Ogni giorno meglio: ma ora per davvero

In un’epoca di minacce digitali in rapida evoluzione, una cultura del miglioramento continuo è fondamentale per una sicurezza informatica efficace. Le aziende non possono accontentarsi di un inventario dei rischi una tantum o di una pila di politiche di sicurezza; devono affinare costantemente i loro processi. Il ciclo Plan-Do-Check-Act (PDCA) - spesso chiamato Plan, Do, Check, Act, o Plan, Execute, Check, Adjust - fornisce un approccio strutturato per farlo. Questo ciclo PDCA è al centro di molti programmi di qualità e sicurezza ed è esplicitamente raccomandato in standard come l’ISO 27001 per la sicurezza delle informazioni.

• Pianificazione: stabilire obiettivi e piani di miglioramento (ad esempio, nuove misure di sicurezza) e definire i criteri di misurazione.
• Fare: eseguire i piani - implementare il controllo o il cambiamento.
• Verifica: misurare e valutare i risultati; i cambiamenti stanno avendo l’effetto desiderato?
• Agire: garantire miglioramenti o adeguamenti laddove necessario. È fondamentale che non si tratti di un processo una tantum, ma di un ciclo continuo. Proprio come un cerchio, il PDCA non finisce mai: dopo la fase di Act, si ricomincia a pianificare, garantendo un miglioramento continuo. In questo modo si garantisce che l’organizzazione migliori ogni giorno di più.

Miglioramento continuo con PDCA nella sicurezza delle informazioni

La sicurezza informatica beneficia della stessa filosofia di miglioramento continuo di altre discipline. Il Regolamento generale sulla protezione dei dati (RGPD), ad esempio, cita addirittura questo meccanismo! Per la sicurezza delle informazioni, il ciclo PDCA (Plan-Do-Check-Act) è una parte essenziale dello standard di sicurezza delle informazioni ISO 27001. Le organizzazioni che implementano la ISO 27001 devono utilizzare un sistema di gestione della sicurezza delle informazioni (ISMS) basato sul ciclo PDCA. Questo sistema aiuta le organizzazioni a migliorare e ad adattare continuamente le misure di sicurezza delle informazioni ai nuovi rischi e requisiti.

Le minacce cambiano continuamente ed emergono nuove vulnerabilità; un’organizzazione che rimane ferma resta rapidamente indietro. Il ciclo PDCA impone un approccio strutturale e iterativo: dopo l’implementazione delle misure di sicurezza, segue il controllo (ad esempio tramite audit, monitoraggio o analisi degli incidenti) e quindi l’adeguamento delle politiche e delle misure in base ai risultati. In questo modo si evita di rimanere bloccati a un livello di sicurezza mediocre o di lasciare irrisolte le vulnerabilità note. Le analisi degli esperti dimostrano che, in assenza di questo ciclo di feedback, molti team si bloccano dopo aver implementato alcuni “successi rapidi”: le persone non sanno quali controlli aggiuntivi aggiungono valore e quali sono più che altro burocrazia. Misurando gli esperimenti (fase di verifica), il team impara quali misure sono realmente efficaci. Ciò consente di concentrarsi sulle misure di sicurezza che forniscono un valore dimostrabile, in linea con gli obiettivi aziendali.

Per dare una forma concreta a tutto ciò sono necessarie valutazioni periodiche del rischio, audit interni, revisioni della gestione e l’attuazione di azioni di miglioramento. Idealmente, questo fa sì che la sicurezza delle informazioni non sia un progetto una tantum, ma un processo continuo con un posto fisso nell’organizzazione (ad esempio, attraverso un team o un comitato di sicurezza permanente).

PDCA sulla carta vs. nella pratica

Sebbene il ciclo PDCA sembri semplice sulla carta e sia spesso ben delineato nelle politiche, nella pratica non sempre funziona bene. Alcune organizzazioni dispongono di un manuale ISMS e di una pianificazione annuale degli audit, ma non utilizzano realmente il ciclo per migliorare la sicurezza. Una trappola comune è che la sicurezza delle informazioni degeneri in un esercizio di controllo per soddisfare la conformità, senza influenzare le operazioni quotidiane. Sulla carta suona bene**, ma se il ciclo PDCA viene seguito solo pro forma, rimane un pensiero lineare invece di una vera iterazione.

