Superare la “caccia al colpevole” e lo “Swiss Cheese Model” per una security che valorizza la dignità della persona (Parte 2)

13 Novembre 2025

I “Tre Pilastri” della Just Culture aeronautica applicati alla Cybersecurity. Di seguito la seconda parte dell’articolo di Francesco Di Maio.

I “Tre Pilastri” della Just Culture aeronautica applicati alla Cybersecurity.

  1. Crew Resource Management (CRM) – La Comunicazione Come Prima Linea di Difesa

Il Crew Resource Management nacque proprio dalle ceneri di Tenerife e di altri disastri evitabili dove la comunicazione inefficace all’interno dell’equipaggio aveva giocato un ruolo determinante. Il CRM enfatizza l’utilizzo efficace di tutte le risorse disponibili – umane, informative e materiali – per garantire operazioni sicure ed efficienti.

SUW 2025

I principi cardine del CRM includono:

  • Comunicazione aperta: ogni membro dell’equipaggio ha il dovere di comunicare apertamente;
  • Leadership distribuita: la leadership è contestuale al ruolo e alle competenze, non gerarchica;
  • Processo decisionale collaborativo: le decisioni critiche vengono prese collettivamente;
  • Consapevolezza situazionale (situational awareness): tutti mantengono una comprensione condivisa della situazione;
  • Gestione del carico di lavoro: il carico di lavoro viene distribuito equamente e monitorato;

Cruciale è il concetto di “speaking up”: chiunque nell’equipaggio, indipendentemente dal grado gerarchico, deve sentirsi autorizzato e moralmente obbligato a sollevare preoccupazioni di sicurezza. In un Security Operations Center, esattamente come in una cabina di pilotaggio, operano professionisti con diversi livelli di esperienza e specializzazione che devono coordinarsi efficacemente sotto pressione, spesso in condizioni di informazioni incomplete e tempo limitato.

Applicazione nel contesto NIS2 e del Framework Nazionale: l’importazione del CRM nel dominio della sicurezza delle informazioni significa creare strutture comunicative dove:

  1. Le informazioni rilevanti per la sicurezza fluiscono liberamente attraverso i livelli gerarchici (Funzione GV.RR del Framework Nazionale – Ruoli, Responsabilità e Autorità):
  2. Documentare e comunicare chiaramente i ruoli di ciascun membro del gruppo
  3. Stabilire processi formali per l’escalation di problemi
  4. Creare canali di comunicazione dedicati per segnalazioni urgenti
  • Gli errori vengono segnalati prontamente senza timore di ritorsioni (Framework Nazionale – Categoria RS.CO, Comunicazione dei rischi):
  • Implementare sistemi di segnalazione degli incidenti agevoli e trasparenti;
  • Garantire che le segnalazioni non abbiano conseguenze automaticamente punitive per il soggetto che segnala;
  • Tracciare e comunicare le azioni intraprese in risposta alle segnalazioni;
  • Le decisioni critiche vengono prese collettivamente, beneficiando di prospettive diverse (Determinazione ACN 164179 – Governance):
  •  Coinvolgere il gruppo nella valutazione dei rischi
  •  Documentare le decisioni prese sui rischi accettati e non accettati
  •  Creare forum dove esperti di diversi ambiti (tecnica, operazioni, gestione) collaborano
  • I “near miss” – o “quasi incidenti”, che non hanno avuto conseguenze per puro fato – vengono trattati come preziose opportunità di apprendimento (Framework Nazionale – Categoria DE.AE, Monitoraggio e anomalie):
  •    Analizzare sistematicamente i near miss
  •    Identificare cosa ha permesso di evitare il disastro
  •    Rafforzare i fattori protettivi che hanno funzionato
  • Threat and Error Management (TEM) – anticipare, riconoscere, gestire

Il Threat and Error Management è un approccio proattivo che assume come premessa inevitabile che i piloti commetteranno errori e incontreranno minacce durante le operazioni di volo. Piuttosto che cercare di eliminare completamente gli errori – un obiettivo impossibile – il TEM si concentra su come identificare le minacce prima che generino errori, riconoscere gli errori quando si verificano, e gestirli prima che conducano a conseguenze gravi.

