavolo, le metriche di reporting allineate al rischio aziendale e la continua messa a punto dei rilevamenti aiutano la leadership a comprendere in anticipo la propria esposizione e le responsabilità decisionali.
Quando si verifica un incidente, è troppo tardi per decidere a chi spettano le decisioni, chi deve parlare con le autorità di regolamentazione o come funziona l'escalation. La responsabilità della leadership si giudica in base alla preparazione e alla risposta.
L'MDR non sostituisce la responsabilità dei dirigenti. Fornisce ai leader la visibilità, le prove e il supporto necessari per esercitare tale responsabilità in modo efficace, in condizioni di forte pressione temporale e con conseguenze reali.
Per le organizzazioni che devono affrontare un crescente controllo normativo e attacchi sempre più sofisticati, l'MDR non è più solo un controllo tecnico. È una parte fondamentale della moderna governance informatica.
Se volete capire come l'MDR può supportare il vostro team di leadership prima, durante e dopo un incidente informatico, parlate con Integrity360 per costruire una capacità MDR allineata alla governance, alla normativa e al rischio aziendale.