Managementul multidisciplinar al incidentelor

Gestionarea unui incident este cea mai importantă sarcină pe care o echipă de răspuns în caz de urgenţă (CERT) sau un centru de operaţiuni de securitate (SOC) o poate aborda. În cazul unui accident, există mai mulţi factori care trebuie luaţi în considerare şi timpul necesar pentru a le lua în considerare este redus. La aceas-ta trebuie adăugat elementul "stres" care afectează performanţa şi alegerile ce trebuie făcute.

Din acest motiv, trebuie să reţinem că pregătirea pentru un eveniment este esenţială. Gestionarea unui accident nu poate fi improvizată. Anual, în scopul verificării şi îmbunătăţirii eficienţei şi eficacităţii lor, trebuie implementate la nivel de management diverse scenarii de colaborare şi comunicare dar şi exerciţii de testare a procedurilor tuturor departamentelor. Procedurile au ca scop reducerea timpului de "blocaj psihologic" al celor implicaţi în management.

Din păcate, aceste activităţi sunt subestimate deoarece se consideră că au o valoare adăugată scăzută. Atunci când sunt multiple departamente implicate iar agendele managerilor nu pot fi sincronizate nu este posibilă programarea unor întâlniri comune de comparare şi testare. Iar acest lucru influenţează timpul de răspuns dar şi răspunsul propriu-zis în caz de accident. Ca şi în manualele de protecţie civilă şi apărare, şi în domeniul securităţii cibernetice conceptul cheie este promptitudine sau "pregătire", care se poate realiza numai cu pregătire prealabilă.

Unii dintre voi vă veţi întreba care este relevanţa acestei introduceri pentru titlul articolului. Răspunsul este că în totalitate. Dacă luăm în considerare macroprocesul unui management al incidentului putem să verificăm cât de importante sunt pregătirea şi multidisciplinaritatea.

Primul pas este identificarea accidentului. Un incident poate fi raportat de un client, de un angajat sau poate fi identificat în timpul fazei de monitorizare şi service.

O primă activitate o reprezintă evaluarea rapidă a ceea ce se întamplă şi care este impactul asupra serviciilor în ceea ce priveşte întreruperea lor, compromiterea confidenţialităţii, a integrităţii dar şi a disponibilităţii informaţiei, şi mai ales care este impactul economic.

Viteza este esenţială pentru a determina impactul dar nu este ceva ce se întâmplă instantaneu. Impactul se determină în urma consideraţiilor realizate în etapa de pregătire. În cazul în care există parametrii diferiţi de evaluare (accident uman, întreruperea serviciilor, compromiterea confidenţialităţii, a integrităţii dar şi a disponibilităţii informaţiei, pierderi economice sau de imagine...) precum şi niveluri diferite de criticitate (verde, galben, portocaliu şi roşu) atunci se foloseşte o matrice de impact. În urma evaluării iniţiale se determină severitatea evenimentului iar aceasta va determina ce acţiuni trebuie implementate. În acest moment, în faza de evaluare a accidentului, intră în acţiune multidisciplinaritatea. Mai exact chiar în faza de pregătire, de realizare a matricei de impact pentru evaluarea accidentului. Actorii care trebuie implicaţi în această etapă, în afara celor de profil tehnic, sunt "proprietarii" serviciului, ofiţerul de protecţie a datelor, departamentul de comunicare/relaţii publice, cel de relaţii cu clienţii, cel legal şi de reglementare a afacerilor. Aceştia, împreună, trebuie să identifice nivelurile de criticitate (praguri) pentru fiecare parametru în parte, în funcţie de specializarea fiecăruia. Pentru fiecare nivel se va stabili o procedură specifică de intervenţie, în care vor fi implicate alte structuri, niveluri de management şi de comunicare internă/externă.

Pragurile trebuie să fie cantitative şi nu calitative. Impactul potenţial, definit pe matrice, va determina ce acţiuni trebuie realizate. Daca impactul este mai puţin semnificativ de obicei se ges-tionea-ză la nivel de SOC sau CERTI. Situaţia se schimbă atunci când impactul este mai mare în termeni de ineficienţă, pierderi economice sau de reputaţie. În acest caz se iniţiază o procedură de management al incidentelor care implică mai multe structuri. Multidisciplinaritatea se manifestă la maxim în timpul unei crize în care trebuie gestionaţi simultan mai mulţi factori. Lăsând la o parte aspectele pur tehnice (IT) şi cele de securitate ale managementului accidentului, mai jos voi prezenta câteva dintre elementele care trebuie implicate în rezolvarea crizei.

Întâi de toate, proprietarul serviciului. El este cel care poate determina cel mai bine impactul direct al întreruperii sau al blocajului serviciului său şi care sunt pierderile economice asociate (pierderea profitului, blocarea sau încetinirea producţiei). Bazându-se pe momentul în care apar întreruperile sau opririle, proprietarul, în timpul crizei, trebuie să aiba deja nişte estimări ale impactului. Din acest motiv, trebuie să sub-liniez că majoritatea acestor acţiuni trebuie realizate "pe timp de pace", acest lucru este valabil şi pentru colectarea informaţiilor necesare pentru a determina scopul evenimentului. Cu cât există mai multe detalii în prealabil cu atât mai bine. Dacă este posibil să fie determinat fluxul de venituri aduse de acel serviciu, în baza ultimilor ani şi la nivelul unei anumite perioade de referinţă (zile, intervale orare) atunci se va mări acurateţea estimării. În mod evident pentru serviciile noi estimarea se va realiza în baza unei metodologii. Unii ar putea sublinia că este posibil să nu semene fiecare perioadă de timp cu cea din anul precedent. Este adevărat. Însă în lipsa oricărei alte metodologii, trebuie început totuşi de undeva.