Si sente spesso dire che la sicurezza informatica non deve diventare un esercizio puramente amministrativo. La sicurezza informatica dovrebbe rafforzare l’azienda e non diventare solo un compito cartaceo che si limita a rispettare le linee guida. Ciò che mi colpisce è che questo diventa il motivo per cui si lascia correre. In altre parole, una politica può essere scritta benissimo, ma se non c’è un seguito concreto di controlli e azioni, non si verifica alcun miglioramento e l’organizzazione non diventa davvero più sicura. Peggio ancora, si continua a ripetere gli stessi errori, a utilizzare le stesse soluzioni approssimative e a considerare la sicurezza delle informazioni come un costo o una seccatura.

Gli esempi pratici lo confermano. Ad esempio, vedo regolarmente che le aziende dispongono di documenti e procedure di policy (ad esempio per la risposta agli incidenti o la gestione degli accessi), ma che nella frenesia della vita quotidiana non vengono rispettate o valutate in modo rigoroso. Nell’auditing si parla di intento, esistenza e funzionamento per un motivo. Ma nella pratica, a volte c’è ancora un divario tra intento, esistenza e funzionamento.

I test regolari delle misure (ad esempio, tramite pen-test interni o simulazioni) vengono quindi omessi, oppure i risultati non portano ad aggiustamenti. Ciò mina il principio PDCA. Un audit annuale, ad esempio, può produrre sempre gli stessi risultati senza risolverli strutturalmente, segno che la fase Act sta fallendo. Senza un ciclo di miglioramento continuo, i programmi di sicurezza diventano rapidamente statici e vulnerabili. Affinché il PDCA funzioni davvero, è necessario l’impegno sia del management che degli implementatori: il management deve sostenere e rilasciare i miglioramenti, mentre il team di implementazione deve misurare e imparare attivamente. Solo così il ciclo prenderà vita e porterà a una qualità sempre maggiore della sicurezza delle informazioni.

Imparare da altri settori: l’aviazione come esempio

Altri settori con una forte attenzione alla sicurezza utilizzano da decenni meccanismi di miglioramento continuo. L’industria dell’aviazione** è considerata un esempio paradigmatico: oggi volare è estremamente sicuro, in parte grazie a cicli di miglioramento sistematici dopo gli incidenti e a misure proattive. Alcuni esempi significativi:

