Ricevere una segnalazione su una vulnerabilità non significa gestirla. La gestione inizia con una decisione.
La sottocategoria ID.RA-08 del del Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) impone di valutare, scegliere e agire in modo coerente con il rischio.
Questo capitolo – il terzo di una tetralogia dedicata alla sottocategoria ID.RA-08 – entra nel cuore del processo di gestione delle vulnerabilità e mostra come costruire un modello decisionale solido, capace di trasformare le informazioni in azioni concrete e tracciabili.
Indice degli argomenti
Il necessario processo di gestione delle vulnerabilità
Il momento più delicato nella gestione della sicurezza non è quando arriva l’informazione, ma quando bisogna decidere cosa farne.
Qualche organizzazione si ferma prima: raccoglie segnalazioni, le archivia, le distribuisce ma non sviluppa un vero processo decisionale perché non l’ha mai disegnato.
Questo crea una situazione pericolosa perché le vulnerabilità vengono conosciute, ma non governate. Restano lì, sospese tra consapevolezza e inerzia.
I requisiti operativi che l’Acn ha stabilito per implementare la sottocategoria ID.RA-08 del FNCDP interviene proprio su questo punto. Non si limita a chiedere di monitorare ma impone di decidere e quindi di una responsabilità concreta.
Il passaggio dalla segnalazione alla valutazione
Quando una vulnerabilità viene segnalata attraverso i canali monitorati, la prima domanda da porsi è: riguarda l’organizzazione oppure no?
Per rispondere serve una conoscenza precisa del perimetro tecnologico cioè occorre sapere quali sistemi sono in uso, quali versioni sono installate e quali componenti sono esposte.
Se questa conoscenza non è aggiornata, la valutazione stenta a partire. Una volta stabilita la rilevanza, si apre la fase più importante: la valutazione dell’impatto.
Non tutte le vulnerabilità hanno lo stesso peso: alcune richiedono un intervento immediato, mentre altre possono essere gestite nel tempo; altre ancora possono essere accettate.
Questa distinzione non può essere lasciata all’intuizione ma deve basarsi su criteri chiari, coerenti con la gestione del rischio dell’organizzazione.
I precedenti capitoli della pentalogia misura ID.RA-08
Il rischio come criterio guida
Il secondo requisito operativo della ID.RA-08 collega esplicitamente la gestione delle vulnerabilità al piano di trattamento del rischio.
Questo significa che ogni decisione deve essere inserita in una logica più ampia. Non basta capire se una vulnerabilità è grave in senso tecnico occorre anche capire le conseguenze per l’organizzazione e quindi, in particolare, quale è:
- l’impatto sui processi critici;
- l’effetto sui servizi erogati;
- il danno potenziale in termini economici, operativi, reputazionali.
Solo a partire da questa analisi si può decidere in modo coerente.
Le tre opzioni decisionali
Sempre il secondo requisito della ID.RA-08 prevede che di fronte a una vulnerabilità, l’organizzazione ha tre possibilità: può risolverla, può mitigarla oppure può accettarla.
Queste tre opzioni definiscono il perimetro della decisione:
- risolvere significa eliminare la vulnerabilità, generalmente attraverso un aggiornamento o una modifica del sistema. È la soluzione più diretta, ma non sempre è immediatamente praticabile;
- mitigare vuol dire ridurre il rischio senza eliminarlo completamente. Può comportare l’introduzione di controlli compensativi, la limitazione dell’esposizione, la modifica delle configurazioni;
- accettare comporta riconoscere il rischio e decidere consapevolmente di non intervenire nell’immediato o di non intervenire nel medio-lungo. È una scelta legittima, ma deve essere motivata e documentata.
Il punto decisivo non è quale opzione si sceglie ma come si arriva a quella scelta.
La necessità di criteri chiari e condivisi
Per evitare decisioni arbitrarie, l’organizzazione deve definire criteri precisi stabilendo quando una vulnerabilità:
- richiede un intervento immediato;
- può essere pianificata;
- può essere accettata.
Questi criteri devono essere coerenti con la propensione al rischio, con le priorità strategiche e con la capacità operativa. Devono anche essere conosciuti da chi prende le decisioni e da chi le esegue.
Senza criteri condivisi, ogni decisione diventa un caso a sé e, di conseguenza, il sistema perde coerenza.
Il ruolo della documentazione
Ogni decisione deve essere documentata al fine di garantire tracciabilità e responsabilità.
Documentare offre la possibilità di poter ricostruire il processo dando evidenza di:
- quale vulnerabilità è stata segnalata;
- come è stata valutata;
- quale decisione è stata presa;
- chi l’ha presa;
- su quali basi.
Questo è fondamentale per due motivi:
- il primo è interno: permette all’organizzazione di imparare, migliorare, correggere;
- il secondo è esterno: in caso di incidente, consente di dimostrare che le decisioni sono state prese in modo consapevole e coerente.
Senza documentazione, ogni scelta diventa indifendibile.
Il tempo come fattore critico
Nella gestione delle vulnerabilità, il tempo è una variabile decisiva. Una vulnerabilità nota e ignorata fa crescere il rischio giorno dopo giorno perché con il tempo aumenta la possibilità che venga sfruttata.
Non serve un attacco sofisticato, basta un errore, una leggerezza, un uso distratto da parte di chi lavora dentro l’organizzazione.
Per questo motivo, il processo decisionale deve essere rapido ma non improvvisato. È necessario trovare un equilibrio tra velocità e qualità della decisione.
Questo equilibrio si costruisce prima, definendo procedure, criteri e livelli di responsabilità. Se si improvvisa, si rischia di sbagliare. Se si rallenta troppo, si rischia di essere colpiti.
Il collegamento con la pianificazione e gli investimenti
Alcune vulnerabilità non possono essere risolte immediatamente, ma richiedono interventi complessi, modifiche architetturali, investimenti.
In questi casi serve una valutazione tecnica solida.
Ogni intervento può avere effetti su altri sistemi e va analizzato prima di agire. In questi casi, la decisione non si esaurisce nella gestione operativa ma deve essere integrata nella pianificazione.
La scala temporale con la quale si affronta una vulnerabilità è un’altra variabile da gestire.
Questo comporta che la gestione delle vulnerabilità incide anche sulle scelte di investimento dell’organizzazione.
Il piano di gestione delle vulnerabilità diventa quindi uno strumento che dialoga con la pianificazione strategica e questo rafforza ulteriormente il ruolo del vertice.
La qualità delle decisioni
La misura ID.RA-08 porta la gestione delle vulnerabilità al centro della decisione organizzativa. Non è sufficiente sapere e monitorare, occorre anche decidere in modo coerente, tempestivo e tracciabile.
Le organizzazioni che costruiscono un processo decisionale solido riescono a trasformare le vulnerabilità in informazioni gestibili mentre quelle che non lo fanno restano esposte, anche quando sono consapevoli.
La differenza non sta nella quantità di informazioni, ma nella qualità delle decisioni.
Nel prossimo capitolo della pentalogia si affronterà il punto più critico di tutti. Ecco cosa accade quando questo sistema non funziona e come la responsabilità si distribuisce lungo tutta la catena decisionale, fino al vertice.
