Article

Sviluppare la resilienza aziendale

Nel panorama odierno, in rapida evoluzione e sempre più digitale, le organizzazioni si trovano ad affrontare innumerevoli interruzioni: dagli attacchi informatici ai disastri naturali, dalla volatilità economica alle pandemie. Il recente incidente di CrowdStrike, che ha colpito 8,5 milioni di dispositivi, sottolinea l'importanza fondamentale della resilienza aziendale. Questo episodio serve a ricordare che la costruzione di un'organizzazione resiliente non consiste solo nel sopravvivere alle interruzioni, ma anche nel prosperare al loro interno.

L'incidente di CrowdStrike: uno use case reale

Il 19 luglio 2024, un aggiornamento difettoso del software CrowdStrike Falcon (una delle soluzioni di cybersecurity più utilizzate al mondo) ha causato una significativa interruzione globale, evidenziando le sfide che le organizzazioni devono affrontare nel bilanciare la sicurezza informatica con la stabilità operativa. Questo incidente ha avuto un impatto su circa 8,5 milioni di sistemi Microsoft Windows che utilizzavano questa soluzione. I sistemi Linux e macOS non sono stati interessati.

Le conseguenze più evidenti si sono registrate nel settore dell'aviazione, in particolare sulle compagnie aeree, sugli aeroporti e sui viaggiatori: il 19 luglio, oltre tremila voli sono stati cancellati a causa di problemi tecnici o del progressivo accumulo di ritardi causati da altri voli, provocando disagi anche negli aeroporti non direttamente interessati da problemi informatici. Secondo i dati forniti da Cirium, una società specializzata nell'analisi dei dati aeronautici, gli aeroporti più colpiti sono stati Shenzhen in Cina, Amsterdam nei Paesi Bassi e Atlanta negli Stati Uniti.

Inoltre, si sono verificate interruzioni anche in altri settori, tra cui banche, catene di vendita al dettaglio (in Australia e Regno Unito), tribunali (negli USA), mercati azionari e servizi sanitari (in Regno Unito e Canada). I problemi sono iniziati in Asia e in Europa e poi si sono diffusi in Nord America, seguendo la progressione del fuso orario.

Cosa è successo: la sequenza degli eventi

  1. Origine del problema: il problema è sorto venerdì 19 luglio alle 4:09 UTC, quando un aggiornamento dell'agente Falcon (channel file 291) ha introdotto errori che hanno portato a crash nei sistemi Windows, causando la visualizzazione del temuto BSOD (Blue Screen of Death).

  2. Scopo dell'aggiornamento: l'aggiornamento mirava a proteggere i sistemi Windows da determinati tipi di attacchi utilizzati dai framework di comando e controllo (C2) durante gli attacchi informatici.

  3. Impatti temporali: sono stati interessati tutti i sistemi Windows che hanno scaricato l'aggiornamento dopo le 4:09 UTC. I sistemi che hanno ricevuto l'aggiornamento dopo le 5:27 UTC hanno installato una versione stabile e corretta e non sono stati interessati.

Impatti sui sistemi Windows

Dato il ruolo dell'agente CrowdStrike all'interno del kernel di Windows, la correzione ha richiesto un intervento manuale su ogni endpoint interessato:

  1. Notebook/PC:

    • La risoluzione iniziale prevedeva il riavvio ripetuto del sistema Windows per tentare una risoluzione automatica del problema.

    • Se il riavvio non risolveva il problema, era necessario avviare il computer in modalità provvisoria ed eliminare manualmente i file che causavano l'interruzione.

    • Per le aziende che hanno scelto di crittografare i dischi rigidi degli utenti finali, la procedura di ripristino era più complessa.

  2. Cloud host:

    • La risoluzione includeva il «rollback» di un'istantanea del sistema precedente alle 4:09 UTC o la disconnessione del volume del disco di sistema, la risoluzione manuale del problema e la riconnessione del volume.

Conseguenze globali

L'incidente ha avuto ripercussioni significative su scala globale, interessando una vasta gamma di utenti e organizzazioni che utilizzano il software CrowdStrike Falcon su sistemi Windows. Questo incidente ha evidenziato l'importanza della continuità operativa nel mondo digitale di oggi. Le aziende si affidano ai propri sistemi IT e OT per funzionare in modo efficace e qualsiasi interruzione può portare a perdite di produttività, perdite economiche e perdita della fiducia dei clienti. Il mantenimento della continuità operativa richiede sistemi solidi e piani di continuità aziendale completi.

