Courtney Guss | Responsabile della gestione delle crisi

Ho dedicato anni a collaborare con diverse organizzazioni per aiutarle a prepararsi al peggiore degli scenari: ho sviluppato programmi di gestione dei rischi, quantificato il potenziale impatto e aiutato i dirigenti a capire quali sono gli aspetti più importanti per l'azienda.

Eppure una cosa continua a saltare all'occhio: molte organizzazioni sono ancora tristemente impreparate ad affrontare una vera e propria crisi informatica.

  • Non perché non ci mettano impegno.
  • Non perché manchino di talento.
  • Ma poiché non dispongono di indicazioni concrete su come prendere decisioni sotto pressione.

Oggi, il settore della sicurezza informatica valuta la presenza di piani, non l'efficacia della risposta.

Figura 1: Le lacune nella comunicazione e nel coordinamento ostacolano un'efficace risposta alle minacce informatiche, anche per le organizzazioni che dispongono di piani integrati di gestione delle crisi. (Fonte: Semperis | The State of Cyber Crisis Readiness)

La maggior parte delle organizzazioni ritiene di essere preparata perché dispone di piani di risposta agli incidenti, procedure operative e simulazioni teoriche. Tuttavia, questi strumenti spesso si rivelano inadeguati di fronte alla complessità della realtà.

Perché? Perché cercano di scrivere un copione per ciò che non può essere scritto.

Una vera preparazione alle crisi informatiche non deriva da una maggiore documentazione, ma dalla chiarezza sulle priorità aziendali e sui poteri decisionali.


Il settore misura l'elemento sbagliato

Non si tratta di un problema nuovo, ma i modelli di riferimento del settore continuano a rafforzare una mentalità incentrata sulla conformità.

Nelle valutazioni si chiede solitamente:

  • Avete un piano di risposta?
  • Utilizzate dei playbook?
  • Organizzate esercitazioni teoriche?

Se la risposta è sì, il requisito è soddisfatto. La casella è spuntata. L'organizzazione è considerata pronta.

Tuttavia, quando si tratta di una gestione completa delle crisi informatiche, le organizzazioni raramente si pongono le domande più importanti:

  • I dirigenti sanno come stabilire le priorità nelle operazioni aziendali durante una crisi?
  • I team comprendono l'impatto finanziario e operativo di un guasto del sistema?
  • Il personale di pronto intervento sa chi ha l'autorità di prendere decisioni cruciali?
  • L'organizzazione è in grado di funzionare quando la situazione non corrisponde al piano d'azione?

Misurando gli indicatori sbagliati, creiamo un divario pericoloso, che genera fiducia sulla carta ma lascia le organizzazioni vulnerabili dal punto di vista operativo quando si verificano eventi reali.


Il mito del manuale perfetto per la gestione delle crisi informatiche

Un’altra fonte comune di confusione è il modo in cui utilizziamo i termini runbook e playbook in modo intercambiabile, anche se hanno scopi molto diversi. Questa confusione da sola può creare lacune nella preparazione.

I runbook sono guide operative tattiche. Forniscono istruzioni dettagliate per l'esecuzione di una specifica attività tecnica. Sono concepiti per garantire rapidità, coerenza e ripetibilità, e funzionano bene quando la situazione è prevedibile.

I playbook, invece, operano a un livello più alto. Forniscono indicazioni su come reagire a una determinata categoria di incidenti, includendo spesso procedure di coordinamento, linee guida per la comunicazione e percorsi di escalation tra i vari team.

Entrambe sono valide. Ma entrambe presentano lo stesso limite: partono dal presupposto che la crisi si svilupperà secondo uno scenario già noto.

Le vere crisi informatiche, invece, si verificano raramente.

Un attacco ransomware può comportare la compromissione dell'identità, interruzioni del sistema, sottrazione di dati, obblighi di segnalazione alle autorità di regolamentazione, ripercussioni sui clienti, analisi legale e intervento delle forze dell'ordine, il tutto contemporaneamente.

Nessun manuale può prevedere un tale livello di complessità a catena.

Quello che vedo nella pratica è che i team abbandonano il manuale di gioco nel giro di poche ore e si affidano all'esperienza, all'intuizione e all'improvvisazione.

Non è un fallimento dei soccorritori. È un fallimento del modello.

Abbiamo formato i nostri team affinché seguano le procedure prestabilite, ma non li abbiamo messi in grado di prendere decisioni quando tali procedure non sono applicabili.