Comunicarea reprezintă în mod sigur un alt element care trebuie avut în vedere. Comunicarea joacă un rol cheie în managementul de accident. Dacă comunici prost sau târziu rişti să amplifici efectul impactului. În cazul întâmplării unui accident este de dorit să comunici tu mai întâi şi să nu aştepţi scurgerea unor informaţii neautorizate care pot fi interpretate şi distorsionate. Rişti să ajungi să fii tu cel care neagă informaţiile în loc să fii sursa primară a acestora. Principalele elemente ale comunicării sunt: mesajele de transmis şi canalele de comunicare. Fiecare trebuie alese în funcţie de publicul ţintă căruia i se adresează. Comunicarea poate fi la nivel de instituţie şi atunci trebuie utilizat un limbaj mai formal sau poate fi la nivel de client şi atunci trebuie utilizată o terminologie simplificată.

Comunicarea poate fi însă ineficientă daca nu se cunoaşte ţinta acesteia. Şi aici intră în joc alte două elemente: relaţiile cu clienţii şi psihologia/sociologia/antropologia. Relaţiile cu clienţii sunt esenţiale pentru cunoaşterea clienţilor sau a investitorilor. Factori precum vârsta, locaţia, canalele preferate de informare, tipul de produs/serviciu achiziţionat sunt utili pentru a determina ce canal trebuie utilizat şi frecvenţa cu care informaţiile trebuie actualizate. Iar domeniul condensat al psihologiei, sociologiei şi antropologiei ajută la întelegerea tipului de mesaj care trebuie comunicat. Tipuri diferite de clienţi pot avea nevoie de mesaje diferite pentru a fi înţelese. Psihologia este utilizată în definirea unui mesaj eficient care produce efectele aşteptate (alertează, linişteşte, etc.). Sociologia/antropologia este necesară pentru a înţelege efectele unui accident. O criză poate produce efecte precum indignare, consens, frustrare, care se extind diferit la nivelul grupurilor sociale. Scurgerea unor informaţii personale poate fi percepută diferit de către un grup de adolescenţi comparativ cu un grup de oameni de vârstă mijlocie sau de către oameni din culturi diferite.

În completarea aspectelor de comunicare, sunt relevante şi cele contractuale de la nivelul clienţilor. Dacă există acorduri cu privire la nivelul serviciilor (SLA), atunci departamentele de Afaceri şi Juridic trebuie să aprecieze care sunt consecinţele directe. Trebuie avut în vedere dacă există clauze specifice şi de performanţă garantată, dacă există clauze de încheiere a contractului sau dacă există alte clauze speciale deoarece acestea sunt importante atât pentru definirea impactului cât şi în faza de rezolvare a situaţiei. Este important ca aceste informaţii să fie deja disponibile în momentul analizei stadiului impactului şi incluse în matrice. De cele mai multe ori acest lucru însă nu se întâmplă.

Biroul de Reglementări, cum este cel al ofiţerului de protecţie a datelor, trebuie contactat pentru a determina dacă incidentele au fost cauzate de greşelile companiei şi dacă aceste greşeli, pe lângă faptul că trebuie transmise către anumite insituţii ale statului şi către clienţi, nu necesită şi potenţiale sancţiuni.

În final, trebuie avută în vedere şi prezenţa departamentului de achiziţii. Rezolvarea unui incident poate fi condiţionată de aprobarea unor contracte cu bugete suplimentare iar metoda de achiziţie trebuie să fie definită şi formalizată de către departamentul de achiziţii în conformitate cu politicile interne.

Acestea sunt doar câteva dintre elementele care, în opinia mea, trebuie activate în timpul unei crize de nivel înalt sau al unui incident. În concluzie, aş dori să subliniez elementele fundamentale ale managementului accidentelor: definirea procesului holistic de management al accidentului, definirea unei matrice de impact cât mai detaliată posibil, definirea regulilor de implicare în funcţie de nivelurile de criticitate ale matricei, testarea fluxurilor de comunicare dintre diferite departamente, realizarea periodică a unor exerciţii, pregătirea unor scenarii diferite de accidente cu proceduri asociate de răspuns. Toate acestea trebuie pregătite pe timp de pace şi astfel este nevoie de colaborarea tuturor funcţiilor organizaţionale. Pe viitor inteligenţa artificială poate influenţa timpul de răspuns şi poate modifica relevanţa anumitor funcţii în comparaţie cu altele. Dar acesta este un subiect de care ne vom ocupa cu altă ocazie.

Continuitatea este determinată de flexibilitate, flexibilitatea este determinată de promptitudine iar promptitudinea este determinată de pregătire, pregătirea de angajament.

Să nu uităm că un incident gestionat eronat poate afecta obiectivele de afaceri ale tuturor.