Key lessons

L'interruzione di CrowdStrike offre diverse lessons learned per le aziende che desiderano rafforzare la propria resilienza:

  1. Diversificazione dei fornitori di cybersecurity: le aziende dovrebbero prendere in considerazione la possibilità di diversificare le proprie soluzioni di cybersecurity per evitare di affidarsi ad un unico fornitore. Questo può aiutare a mitigare i rischi se un fornitore subisce un'interruzione o una violazione.

  2. Stress test ed esercitazioni costanti: le organizzazioni devono condurre stress test ed esercitazioni regolarmente per prepararsi a interruzioni impreviste, comprese quelle che riguardano i servizi di terze parti. Simulando vari scenari, le aziende possono identificare le vulnerabilità nei loro piani di risposta e migliorare la loro prontezza.

  3. Gestione avanzata dei fornitori: una gestione efficace dei fornitori è fondamentale per la resilienza. Le aziende dovrebbero stabilire canali di comunicazione e protocolli di risposta chiari con i propri fornitori di servizi per garantire un'azione rapida in caso di interruzioni o violazioni.

  4. Costruire la ridondanza: disporre di sistemi e backup ridondanti può contribuire a garantire la continuità aziendale in caso di guasto del sistema primario. Ciò include non solo la ridondanza tecnica, ma anche la disponibilità di fornitori alternativi o soluzioni interne che possono essere implementate rapidamente.

Elementi chiave di un programma di resilienza

Esaminando l'interruzione di CrowdStrike e le sue conseguenze, le aziende possono ottenere informazioni preziose sull'importanza di creare solide strategie di cybersecurity e framework di resilienza più ampi che tengano conto delle complessità dei moderni ecosistemi digitali. L'incidente sottolinea la necessità di un approccio proattivo alla resilienza, enfatizzando la preparazione, l'agilità e il miglioramento continuo.

L'esperienza di Reply nella gestione delle interruzioni si basa su anni di esperienza nell'assistere sia la nostra azienda che i nostri clienti nello sviluppo di solidi piani di gestione degli incidenti e delle crisi, tramite approcci di business continuity. Basandoci sulla nostra esperienza, abbiamo creato una metodologia per costruire solidi programmi di resilienza. La resilienza organizzativa non sostituisce i processi di gestione del rischio esistenti, come la continuità aziendale o la gestione del rischio operativo: si basa invece su questi framework per fornire un valore chiaro e tangibile all'azienda riducendo al minimo i potenziali danni ai nostri clienti.

Picture

1. Assessment e planning

Mappatura di processi e risorse critici

Si inizia raccogliendo e mappando lo stato attuale dei processi aziendali critici, dei servizi, della tecnologia, delle strutture e delle persone, compresi i servizi di terze parti, e la mappatura delle dipendenze. Si raccolgono processi e servizi RTO e RPO e si definisce la tolleranza all'impatto.

La mappatura dei processi e dei sistemi critici e la conoscenza dei Recovery Time Objectives (RTO) e degli RPO (Recovery Point Objective) per ogni processo e servizio è una componente fondamentale di un programma di resilienza perché consente alle organizzazioni di identificare e dare priorità alle funzioni più essenziali che sono vitali per il loro funzionamento e la loro sopravvivenza. La definizione della tolleranza all'impatto implica la determinazione del livello massimo di interruzione che un processo o servizio può sopportare prima di causare danni significativi all'organizzazione. Queste informazioni sono fondamentali per stabilire obiettivi e soglie di ripristino realistici, garantendo che le strategie di resilienza non siano solo complete ma anche pragmatiche e in linea con la propensione al rischio dell'organizzazione.

Comprendendo quali processi e sistemi sono critici e la loro tolleranza all'impatto, le aziende possono sviluppare strategie mirate per proteggere queste risorse dalle interruzioni, che si tratti di attacchi informatici, disastri naturali o altri eventi imprevisti. Questa mappatura consente alle organizzazioni di allocare le risorse in modo più efficace, garantire la continuità delle operazioni in condizioni di stress e riprendersi rapidamente da eventuali interruzioni. Inoltre, aiuta a scoprire dipendenze e interdipendenze all'interno e all'esterno dell'organizzazione, consentendo un approccio più completo e proattivo alla gestione del rischio e alla pianificazione della resilienza.