I runbook e i playbook rimangono strumenti importanti, ma non sono pensati per risolvere il problema più complesso nella gestione delle crisi informatiche: coordinare decisioni di grande rilevanza a livello aziendale quando la situazione non corrisponde a uno scenario predefinito.


Il vero problema durante una crisi informatica: la paralisi decisionale

Nella maggior parte delle crisi informatiche, i ritardi più significativi non sono di natura tecnica, ma dipendono dalle decisioni prese.

  • Chi dichiara lo stato di crisi?
  • Chi può spegnere i sistemi?
  • Chi approva le comunicazioni con i clienti?
  • Chi decide cosa viene restaurato per primo?
  • Chi è disposto ad assumersi il rischio quando non esiste una soluzione perfetta?

L'incertezza riguardo alle competenze può bloccare anche le azioni più urgenti.

Per prendere decisioni efficaci sotto pressione, gli operatori di pronto intervento non hanno bisogno solo di un piano. Hanno bisogno di un quadro decisionale.

Un quadro decisionale efficace in caso di crisi dovrebbe definire tre elementi:

  1. Cosa conta di più per l'azienda
    : un accordo chiaro sulle operazioni critiche, sulle priorità e sui compromessi accettabili
  2. Dove vengono prese le decisioni critiche
    Identificazione dei punti decisionali chiave che emergono durante diversi tipi di incidenti
  3. Chi ha l'autorità in questi ambiti
    ? È stata definita la titolarità delle decisioni, consentendo ai team di agire senza indugi

Quando questi elementi vengono definiti in anticipo, gli operatori possono agire con maggiore rapidità, con sicurezza e prendere decisioni che rimangano giustificabili anche dopo la crisi.

Senza di loro, anche i team più preparati esitano. E l'esitazione costa cara.

Figura 2: Il 90% delle organizzazioni deve affrontare ostacoli significativi che impediscono una risposta efficace agli incidenti informatici. (Fonte: The State of Enterprise Cyber Crisis Readiness)

Verificare gli aspetti giusti

Se i runbook e i playbook non riescono a cogliere la complessità di una crisi reale, allora anche le esercitazioni di simulazione delle crisi informatiche devono evolversi.

Troppe esercitazioni teoriche servono a confermare il piano invece che a metterlo in discussione .

Gli esercizi efficaci dovrebbero concentrarsi su domande come:

  • I dirigenti sono davvero d'accordo sulle priorità aziendali?
  • I responsabili delle decisioni comprendono i compromessi?
  • Le squadre riescono a coordinarsi sotto pressione?
  • L'organizzazione può funzionare con informazioni incomplete o contraddittorie?

Gli esercizi dovrebbero simulare:

  • Effetti a catena
  • Informazioni incerte o soggette a modifiche
  • Punti decisionali a livello dirigenziale
  • Sfide legate al coordinamento interfunzionale

L'obiettivo non è dimostrare che il piano funzioni. L'obiettivo è dimostrare che l'organizzazione sia in grado di adattarsi quando il piano non funziona.

La vera preparazione consiste nel sviluppare la capacità di adattarsi, pur rimanendo fedeli a ciò che conta davvero.


La strada da seguire: partire da una stella polare

Se ammettiamo che non è possibile prevedere ogni singolo incidente, allora la gestione delle crisi informatiche deve partire da un altro punto.

Tutto inizia dall'allineamento. Ponete al vostro team dirigenziale una semplice domanda:

Cosa conta di più per questa azienda?

Mi capita spesso di definirla la " stella polare" dell'organizzazione .

Quando i team comprendono qual è il loro obiettivo guida, sono in grado di prendere decisioni anche quando la situazione non è chiara. Possono chiedersi:

  • Questa misura garantisce la sicurezza delle nostre operazioni più critiche?
  • Questa decisione è in linea con le priorità dei nostri stakeholder?
  • Questa mossa ci avvicina alla ripresa proprio dove conta di più?

Se la risposta è sì, la decisione è giustificabile. Se la risposta è no, non dovrebbe essere una priorità durante una crisi.

North Star non sostituisce i runbook o i playbook. Li rende semplicemente più fruibili.

Perché quando il piano fallisce – e fallirà – l’organizzazione saprà comunque come prendere una decisione.

E in una vera e propria crisi informatica, è proprio la capacità di decidere a fare la differenza tra il caos e il controllo.


Risorse correlate