Il TEM distingue tra:

  • Minacce esterne: condizioni ambientali, pressioni temporali, limitazioni tecnologiche, ambiguità nelle procedure
  • Minacce interne: affaticamento, familiarità con la squadra, livello di esperienza, stress
  • Errori: azioni o inazioni che portano a risultati non intenzionali
  • Stati indesiderati: situazioni che riducono i margini di sicurezza

Nel mondo security, questi concetti possono trovare una traslazione quasi letterale:

  • Minacce esterne sono gli attori malevoli, le vulnerabilità zero-day, le campagne di phishing sofisticate
  • Minacce interne includono il burnout endemico nelle organizzazioni complesse, i carichi di lavoro insostenibili, l’alert fatigue
  • Errori sono le configurazioni errate, i ritardi nel patching, le credenziali compromesse
  • Stati indesiderati sono i sistemi esposti, i dati a rischio, gli accessi non autorizzati non ancora rilevati

Applicazione nel contesto del Framework Nazionale v. 2.0 e della Determinazione ACN: l’approccio TEM alla cybersecurity, coerente con la Funzione GV (Governance) del Framework Nazionale, implica:

  1. Identificazione proattiva delle minacce (Funzione ID – Identify; Categoria ID.RM – Gestione dei rischi):
    1. Analisi continua del panorama delle minacce (threat landscape)
    1. Valutazione sistematica delle vulnerabilità (vulnerability assessment)
    1. Monitoraggio dei fattori di stress organizzativo (carichi di lavoro, burnout, turnover)
    1. Documentazione delle ipotesi sulla tolleranza al rischio (risk appetite)
  • Formazione alla capacità di riconoscimento degli errori (Categoria PR.AT – Consapevolezza e formazione del Framework Nazionale):
    • Sviluppare la capacità dei gruppi di individuare rapidamente quando qualcosa non va
    • Esercitazioni simulate e scenari di gestione della crisi
    • Analisi post-esercitazione per identificare gap di conoscenza
  • Strategie di mitigazione predefinite (Funzione RS – Respond; Categoria RS.RP – Procedure di risposta):
    • Piani di risposta chiari per i tipi di errore più comuni
    • Playbook documentati per i diversi scenari di incidente
    • Ruoli e responsabilità chiaramente definiti nella squadra di risposta
  • Creazione di una cultura del reporting (Determinazione ACN – Requisiti di governance):
    • Sistemi che facilitano la segnalazione di errori e near-miss senza stigma
    • Metodi per raccogliere e analizzare sistematicamente le segnalazioni
    • Comunicazione dei risultati dell’analisi a tutto il team
  • Indagini forensi senza sindrome del responsabile – Imparare dagli incidenti senza cercare colpevoli

Nel mondo del Software Reliability Engineering, pioneristico presso Google, il concetto di “blameless postmortem” rappresenta l’applicazione più matura della Just Culture all’analisi degli incidenti. Un postmortem blameless si concentra sull’identificazione delle cause contribuenti di un incidente senza incolpare alcun individuo o gruppo per comportamento scorretto o inappropriato.

Il principio fondamentale è che un’indagine forense, per essere veramente priva del preconcetto della “identificazione del colpevole a tutti i costi” deve assumere che tutti i coinvolti nell’incidente avevano buone intenzioni e abbiano fatto la cosa giusta con le informazioni che avevano a disposizione. Se prevale una cultura di accuse e vergogna, le persone non porteranno alla luce i problemi per paura della punizione.

Quando si verifica una violazione dei dati, un’interruzione del servizio o un qualsiasi incidente di sicurezza coperto dalle disposizioni della Determinazione ACN 164179 (Allegati 3 e 4), l’approccio del blameless postmortem prevede:

  1. Documentazione completa dell’incidente
  2. Timeline dettagliata degli eventi
  3. Impatto sul business e sugli utenti
  4. Sistemi e servizi coinvolti
  5. Azioni intraprese durante il processo di risposta agli incidenti

Conformità normativa: Questo allineamento con i requisiti di notifica degli incidenti della NIS2 (articolo 25, D.lgs. 138/2024) che richiede informazioni specifiche sulla natura, l’estensione e l’impatto dell’incidente.