Analisi e prioritizzazione degli scenari di interruzione (rischio)

Successivamente, si mappa ed analizza il rischio di potenziali minacce come disastri naturali, attacchi informatici, errori di sistema o guasti critici di terze parti che potrebbero avere un impatto su processi e servizi aziendali critici. Questa fase prevede la comprensione dei vari scenari che potrebbero interrompere le operazioni e il loro potenziale impatto, e testare la capacità di un'organizzazione di mantenere la propria tolleranza all'impatto in caso di un evento grave ma plausibile.

L'esecuzione di un'analisi del rischio degli scenari di minaccia è fondamentale in un programma di resilienza perché aiuta le organizzazioni ad anticipare e prepararsi per un'ampia gamma di potenziali interruzioni e a dare priorità alle soluzioni. Identificando e valutando sistematicamente diversi scenari di minaccia, le organizzazioni possono valutare la probabilità e l'impatto di questi eventi sulle loro operazioni critiche. Questa analisi consente alle organizzazioni di stabilire le priorità dei rischi, allocare le risorse in modo efficace e sviluppare strategie mirate di mitigazione e risposta. Inoltre, la comprensione dei vari scenari di minaccia garantisce che i piani di resilienza siano completi e adattabili, migliorando la capacità dell'organizzazione di resistere e riprendersi da interruzioni impreviste e riducendo al minimo i danni operativi, finanziari e reputazionali.

Gap analysis delle misure di resilienza

Si identificano le misure di resilienza esistenti, sia tecniche (IT/OT/IOT) che organizzative, e si esegue una gap analysis su un framework di controllo della resilienza basato sulle linee guida e sulle best practice del settore.

L'esecuzione di una gap analysis nella misura della resilienza basata su un framework di controllo della resilienza è fondamentale per un solido programma di resilienza perché consente alle organizzazioni di identificare e affrontare sistematicamente i punti deboli delle loro attuali strategie di preparazione e risposta. Valutando le misure esistenti rispetto a un framework strutturato, come ISO22301 o NIST Cybersecurity Framework, le organizzazioni possono individuare aree specifiche in cui i controlli sono carenti o insufficienti. Questo approccio mirato non solo garantisce la conformità alle best practice e agli standard, ma aiuta anche a dare priorità agli investimenti e alle azioni necessarie per rafforzare la resilienza complessiva. In definitiva, una gap analysis fornisce una chiara tabella di marcia per migliorare la capacità di un'organizzazione di resistere alle interruzioni, mantenere le operazioni critiche e riprendersi rapidamente, salvaguardando così la sostenibilità e la reputazione a lungo termine.

2. Sviluppo del piano di resilienza

Definire gli obiettivi di resilienza

Si stabiliscono obiettivi chiari per il programma di resilienza, in linea con gli obiettivi strategici dell'organizzazione.

La definizione degli obiettivi di resilienza è un passaggio cruciale in qualsiasi programma di resilienza perché stabilisce obiettivi chiari e misurabili che guidano tutte le azioni successive. Questi obiettivi delineano ciò che l'organizzazione intende raggiungere in termini di mantenimento delle operazioni, salvaguardia delle risorse e riduzione al minimo dell'impatto durante le interruzioni. Stabilendo obiettivi di resilienza specifici, le aziende possono allineare le proprie risorse e i propri sforzi verso uno scopo comune, assicurando che ogni aspetto della loro strategia di resilienza, dalle valutazioni dei rischi ai piani di risposta, sia focalizzato sul raggiungimento di questi obiettivi. Obiettivi chiari consentono inoltre alle organizzazioni di misurare i progressi e le proprie prestazioni, facilitando l'identificazione delle lacune, il perfezionamento delle strategie e il miglioramento continuo delle capacità di resilienza. In sostanza, obiettivi di resilienza ben definiti forniscono direzione e scopo, assicurando che l'organizzazione sia preparata non solo a sopravvivere alle interruzioni, ma anche a prosperare dopo le interruzioni.

Definire la struttura organizzativa della resilienza

Si stabilisce una struttura organizzativa, definendo ruoli e responsabilità per la pianificazione e la risposta alla resilienza. Definire un'organizzazione solida è fondamentale per un programma di resilienza efficace perché stabilisce una struttura dedicata e ruoli chiari responsabili della supervisione e dell'esecuzione delle strategie di resilienza in tutta l'azienda.

