Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SEC10-BP08 Stabilire un framework per imparare dagli incidenti
L'implementazione di un framework basato sulle lezioni apprese e di una capacità di analisi delle cause principali non solo contribuisce a migliorare le capacità di risposta agli incidenti, ma aiuta anche a prevenire il ripetersi dell'incidente. Imparando da ogni incidente, puoi evitare di ripetere gli errori, i rischi o le configurazioni non valide, non solo migliorando il tuo livello di sicurezza, ma anche riducendo al minimo il tempo speso in situazioni evitabili.
Livello di rischio associato se questa best practice non fosse adottata: medio
Guida all'implementazione
È importante implementare un framework basato sulle lezioni apprese in grado di stabilire e raggiungere, a un livello elevato, i seguenti punti:
-
Quando si tiene un framework basato sulle lezioni apprese?
-
Cosa comporta il processo basato sulle lezioni apprese?
-
Come viene eseguito un framework basato sulle lezioni apprese?
-
Chi è coinvolto nel processo e in che modo?
-
Come vengono identificate le aree di miglioramento?
-
In che modo garantisci che i miglioramenti vengano monitorati e implementati in modo efficace?
Il framework non deve concentrarsi sugli individui, ma sul miglioramento di strumenti e processi.
Passaggi dell'implementazione
A parte i risultati di alto livello sopra elencati, è importante porsi le domande giuste per trarre il massimo valore (informazioni che portano a miglioramenti attuabili) dal processo. Considera queste domande per iniziare a promuovere le discussioni sulle lezioni apprese:
-
Qual è stato l'incidente?
-
Quando è stato identificato per la prima volta l'incidente?
-
Come è stato identificato?
-
Quali sistemi hanno avvisato dell'attività?
-
Quali sistemi, servizi e dati sono stati coinvolti?
-
Cosa è successo nello specifico?
-
Cosa ha funzionato bene?
-
Cosa non ha funzionato bene?
-
Quale processo o quali procedure non sono riusciti a scalare per rispondere all'incidente?
-
Cosa può essere migliorato nelle seguenti aree:
-
Persone
-
Le persone da contattare erano effettivamente disponibili e l'elenco dei contatti era aggiornato?
-
Le persone presentavano lacune nella formazione o nelle capacità necessarie per rispondere e indagare efficacemente sull'incidente?
-
Le risorse appropriate erano pronte e disponibili?
-
-
Processo
-
Sono stati seguiti i processi e le procedure?
-
I processi e le procedure erano documentati e disponibili per questo tipo di incidente?
-
Mancavano i processi e le procedure richiesti?
-
Il team di risposta è stato in grado di accedere tempestivamente alle informazioni necessarie per rispondere al problema?
-
-
Tecnologia
-
I sistemi di avviso esistenti hanno identificato e segnalato efficacemente l'attività?
-
Come avremmo potuto ridurlo del 50%? time-to-detection
-
Gli avvisi esistenti devono essere migliorati o è necessario creare nuovi avvisi per questo (tipo di) incidente?
-
Gli strumenti esistenti hanno consentito un'indagine efficace (ricerca/analisi) dell'incidente?
-
Cosa si può fare per identificare prima questo tipo di incidente?
-
Cosa si può fare per evitare che questo tipo di incidente si ripeta?
-
A chi appartiene il piano di miglioramento e come verifichi che sia stato implementato?
-
Qual è la tempistica per l'implementazione e il test del monitoraggio aggiuntivo o dei controlli e dei processi preventivi?
-
-
Questo elenco non è esaustivo, ma può fungere da punto di partenza per individuare quali sono le esigenze dell'organizzazione e dell'attività e come analizzarle per imparare in modo più efficace dagli incidenti e migliorare costantemente il proprio livello di sicurezza. La cosa più importante è iniziare incorporando le lezioni apprese come parte standard del processo di risposta agli incidenti, della documentazione e delle aspettative di tutti le parti interessate.
Risorse
Documenti correlati:
