Managementul multidisciplinar al incidentelor

Managementul multidisciplinar al incidentelor

70

BIO

Massimo este Cyber Security Manager la Poste Italiane şi Planning Operations Manager la Global Cyber Security Center (Roma). În calitate de PMO, el coordonează activităţile educaţionale şi de cercetare ale fundaţiei. A urmat studii economice şi ulterior a obţinut un doctorat în “Geoeconomics, Geopolitics and Geohistory of Border Regions” (Geoeconomie, geopolitică şi geo-istoria regiunilor de frontieră), concentrat pe programe de protecţie a infrastructurilor critice. Are şi un masterat în Intelligence and Security Studies (Studii de securitate şi informaţii). Anterior, a ocupat funcţia de Associate Expert in Risk Resilience and Assurance (expert asociat în asigurare şi rezilienţă la riscuri) la Booz & Company şi Booz Allen Hamilton. A fost şi consultant în mai multe grupuri de lucru pentru industrie şi pentru NATO.


 

Gestionarea unui incident este cea mai importantă sarcină pe care o echipă de răspuns în caz de urgență (CERT) sau un centru de operațiuni de securitate (SOC) o poate aborda. În cazul unui accident, există mai mulți factori care trebuie luați în considerare și timpul necesar pentru a le lua în considerare este redus. La aceasta trebuie adăugat elementul „stres” care afectează performanța și alegerile ce trebuie făcute.

Din acest motiv, trebuie să reţinem că pregătirea pentru un eveniment este esenţială. Gestionarea unui accident nu poate fi improvizată. Anual, în scopul verificării și îmbunătăţirii eficienţei și eficacităţii lor, trebuie implementate la nivel de management diverse scenarii de colaborare și comunicare dar și exerciţii de testare a procedurilor tuturor departamentelor. Procedurile au ca scop reducerea timpului de „blocaj psihologic” al celor implicaţi în management.

Din păcate, aceste activităţi sunt subestimate deoarece se consideră că au o valoare adăugată scăzută. Atunci când sunt multiple departamente implicate iar agendele managerilor nu pot fi sincronizate nu este posibilă programarea unor întâlniri comune de comparare și testare. Iar acest lucru influenţează timpul de răspuns dar și răspunsul propriu-zis în caz de accident. Ca și în manualele de protecţie civilă și apărare, și în domeniul securităţii cibernetice conceptul cheie este promptitudine sau „pregătire”, care se poate realiza numai cu pregătire prealabilă. Unii dintre voi vă veţi întreba care este relevanţa acestei introduceri pentru titlul articolului. Răspunsul este că în totalitate. Dacă luăm în considerare macroprocesul unui management al incidentului putem să verificăm cât de importante sunt pregătirea și multidisciplinaritatea. Primul pas este identificarea accidentului. Un incident poate fi raportat de un client, de un angajat sau poate fi identificat în timpul fazei de monitorizare și service. O primă activitate o reprezintă evaluarea rapidă a ceea ce se întâmplă și care este impactul asupra serviciilor în ceea ce privește întreruperea lor, compromiterea confidenţialităţii, a integrităţii dar și a disponibilităţii informaţiei, și mai ales care este impactul economic. Viteza este esenţială pentru a determina impactul dar nu este ceva ce se întâmplă instantaneu. Impactul se determină în urma consideraţiilor realizate în etapa de pregătire. În cazul în care există parametri diferiţi de evaluare (accident uman, întreruperea serviciilor, compromiterea confidenţialităţii, a integrităţii dar și a disponibilităţii informaţiei, pierderi economice sau de imagine…) precum și niveluri diferite de criticitate (verde, galben, portocaliu și roșu) atunci se folosește o matrice de impact. În urma evaluării iniţiale se determină severitatea evenimentului iar aceasta va determina ce acţiuni trebuie implementate. În acest moment, în faza de evaluare a accidentului, intră în acţiune multidisciplinaritatea. Mai exact chiar în faza de pregătire, de realizare a matricei de impact pentru evaluarea accidentului. Actorii care trebuie implicaţi în această etapă, în afara celor de profil tehnic, sunt „proprietarii” serviciului, ofiţerul de protecţie a datelor, departamentul de comunicare/relaţii publice, cel de relaţii cu clienţii, cel juridic și de reglementare a afacerilor. Aceștia, împreună, trebuie să identifice nivelurile de criticitate (praguri) pentru fiecare parametru în parte, în funcţie de specializarea fiecăruia. Pentru fiecare nivel se va stabili o procedură specifică de intervenţie, în care vor fi implicate alte structuri, niveluri de management și de comunicare internă/externă. Pragurile trebuie să fie cantitative și nu calitative. Impactul potenţial, definit pe matrice, va determina ce acţiuni trebuie realizate. Dacă impactul este mai puţin semnificativ de obicei se gestionează la nivel de SOC sau CERT. Situaţia se schimbă atunci când impactul este mai mare în termeni de ineficienţă, pierderi economice sau de reputaţie. În acest caz se iniţiază o procedură de management al incidentelor care implică mai multe structuri. Multidisciplinaritatea se manifestă la maxim în timpul unei crize în care trebuie gestionaţi simultan mai mulţi factori. Lăsând la o parte aspectele pur tehnice (IT) și cele de securitate ale managementului accidentului, mai jos voi prezenta câteva dintre elementele care trebuie implicate în rezolvarea crizei. Întâi de toate, proprietarul serviciului. El este cel care poate determina cel mai bine impactul direct al întreruperii sau al blocajului serviciului său și care sunt pierderile economice asociate (pierderea profitului, blocarea sau încetinirea producţiei). Bazându-se pe momentul în care apar întreruperile sau opririle, proprietarul, în timpul crizei, trebuie să aibă deja niște estimări ale impactului. Din acest motiv, trebuie să subliniez ca marea majoritate a acestor acţiuni trebuie realizate „pe timp de pace”, acest lucru este valabil și pentru colectarea informaţiilor necesare pentru a determina scopul evenimentului. Cu cât există mai multe detalii în prealabil cu atât mai bine. Dacă este posibil să fie determinat fluxul de venituri aduse de acel serviciu, în baza ultimilor ani și la nivelul unei anumite perioade de referinţă (zile, intervale orare) atunci se va mări acurateţea estimării. În mod evident pentru serviciile noi estimarea se va realiza în baza unei metodologii. Unii ar putea sublinia că este posibil ca să nu semene fiecare perioadă de timp cu cea din anul precedent. Este adevărat. Însă în lipsa oricărei alte metodologii, trebuie început totuși de undeva. Comunicarea reprezintă în mod sigur un alt element care trebuie avut în vedere. Comunicarea joacă un rol cheie în managementul de accident. Dacă comunici prost sau târziu riști să amplifici efectul impactului. În cazul întâmplării unui accident este de dorit să comunici tu mai întâi și să nu aștepţi scurgerea unor informaţii neautorizate care pot fi interpretate și distorsionate. 