Creando un team specifico o nominando responsabili della resilienza, le organizzazioni assicurano la responsabilità e la titolarità degli sforzi di resilienza, il che promuove un approccio proattivo e olistico alla gestione del rischio. Questa struttura consente di semplificare il processo decisionale e la comunicazione durante le crisi, garantendo risposte rapide e coordinate che riducono al minimo i tempi di inattività e l'impatto. Inoltre, un'organizzazione resiliente promuove una cultura di preparazione e agilità, integrando la resilienza nelle operazioni quotidiane e nella pianificazione strategica dell'organizzazione, superando un approccio «silos based». In sostanza, garantisce che la resilienza non sia solo una risposta reattiva, ma una capacità integrata che migliora la capacità dell'organizzazione di anticipare, assorbire e riprendersi dalle interruzioni.

Creazione del piano di resilienza e delle procedure

Si sviluppano piani di resilienza completi per ogni scenario di interruzione che includano requisiti resilienti per preparare sistemi e processi per il ripristino dopo un'interruzione. Si definiscono le strategie di risposta agli incidenti, di continuità aziendale e di comunicazione. Ci si assicura che tutte le procedure siano ben documentate, comunicate e riviste regolarmente.

La creazione di piani e procedure è una pietra miliare di un solido programma di resilienza, in quanto fornisce una tabella di marcia dettagliata per rispondere alle interruzioni e mantenere le operazioni critiche. Piani ben definiti delineano le azioni specifiche da intraprendere prima, durante e dopo un incidente, assicurando che tutti i membri del team comprendano i propri ruoli e responsabilità. Questa preparazione riduce la confusione e i ritardi in caso di crisi, consentendo una risposta più efficiente e coordinata. Le procedure aiutano anche a standardizzare le risposte a vari scenari, dai disastri naturali agli attacchi informatici, garantendo che l'organizzazione possa adattarsi efficacemente alle diverse minacce. Disponendo di piani e procedure completi, le organizzazioni migliorano la loro capacità di proteggere persone, risorse e reputazione riducendo al minimo i tempi di inattività e le perdite finanziarie, contribuendo in ultima analisi alla loro sostenibilità e resilienza a lungo termine.

Allocazione delle risorse

Si assegnano le risorse necessarie, tra cui budget, personale e tecnologia, per implementare e sostenere le iniziative di resilienza. Le competenze, la tecnologia e l'infrastruttura in materia di investimenti sono fondamentali.

L'allocazione delle risorse è fondamentale in un programma di resilienza perché garantisce che siano disponibili le risorse finanziarie, umane e tecnologiche necessarie per supportare efficacemente gli sforzi di resilienza. Una corretta allocazione consente alle organizzazioni di investire negli strumenti, nella formazione e nell'infrastruttura necessari per anticipare, rispondere e riprendersi dalle interruzioni. Distribuendo strategicamente le risorse, le aziende possono dare priorità ai processi e ai sistemi più critici, assicurando che rimangano operativi durante le crisi. Un'allocazione efficace delle risorse aiuta anche a creare ridondanze e backup, fondamentali per ridurre al minimo i tempi di inattività e le perdite. In definitiva, un'allocazione ponderata delle risorse non solo migliora la capacità dell'organizzazione di resistere agli eventi avversi, ma ottimizza anche l'efficienza dei costi, garantendo che le misure di resilienza siano sostenibili a lungo termine.

Coinvolgimento di terzi

Si coinvolgono terze parti come fornitori e partner nel processo di pianificazione della resilienza per garantire un approccio olistico.

Il coinvolgimento di terze parti è essenziale in un programma di resilienza perché molte organizzazioni fanno molto affidamento su partner esterni e fornitori di servizi per mantenere le proprie operazioni. Integrando terze parti nella pianificazione della resilienza, le organizzazioni possono garantire che anche queste entità esterne siano preparate a gestire le interruzioni, il che riduce al minimo il rischio di guasti a cascata lungo la supply chain. La collaborazione con terze parti consente l'allineamento degli obiettivi di resilienza e delle strategie di risposta, promuovendo un approccio coordinato alla gestione dei rischi e degli incidenti. Inoltre, coinvolgere terze parti in esercizi ed esercitazioni di resilienza aiuta a identificare potenziali vulnerabilità e interdipendenze, consentendo misure di mitigazione proattive. Nel complesso, l'inclusione di terze parti negli sforzi di resilienza rafforza l'intero ecosistema, migliorando la capacità dell'organizzazione di mantenere la continuità e riprendersi rapidamente da eventuali interruzioni.

3. Attuazione

Formazione e sensibilizzazione

Si implementano programmi di formazione per garantire che tutti i dipendenti comprendano il loro ruolo nel mantenimento della resilienza. La formazione dovrebbe riguardare la risposta alle emergenze, la gestione delle crisi e l'uso di tecnologie di resilienza.

La formazione e la consapevolezza sono componenti vitali di un programma di resilienza perché preparano i dipendenti a rispondere efficacemente durante una crisi. Una formazione regolare assicura che tutti i membri del personale comprendano i loro ruoli, le procedure da seguire e gli strumenti a loro disposizione, promuovendo una cultura della preparazione e della fiducia.

Integrazione tecnologica e miglioramenti architettonici

Si implementa tecnologie per una maggiore resilienza. Si progettano ed implementano architetture di sistema robuste.

L'integrazione tecnologica e i miglioramenti dell'architettura sono fondamentali in un programma di resilienza perché assicurano che l'infrastruttura di un'organizzazione sia solida, adattabile e in grado di resistere alle interruzioni. Integrando tecnologie avanzate come il cloud computing, l'automazione e le soluzioni di cybersecurity, le organizzazioni possono migliorare la loro capacità di rilevare, rispondere e riprendersi dagli incidenti in modo più efficace. I miglioramenti dell'architettura, come la progettazione di sistemi con ridondanze e failover integrati, assicurano che le operazioni critiche possano continuare senza interruzioni anche in caso di guasto di parte dell'infrastruttura. Insieme, queste misure aiutano a creare un ambiente IT più flessibile e reattivo che non solo riduce al minimo i tempi di inattività e la perdita di dati, ma supporta anche un rapido adattamento alle minacce e alle sfide in evoluzione, rafforzando così la resilienza organizzativa complessiva.

4. Test e validazione

Esercitazioni e simulazioni regolari

Si conducono regolarmente esercitazioni IT e di business continuity per testare l'efficacia dei piani. Si utilizzano le simulazioni per identificare potenziali punti deboli e aree di miglioramento.

Esercitazioni e simulazioni regolari sono essenziali in un programma di resilienza perché forniscono un ambiente realistico e controllato per testare l'efficacia dei piani e delle procedure di emergenza. Mettendo in pratica regolarmente le risposte a vari scenari di interruzione, come attacchi informatici, disastri naturali o guasti operativi, le organizzazioni possono identificare i punti deboli nelle loro strategie di preparazione e ripristino e apportare le modifiche necessarie prima che si verifichi una vera crisi. Questi esercizi aiutano anche a sviluppare la memoria muscolare tra i dipendenti, assicurando che possano agire rapidamente ed efficacemente sotto pressione. Inoltre, le esercitazioni promuovono una cultura della consapevolezza e del miglioramento continuo, incoraggiando i team a rimanere vigili e ad adattarsi alle minacce emergenti. In definitiva, esercitazioni e simulazioni regolari migliorano la capacità di un'organizzazione di rispondere in modo rapido e coerente agli eventi imprevisti, riducendo al minimo i potenziali impatti e accelerando gli sforzi di ripristino.

Cicli di feedback

Si stabiliscono meccanismi di feedback per raccogliere le lezioni apprese da esercitazioni, simulazioni e incidenti del mondo reale. Si utilizza questo feedback per migliorare continuamente il framework di resilienza.

Stabilire meccanismi di feedback è fondamentale in un programma di resilienza perché consente un miglioramento e un adattamento continui. I circuiti di feedback forniscono informazioni preziose sull'efficacia delle attuali strategie di resilienza ed evidenziano le aree che necessitano di miglioramenti. Raccogliendo sistematicamente il feedback derivante da esercitazioni, incidenti reali e operazioni regolari, le organizzazioni possono imparare dalle proprie esperienze e perfezionare di conseguenza piani, processi e risposte. Inoltre, il feedback di dipendenti, partner e stakeholder promuove una cultura di comunicazione aperta e responsabilità, assicurando che tutti i livelli dell'organizzazione siano coinvolti negli sforzi di resilienza. Questo processo di feedback continuo è essenziale per rimanere agili e reattivi alle nuove minacce e ai cambiamenti nell'ambiente operativo, rafforzando in ultima analisi la capacità dell'organizzazione di resistere e riprendersi dalle interruzioni.