• Gestione delle risorse dell’equipaggio (CRM) - Negli anni ‘70 e ‘80, l’aviazione ha introdotto la formazione CRM per gli equipaggi delle cabine di pilotaggio in risposta ad alcuni gravi incidenti che hanno comportato uno scarso lavoro di squadra e di comunicazione. In precedenza, il capitano era considerato l’autorità suprema, il che a volte portava a errori perché i copiloti esitavano a intervenire. Il CRM ha insegnato ai team della cabina di pilotaggio a migliorare la comunicazione, a condividere il processo decisionale e a ritenersi reciprocamente responsabili di eventuali errori. Il CRM è ora obbligatorio per i piloti delle compagnie aeree commerciali di tutto il mondo. Questo ha probabilmente salvato delle vite: il famoso capitano Al Haynes ha attribuito all’addestramento CRM il merito di aver fatto atterrare con successo l’aereo danneggiato del volo United Airlines 232 nel 1989 - senza di esso, il coordinamento del team avrebbe causato molte più vittime. Il CRM si è dimostrato così efficace nel ridurre gli errori umani che il modello è stato adottato in altri campi, come la chirurgia e la medicina d’urgenza. La formazione continua e l’affinamento di queste competenze non tecniche è una forma di miglioramento continuo della cultura della sicurezza aerea.
• Liste di controllo obbligatorie per piloti e tecnici - L’aviazione ha una cultura in cui nessun passaggio è troppo banale per essere verificato. Le liste di controllo sono una misura semplice ma cruciale per un funzionamento coerente e privo di errori. Questo principio è stato introdotto, ad esempio, dopo che un prototipo del Boeing Model 299 (precursore del bombardiere B-17) si schiantò nel 1935 perché l’equipaggio dimenticò una semplice operazione (sbloccare i timoni) - l’aereo era così complesso che “i piloti non potevano più fare tutti i passaggi a memoria”. In risposta, furono ideate delle liste di controllo per il decollo, il volo e l’atterraggio, che d’ora in poi dovevano essere seguite sempre. Da allora, le liste di controllo sono indispensabili. Ogni pilota, dal pilota sportivo al capitano di linea, lavora con liste standardizzate per ogni fase del volo. Questo riduce drasticamente la possibilità di dimenticare le azioni e garantisce che anche sotto stress (si pensi a un’emergenza) non venga saltato nulla di essenziale. L’uso di liste di controllo aumenta la coerenza e cattura gli errori di memoria umana, contribuendo direttamente alla sicurezza. Al contrario, gli studi sui disastri dimostrano che quando l’equipaggio commette errori cruciali, molto spesso la lista di controllo è stata ignorata. Anche i tecnici della manutenzione lavorano con protocolli rigorosi di liste di controllo, per assicurarsi che, ad esempio, dopo un intervento di manutenzione, tutti i bulloni siano serrati alla coppia corretta e che non venga saltato nessun passaggio. Anche la valutazione e il miglioramento costante di queste liste di controllo (ad esempio in risposta alle indagini sugli incidenti) è una pratica simile al PDCA: se qualcosa va storto da qualche parte, la relativa lista di controllo viene rivista per evitare che si ripeta.
• Manutenzione preventiva e sostituzione dei componenti (fatica dei metalli) - I cicli di miglioramento tecnico sono altrettanto importanti. Ogni componente dell’aereo ha una certa durata di vita e spesso viene sostituito prima che si guasti, per ridurre al minimo i rischi. Questa pratica deriva, tra l’altro, dalle lezioni sulla fatica dei metalli. Negli anni ‘50, il primo jet passeggeri (il De Havilland Comet) subì incidenti mortali a causa della fatica dei metalli nella fusoliera. Da allora, la comprensione approfondita della fatica dei materiali è diventata parte del processo di progettazione, ispezione e manutenzione. Gli aeromobili sono sottoposti a ispezioni periodiche dettagliate (ad esempio, test non distruttivi per la ricerca di cricche) e hanno programmi rigorosi di revisione. I produttori e le autorità di regolamentazione fissano dei limiti operativi: dopo un certo numero di ore di volo o di cicli di decollo e atterraggio, un componente deve essere sostituito o l’aeromobile deve essere messo fuori servizio. In questo modo si prevengono in modo proattivo gli incidenti dovuti all’usura. Si tratta di un meccanismo di miglioramento continuo, poiché i limiti vengono costantemente adeguati in base all’esperienza e alla ricerca. Ogni volta che si scopre un’incrinatura o un difetto, si procede ad aggiustamenti: intervalli di ispezione più brevi, miglioramento dei materiali, modifiche alla progettazione o nuove istruzioni di manutenzione. Si pensi all’incidente dell’Aloha Airlines del 1988, in cui la fatica del metallo ha provocato il distacco di una parte della fusoliera; ciò ha portato all’introduzione di rigidi regimi di ispezione per gli aerei più vecchi. Questo sistema di precauzione e apprendimento ha ridotto notevolmente il rischio dovuto alla fatica dei materiali. Il personale addetto alla manutenzione viene continuamente formato e le procedure aggiornate - un esempio pratico di PDCA: pianificare (stabilire il programma di manutenzione), fare (eseguire la manutenzione), controllare (analizzare i risultati delle ispezioni, indagare sugli incidenti) e agire (adeguare i programmi o la progettazione per prevenire problemi futuri).

Il filo conduttore di questi esempi di aviazione è il miglioramento continuo: ogni errore o quasi-fallimento è un motivo per modificare le procedure, la formazione o la tecnica. Il risultato è un’impressionante statistica di sicurezza, ottenuta grazie al costante passaggio attraverso il ciclo di feedback e alla creazione di una cultura in cui tutti, dal meccanico al pilota, abbracciano i miglioramenti. Il ciclo PDCA fa parte della cultura matura.

Industria farmaceutica: miglioramento continuo per la qualità e la sicurezza

Il miglioramento continuo è un concetto centrale anche nell’industria farmaceutica, anche se con nomi diversi. Questo settore è sottoposto a una rigida regolamentazione (si pensi alle GMP - Good Manufacturing Practice), proprio per garantire la qualità e la sicurezza dei farmaci. Ciò richiede un ciclo continuo di misurazione e miglioramento. Per esempio, le aziende farmaceutiche hanno sistemi di CAPA (Corrective and Preventive Action): per ogni deviazione nel processo produttivo o per ogni reclamo su un prodotto, prima intervengono correttivamente e poi preventivamente studiano come evitare che si ripeta - un approccio molto simile al PDCA (si pianificano le azioni di miglioramento, si attuano, si verifica l’efficacia e si mettono in sicurezza).

Un meccanismo chiave è il sistema completo di gestione della qualità, in cui il feedback viene raccolto a tutti i livelli. Ad esempio, durante la produzione, i lotti di farmaci vengono continuamente testati (in linea o tramite campioni in laboratorio). Se una misura della qualità non rientra nelle specifiche, si avvia un’intera procedura di analisi e miglioramento. Questo può portare ad aggiustamenti del processo, a una formazione supplementare per i dipendenti o addirittura a modifiche del design del prodotto. Le ricerche dimostrano che nel settore farmaceutico e sanitario è necessario porre ancora più enfasi sul miglioramento continuo per far fronte a problemi complessi: ciò comporta il rafforzamento della regolare assicurazione della qualità con tecniche di miglioramento, in modo che i dipendenti possano affrontare strutturalmente i problemi del processo piuttosto che quelli individuali. In altre parole, coltivare una cultura in cui ogni deviazione è un’opportunità di miglioramento è nel DNA delle aziende farmaceutiche leader.