  • Analisi delle cause radice utilizzando tecniche come:
  • I cinque “Perché” per scavare oltre i sintomi superficiali
  • Analisi della sequenza di eventi (event chain analysis)
  • Mapping delle cause tecniche, organizzative e umane

Questo approccio è coerente con la Funzione ID.RM (Gestione dei rischi) del Framework Nazionale, che richiede l’analisi sistematica degli incidenti per comprendere i fattori che li hanno permessi.

  • Focus sui processi, non sulle persone

Invece di chiedere “chi ha sbagliato?”, si chiede “quali condizioni hanno permesso che questo accadesse?”.

Analisi tipiche:

  • I processi di escalation erano chiari?
  • Esistevano procedure documentate per questa situazione?
  • Esistevano controlli incrociati?
  •  Identificazione di azioni preventive

Misure concrete per evitare che lo stesso tipo di incidente si ripeta:

  • Miglioramenti procedurali
  • Implementazione di controlli aggiuntivi
  • Aggiornamenti della formazione
  • Modifiche tecniche ai sistemi

Conformità con il Framework Nazionale: Questa fase si allinea con la Categoria RC.RP (Pianificazione della resilienza), che richiede piani per il ripristino e il miglioramento continuo.

  •  Condivisione dell’apprendimento

Documentazione accessibile a tutta l’organizzazione per massimizzare il valore educativo dell’incidente, mantenendo la riservatezza appropriata sui dati sensibili.

Requisiti della Determinazione ACN: I soggetti essenziali e importanti sono tenuti a mantenere registri degli incidenti e delle azioni correttive intraprese, facilitando revisioni periodiche della postura di sicurezza. La documentazione degli incidenti deve essere resa accessibile all’organizzazione, mantenendo la riservatezza dei dati sensibili. Questo non solo massimizza il valore educativo di ogni incidente, ma risponde anche al requisito della Determinazione ACN che richiede ai soggetti essenziali e importanti di mantenere registri completi degli incidenti e delle azioni correttive, facilitando revisioni periodiche della postura di sicurezza.

Fine parte 2

Per approfondire

  • Leggi Superare la “caccia al colpevole” e lo “Swiss Cheese Model” per una security che valorizza la dignità della persona (Parte 1).
PrecedenteSuccessivo

Laureato in Giurisprudenza e scuola di specializzazione in Diritto Civile all’ateneo “Federico II” di Napoli, master in Alti Studi sulla Difesa presso il DoD italiano, già Ufficiale dell’Arma dei Carabinieri e funzionario della Polizia di Stato, ha diretto importanti uffici investigativi come la Squadra Mobile della Questura di Latina e le sezioni Antidroga e antirapina della Squadra Mobile di Roma; Dal 2004 al 2023 è stato Responsabile della Corporate Security in ENAV, il Fornitore di Servizi di Navigazione Aerea in Italia ed oggi Vice President, Chief Corporate Security, Risk Management & Business Continuity Officer di Elettronica S.p.A. - ELTGroup. Si occupa principalmente di un approccio metodologico al Sistema integrato di Gestione della Sicurezza e dell'universo della compliance e della gestione dei rischi sistemici. Si dedica anche alla ricerca scientifica, indagando in particolare il rapporto tra sicurezza informatica, sicurezza fisica e fattori umani nella complessità delle organizzazioni pubbliche e private, con particolare riferimento alle infrastrutture critiche . Civil Servant in diversi gruppi di lavoro internazionali come rappresentante nazionale, in particolare ICAO, NATO, organismi della Commissione Europea, EASA. Tra le sue certificazioni: ISO 27001 Lead Auditor, ISO 22301 Lead Implementer, ISACA CISA CISM CRISC, EC-COUNCIL C | CISO, System ICAO Aviation Security Professional Manager certificato (2006), certificato ECAC Aviation Security Manager (2009), AVSEC Security Instructor (2011) e ICAO Ispettore Nazionale (2012).

Related Posts

,

Il Qatar conta sull’Italia per le soluzioni Underwater

12 Dicembre 2025

Gli Usa devono temere i nuovi droni della Cina?

12 Dicembre 2025
Opera

Opera Santa Maria del Fiore, sottratti 1,7milioni di euro. Come funziona la truffa “man in the middle”

12 Dicembre 2025

Veicoli Sottomarini Autonomi (AUV), il mercato globale da 7,2 miliardi di dollari entro il 2034

12 Dicembre 2025

Ultime news

Opera
Opera
Usa Cittadina