© Ghidul de Tratare a Incidentelor de Securitate Informatică . Recomandările Institutului Naţional de Standarde și Tehnologie, 2012, p. 9 (https://nvlpubs.nist. gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)

Riști să ajungi să fii tu cel care neagă informaţiile în loc să fii sursa primară a acestora. Principalele elemente ale comunicării sunt: mesajele de transmis și canalele de comunicare. Fiecare trebuie alese în funcţie de publicul ţintă căruia i se adresează. Comunicarea poate fi la nivel de instituţie și atunci trebuie utilizat un limbaj mai formal sau poate fi la nivel de client și atunci trebuie utilizată o terminologie simplificată. Comunicarea poate fi însă ineficientă dacă nu se cunoaște ţinta acesteia. Și aici intră în joc alte două elemente: relaţiile cu clienţii și psihologia/sociologia/ antropologia. Relaţiile cu clienţii sunt esenţiale pentru cunoașterea clienţilor sau a investitorilor. Factori precum vârsta, locaţia, canalele preferate de informare, tipul de produs/serviciu achiziţionat sunt utili pentru a determina ce canal trebuie utilizat și frecvenţa cu care informaţiile trebuie actualizate. Iar domeniul condensat al psihologiei, sociologiei și antropologiei ajută la întelegerea tipului de mesaj care trebuie comunicat. Tipuri diferite de clienţi pot avea nevoie de mesaje diferite pentru a fi înţelese. Psihologia este utilizată în definirea unui mesaj eficient care produce efectele așteptate (alterează, liniștește, etc.). Sociologia/antropologia este necesară pentru a înţelege efectele unui accident. O criză poate produce efecte precum indignare, consens, frustrare, care se extind diferit la nivelul grupurilor sociale. Scurgerea unor informaţii personale poate fi percepută diferit de către un grup de adolescenţi comparativ cu un grup de oameni de vârstă mijlocie sau de către oameni din culturi diferite. În completarea aspectelor de comunicare, sunt relevante și cele contractuale de la nivelul clienţilor. Dacă există acorduri cu privire la nivelul serviciilor (SLA), atunci departamentele de Afaceri și Juridic trebuie să aprecieze care sunt consecinţele directe. Trebuie avut în vedere dacă există clauze specifice și de performanţă garantată, dacă există clauze de încheiere a contractului sau dacă există alte clauze speciale deoarece acestea sunt importante atât pentru definirea impactului cât și în faza de rezolvare a situaţiei. Este important ca aceste informaţii să fie deja disponibile în momentul analizei stadiului impactului și incluse în matrice. De cele mai multe ori acest

lucru însă nu se întâmplă. Biroul de Reglementări, cum este cel al ofiţerului de protecţie a datelor, trebuie contactat pentru a determina dacă incidentele au fost cauzate de greșelile companiei și dacă aceste greșeli, pe lângă faptul că trebuie transmise către anumite instituţii ale statului și către clienţi, nu necesită și potenţiale sancţiuni. În final, trebuie avută în vedere și prezenţa departamentului de achiziţii. Rezolvarea unui incident poate fi condiţionată de aprobarea unor contracte cu bugete suplimentare iar metoda de achiziţie trebuie să fie definită și formalizată de către departamentul de achiziţii în conformitate cu politicile interne. Acestea sunt doar câteva dintre elementele care, în opinia mea, trebuie activate în timpul unei crize de nivel înalt sau al unui incident. În concluzie, aș dori să subliniez elementele fundamentale ale management ului accidentelor: definirea procesului holistic de management al accidentului, definirea unei matrice de impact cât mai detaliată posibil, definirea regulilor de implicare în funcţie de nivelurile de criticitate ale matricei, testarea fluxurilor de comunicare dintre diferite departamente, realizarea periodică a unor exerciţii, pregătirea unor scenarii diferite de accidente cu proceduri asociate de răspuns. Toate acestea trebuie pregătite pe timp de pace și astfel este nevoie de colaborarea tuturor funcţiilor organizaţionale. Pe viitor inteligenţa artificială poate influenţa timpul de răspuns și poate modifica relevanţa anumitor funcţii în comparaţie cu altele. Dar acesta este un subiect de care ne vom ocupa cu altă ocazie. Continuitatea este determinată de flexibilitate, flexibilitatea este determinată de promptitudine iar promptitudinea este determinată de pregătire, pregătirea de angajament. Să nu uităm că un incident gestionat eronat poate afecta obiectivele de afaceri ale tuturor.

Autor: Massimo Cappelli