Esempi concreti dimostrano quanto ciò possa essere efficace. Le aziende farmaceutiche, ad esempio, applicano Lean e Six Sigma per ottimizzare continuamente i loro processi. A metà degli anni 2000 Pfizer, una delle maggiori aziende farmaceutiche del mondo, ha avviato un programma di miglioramento per ridurre drasticamente i tempi di produzione e distribuzione del farmaco ipocolesterolemizzante Lipitor. Attraverso l’analisi del flusso del valore e l’eliminazione dei colli di bottiglia, sono riusciti a ridurre i tempi di consegna complessivi del 75% in due anni. In questo modo i pazienti hanno ricevuto i farmaci più velocemente e Pfizer ha potuto operare in modo più efficiente: un vantaggio per tutti grazie al miglioramento continuo. Un altro esempio è l’ampia introduzione di tecnologie analitiche di processo e di monitoraggio in tempo reale nella produzione farmaceutica, in modo da poter apportare immediatamente modifiche in caso di deviazione dei parametri. In passato, i problemi di qualità venivano scoperti solo al momento dell’ispezione finale; ora si impara durante il processo e si possono prendere provvedimenti immediati.

Nell’industria farmaceutica, come nell’aviazione, la sicurezza è la forza trainante. Ogni richiamo di un farmaco o ogni errore di produzione scoperto innesca un ampio ciclo PDCA: dall’indagine (Pianificare cosa migliorare), all’attuazione di misure correttive (Fare), alla verifica tramite audit e test aggiuntivi (Controllare) fino all’adeguamento dei processi standard e alla formazione (Agire). Inoltre, i farmacisti effettuano periodicamente revisioni gestionali dei loro sistemi di qualità, in cui vengono analizzate le tendenze delle deviazioni e dei reclami e vengono elaborati piani di miglioramento. Grazie a questo approccio, oggi i farmaci sono di qualità molto costante e gli incidenti di produzione gravi sono relativamente rari - e quando si verificano, l’intero settore impara da essi (attraverso linee guida condivise, aggiornamenti della farmacopea, ecc.) Il miglioramento continuo è letteralmente vitale per la sicurezza dei pazienti. L’effetto collaterale: sistemi e processi che funzionano meglio, combinati con l’efficienza, portano a un miglioramento della situazione anziché a un semplice costo.

Paralleli e lezioni per la sicurezza delle informazioni

Gli esempi dell’aviazione e del settore farmaceutico dimostrano che una cultura del miglioramento strutturale offre enormi vantaggi in termini di sicurezza ed efficacia. E sebbene la sicurezza delle informazioni sia un campo diverso, i principi di base sono molto simili. Alcuni insegnamenti e parallelismi chiave:

• Sia il CRM nella cabina di pilotaggio che la cultura della qualità nel settore farmaceutico prevedono che le persone si sentano libere di sollevare e risolvere i problemi. Lo stesso vale per la sicurezza delle informazioni: una cultura di segnalazione aperta degli incidenti di sicurezza o dei quasi incidenti (ad esempio, un dipendente che ha quasi cliccato su un link di phishing, ma lo segnala) crea opportunità di apprendimento. Se i dipendenti nascondono gli errori per paura di sanzioni, queste preziose informazioni di Check vanno perse. Incoraggiare la cooperazione tra la direzione, il personale di sicurezza informatica e gli utenti finali (come il CRM incoraggia il lavoro di squadra tra il capitano e il copilota) garantisce che i segnali vengano colti in tempo e che i miglioramenti siano noti a tutti. Anche la formazione svolge un ruolo importante: le sessioni regolari di sensibilizzazione alla sicurezza per il personale e le esercitazioni per i team IT (come quelle per i piani di emergenza) possono essere paragonate alla formazione annuale obbligatoria sul CRM per i piloti. In questo modo si mantiene la consapevolezza della sicurezza e si affinano continuamente le competenze. Questo va oltre un momento di sensibilizzazione annuale.
• Procedure e liste di controllo: La sicurezza delle informazioni può beneficiare direttamente del “pensiero a lista di controllo” dell’aviazione. I processi IT complessi - si pensi all’installazione di nuovi server o alla risposta a un incidente informatico - si prestano bene a liste di controllo standardizzate per evitare di trascurare qualcosa. Ad esempio, una lista di controllo per la gestione delle patch (Pianificare: quali patch, Eseguire: distribuire in fase di test, Controllare: monitorare i sistemi, Agire: distribuire in produzione o eseguire il rollback) o un playbook di risposta agli incidenti con azioni passo dopo passo. Come i piloti, le liste di controllo riducono la probabilità di errori in situazioni di stress. Ma soprattutto, queste procedure vivono: dopo ogni “volo” (leggi: dopo ogni incidente o cambiamento IT significativo), si dovrebbe valutare se la procedura è ancora sufficiente o se necessita di modifiche. Questo feedback è simile all’aggiornamento di una lista di controllo o di un manuale dopo un incidente sfiorato. Un esempio ben noto in ambito IT è la celebrazione di un’autopsia dopo ogni guasto su larga scala, per valutare cosa è andato storto e come prevenirlo in futuro: una pratica che incarna esattamente la fase Check/Act del PDCA.
• Tecnologia e manutenzione preventiva: il principio di sostituire i componenti in tempo per evitare incidenti ha il suo analogo nella sicurezza informatica. In questo caso, si tratta di eliminare gradualmente e tempestivamente i sistemi o i componenti obsoleti che presentano vulnerabilità. Proprio come un aereo viene sottoposto a una revisione completa dopo X ore di volo, un’azienda deve, ad esempio, eliminare dalla produzione il software legacy che non viene più aggiornato prima che causi un incidente. Il patching consiste nel sostituire/riparare i pezzi di software “usurati” (buchi di sicurezza) prima che vengano sfruttati. Anche la gestione della capacità e gli stress test possono essere considerati preventivi, in quanto prevengono la “fatica del metallo” (in termini informatici, i sistemi si bloccano sotto carico o i file di registro si riempiono). Misurando continuamente (ad esempio, scansioni di vulnerabilità, test di penetrazione, monitoraggio delle prestazioni), si scopre in anticipo dove si sta verificando l’usura e si possono pianificare gli interventi. Il margine di sicurezza previsto dall’aviazione (sostituire un componente molto prima del limite di rottura) è un buon esempio per l’IT: non aspettate che si verifichi una violazione dei dati, ma migliorate in base a piccoli segnali (ad esempio, un aumento degli incidenti di quasi-phishing è un segnale per fare formazione supplementare anche prima che qualcuno ci cada effettivamente).
• Regolamenti e standard come catalizzatori: sia nel settore dell’aviazione che in quello farmaceutico, le normative giocano un ruolo importante nell’imporre un miglioramento continuo: basti pensare alla segnalazione obbligatoria degli incidenti alle autorità di regolamentazione o all’obbligo di conformarsi a standard sempre più severi. Nel settore della sicurezza informatica, assistiamo a una tendenza simile con leggi e regolamenti (AVG/GDPR, NIS2, standard ISO, ecc.). Tuttavia, la lezione è che la conformità di per sé non è sufficiente: deve essere supportata in modo sostanziale. Così come una compagnia aerea non si limita a introdurre liste di controllo per conformarsi alle autorità aeronautiche, ma soprattutto per mantenere i propri voli sicuri, un’azienda non dovrebbe limitarsi a certificarsi secondo la norma ISO 27001, ma dovrebbe utilizzare il ciclo PDCA per diventare davvero più sicura. L’una non deve necessariamente precludere l’altra: una buona normativa può guidare il miglioramento continuo, a patto che le organizzazioni ne abbraccino lo spirito e non solo la lettera.

Infine, il confronto dimostra che la sicurezza è un obiettivo dinamico. Che si tratti di ridurre al minimo gli incidenti aerei, di prevenire gli errori di produzione dei farmaci o di contrastare gli attacchi informatici, restare fermi significa andare indietro. Il miglioramento continuo attraverso un ciclo come il PDCA significa utilizzare ogni evento, buono o cattivo, per diventare più intelligenti e più forti. Nella sicurezza delle informazioni, questo si traduce in un minor numero di incidenti, in un rilevamento più rapido, in un impatto minore e in un’organizzazione agile nel rispondere alle nuove minacce. Il ciclo PDCA aiuta a creare una organizzazione che apprende: un’organizzazione che trae insegnamento da ogni incidente e adatta le proprie misure di sicurezza di conseguenza. Un’organizzazione di questo tipo non è solo conforme sulla carta, ma è soprattutto resiliente nella pratica, ed è questo l’obiettivo finale.