# SEC10-BP08 Definizione di un framework per apprendere dagli incidenti
<a name="sec_incident_response_establish_incident_framework"></a>

 L'implementazione di un framework basato sulle *lezioni apprese* e di una capacità di analisi delle cause principali non solo contribuisce a migliorare le capacità di risposta agli incidenti, ma aiuta anche a prevenire il ripetersi dell'incidente. Imparando da ogni incidente, puoi evitare di ripetere gli errori, i rischi o le configurazioni non valide, non solo migliorando il tuo livello di sicurezza, ma anche riducendo al minimo il tempo speso in situazioni evitabili. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 È importante implementare un framework basato sulle *lezioni apprese* in grado di stabilire e raggiungere, a un livello elevato, i seguenti punti: 
+  Quando si tiene un framework basato sulle lezioni apprese? 
+  Cosa comporta il processo basato sulle lezioni apprese? 
+  Come viene eseguito un framework basato sulle lezioni apprese? 
+  Chi è coinvolto nel processo e in che modo? 
+  Come vengono identificate le aree di miglioramento? 
+  In che modo garantisci che i miglioramenti vengano monitorati e implementati in modo efficace? 

 Il framework non deve concentrarsi sugli individui, ma sul miglioramento di strumenti e processi. 

### Passaggi dell'implementazione
<a name="implementation-steps"></a>

 A parte i risultati di alto livello sopra elencati, è importante porsi le domande giuste per trarre il massimo valore (informazioni che portano a miglioramenti attuabili) dal processo. Considera queste domande per iniziare a promuovere le discussioni sulle lezioni apprese: 
+  Qual è stato l'incidente? 
+  Quando è stato identificato per la prima volta l'incidente? 
+  Come è stato identificato? 
+  Quali sistemi hanno avvisato dell'attività? 
+  Quali sistemi, servizi e dati sono stati coinvolti? 
+  Cosa è successo nello specifico? 
+  Cosa ha funzionato bene? 
+  Cosa non ha funzionato bene? 
+  Quale processo o quali procedure non sono riusciti a scalare per rispondere all'incidente? 
+  Cosa può essere migliorato nelle seguenti aree: 
  +  **Persone** 
    +  Le persone da contattare erano effettivamente disponibili e l'elenco dei contatti era aggiornato? 
    +  Le persone presentavano lacune nella formazione o nelle capacità necessarie per rispondere e indagare efficacemente sull'incidente? 
    +  Le risorse appropriate erano pronte e disponibili? 
  +  **Processo** 
    +  Sono stati seguiti i processi e le procedure? 
    +  I processi e le procedure erano documentati e disponibili per questo tipo di incidente? 
    +  Mancavano i processi e le procedure richiesti? 
    +  Il team di risposta è stato in grado di accedere tempestivamente alle informazioni necessarie per rispondere al problema? 
  +  **Tecnologia** 
    +  I sistemi di avviso esistenti hanno identificato e segnalato efficacemente l'attività? 
    +  Come si sarebbe potuto ridurre il tempo di rilevamento del 50%? 
    +  Gli avvisi esistenti devono essere migliorati o è necessario creare nuovi avvisi per questo (tipo di) incidente? 
    +  Gli strumenti esistenti hanno consentito un'indagine efficace (ricerca/analisi) dell'incidente? 
    +  Cosa si può fare per identificare prima questo tipo di incidente? 
    +  Cosa si può fare per evitare che questo tipo di incidente si ripeta? 
    +  A chi appartiene il piano di miglioramento e come verifichi che sia stato implementato? 
    +  Qual è la tempistica per l'implementazione e il test del monitoraggio aggiuntivo o dei controlli e dei processi preventivi? 

 Questo elenco non è esaustivo, ma può fungere da punto di partenza per individuare quali sono le esigenze dell'organizzazione e dell'attività e come analizzarle per imparare in modo più efficace dagli incidenti e migliorare costantemente il proprio livello di sicurezza. La cosa più importante è iniziare incorporando le lezioni apprese come parte standard del processo di risposta agli incidenti, della documentazione e delle aspettative di tutti le parti interessate. 

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+  [AWS Security Incident Response Guide - Establish a framework for learning from incidents](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html) 
+  [NCSC CAF guidance - Lessons learned](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)