5. Monitoraggio e miglioramento continuo

Monitoraggio continuo

Si implementano sistemi di monitoraggio continuo per rilevare e rispondere alle minacce in tempo reale. Ciò include il monitoraggio dei sistemi IT, dell'infrastruttura fisica e delle catene di fornitura. L'implementazione di sistemi di monitoraggio continuo è fondamentale in un programma di resilienza perché consente alle organizzazioni di rilevare e rispondere alle minacce in tempo reale, riducendo al minimo i danni potenziali.

Monitorando costantemente i sistemi IT, l'infrastruttura fisica e la supply chain, le organizzazioni possono identificare rapidamente anomalie, vulnerabilità o interruzioni che potrebbero compromettere le operazioni. Questo approccio proattivo consente un'azione immediata, riducendo i tempi di risposta e limitando l'impatto degli incidenti. Il monitoraggio continuo aiuta inoltre le organizzazioni a stare al passo con le minacce in evoluzione, come attacchi informatici, guasti alle apparecchiature o interruzioni della supply chain, fornendo dati e approfondimenti tempestivi. Nel complesso, questi sistemi sono essenziali per mantenere la continuità operativa e proteggersi da un'ampia gamma di rischi, garantendo che l'organizzazione rimanga resiliente di fronte a sfide prevedibili e impreviste.

Revisione periodica e miglioramento continuo

Si eseguono revisioni regolari per mantenere il framework aggiornato in base a nuovi processi, minacce e procedure aziendali. Si adattano ed evolvono le strategie di resilienza sulla base delle lezioni apprese dalle interruzioni.

L'esecuzione di revisioni regolari è fondamentale in un programma di resilienza per garantire che il framework rimanga attuale ed efficace in presenza di processi aziendali in evoluzione, minacce emergenti e nuove procedure. Valutando e aggiornando regolarmente le strategie di resilienza, le organizzazioni possono adattarsi ai cambiamenti nel loro ambiente operativo e perfezionare il loro approccio sulla base delle lezioni apprese dalle interruzioni passate. Questo processo di miglioramento continuo consente l'identificazione delle lacune, l'incorporazione di nuove best practice e l'allineamento delle misure di resilienza con le priorità organizzative. Le revisioni regolari favoriscono l'agilità e la reattività, consentendo all'organizzazione di rimanere resiliente in un panorama dinamico di rischi e di mantenere un elevato livello di preparazione per le sfide future.

Conclusioni

Costruire la resilienza aziendale è un processo complesso e continuo che richiede un approccio globale. Comprendendo gli elementi chiave della resilienza e seguendo una metodologia strutturata, le organizzazioni possono migliorare la loro capacità di resistere e riprendersi dalle interruzioni. Ciò non solo garantisce la continuità delle operazioni, ma assicura anche la fiducia e la fiducia delle parti interessate.

Le lezioni apprese da incidenti come l'interruzione di CrowdStrike sottolineano l'importanza della preparazione, del miglioramento continuo e del coinvolgimento proattivo con le parti interessate. Adottando queste strategie e sviluppando costantemente i framework di resilienza, le organizzazioni possono affrontare le sfide di un mondo sempre più incerto ed emergere più forti dalle interruzioni.

Come possiamo aiutarti

Reply può supportare la tua azienda grazie alla sua competenza, al suo know-how e all'esperienza tecnica in materia di cybersecurity, gestione degli incidenti, IT/business continuity e gestione delle crisi. Assistiamo i nostri clienti nell'implementazione di soluzioni che migliorano l'agilità e la reattività, nonché nello sviluppo di solidi piani per validare e modificare le loro strategie, assicurandoci che siano preparati per qualsiasi situazione che possa presentarsi. Il nostro approccio graduale è personalizzato in base alle esigenze e al livello di maturità del cliente, consentendoci di valutare le capacità di preparazione di un'organizzazione e progettare una soluzione adeguata.

Ti potrebbe interessare anche