Obbligo di reporting informatico: perché la resilienza non è un progetto IT, ma un compito di gestione

Quando nessuno è preparato

Questo caso ipotetico ma realistico mostra i punti deboli.

Primavera 2025: in un laboratorio medico con 80 dipendenti si verifica un incidente informatico tramite il sistema di automazione dell'edificio. Un'interfaccia di manutenzione remota non era adeguatamente protetta. Gli aggressori si sono infiltrati nei comandi di controllo. La ventilazione e le zone climatiche sono state modificate in modo incontrollato. Le temperature sono aumentate in diverse stanze del laboratorio, il materiale dei campioni è stato danneggiato e i dispositivi sensibili non hanno più risposto in modo affidabile. Le operazioni si sono fermate. I risultati delle analisi non potevano essere consegnati. I tempi di inattività operativa e i danni alla reputazione che ne sono derivati sono stati enormi.

L'incidente è fittizio, ma la sua struttura è reale.

L'obbligo di rendicontazione è stato sottovalutato. Le responsabilità non sono state regolamentate e le procedure, i processi e i ruoli non sono stati definiti.

«La sicurezza OT non è più solo un problema informatico, ma riguarda diverse funzioni dell'organizzazione. Se l'organizzazione non è preparata, il tempo diventa un peso e il ritorno alla normalità diventa un compito immane», afferma Michel Renfer.

La responsabilità non è una questione informatica, ma un compito di gestione.

Oggi, in particolare, i responsabili IT si trovano all'interfaccia tra tecnologia, gestione e altre aree specialistiche e devono riunire diverse funzioni aziendali. Molte organizzazioni non sanno nemmeno di essere soggette all'obbligo di segnalare gli incidenti informatici (art. 74c ISG).

Hanno definito un numero ancora minore di processi chiari per riconoscere, segnalare e documentare correttamente gli incidenti. Se si verifica un incidente, la pressione del tempo, lo stress e l'incertezza causano un blackout. In caso di emergenza, ci vuole troppo tempo per sapere cosa fare.

Cogliere l'obbligo di rendicontazione informatica come un'opportunità di responsabilità. Dal rischio alla routine:

1. A che punto è la nostra organizzazione oggi?
2. Quali sistemi, processi e ruoli sono interessati?
3. Dove sono i punti deboli - tecnici, organizzativi, comunicativi?
4. Come si possono stabilire standard comuni e responsabilità chiare?
5. Come possiamo garantire la stabilità durante i cambi di personale attraverso processi documentati?
6. E come ci alleniamo per le emergenze prima che si verifichino?

«La sicurezza diventa solida quando viene praticata. Tutto ciò che non viene praticato regolarmente non funzionerà in caso di emergenza.», sa Michel Renfer.

Conclusione: resilienza non significa prevenire ogni attacco.

Ma piuttosto di creare strutture che funzionino in caso di emergenza, dal punto di vista tecnico, organizzativo e comunicativo. Il successo è dato dal fatto che IT, OT, FM e management si basano su standard comuni e su una buona preparazione.

Come vLa vostra azienda è pronta per l'obbligo di rendicontazione informatica?

Vi supportiamo con competenze tecniche, comprensione dei processi e un occhio al quadro generale. In modo che la sicurezza IT e OT non lavorino fianco a fianco, ma insieme.