Premessa: questo articolo è stato inizialmente scritto alcuni mesi fa, ma non l’ho mai pubblicato. Ho voluto riprenderlo ora aggiungendo alcune considerazioni.

Questo periodo ci sta insegnando molto, a vari livelli. Nello specifico oggi mi riferisco all’importanza di avere un piano per le emergenze. Riferendomi ad una nota trasmissione di Report “ Virus e segreti di Stato ”, possiamo notare come una delle mancanze che più hanno imapattato sulla capacità di reagire, sia stata quella di non avere un piano di emergenza, che fosse:

• condiviso con tutte le persone;
• chiaro e completo anche nei dettagli;
• esaustivo negli scenari analizzati.

C’è un ulteriore punto che si è sviluppato nelle ultime settimane: l’affidabilità della supply chain in caso di criticità globali.

Condiviso

Quando lo scenario di emergenza si verifica le persone coinvolte hanno bisogno di essere a conoscenza che esiste un piano e che tale piano specifica nel dettaglio le operazioni da effettuare.

Più di una volta, nelle attività di Incident Response nelle quali sono spesso coinvolto, ho riscontrato l’esistenza di piani di emergenza lasciati in un cassetto, senza che le persone ne fossero a conoscenza.

Chiaramente non è sufficiente che il piano esista e che si sappia dell’esistenza, occorre che le persone abbiano metabolizzato le azioni da intraprendere in modo da poter agire come una squadra e non come singoli mossi da sentimenti di panico e ansia. Una delle attività fondamentali e più appassionanti del mio lavoro, riguarda l’addestramento del personale su scenari simulati, a stato d’ansia crescente. Prendendo in prestito il concetto di Kata dalle arti marziali, ripreso anche da Toyota nella gestione organizzativa, solo ripetendo continuamente determinati comportamenti riusciamo a interiorizzarli e a utilizzarli quando è veramente necessario.

Chiarezza e completezza

Il piano di emergenza deve essere chiaro e completo: in una situazione di emergenza le persone non hanno la capacità di ragionare lucidamente. Le persone devono seguire un piano ed il piano deve includere tutti i dettagli necessari alla buona riuscita.

Esempi di informazioni necessarie e ovvie sono:

• ruoli e attività delle persone;
• come comunicare all’interno e all’esterno dell’azienda;
• procedura per la denuncia alla Polizia Postale;
• procedura per la valutazione ed eventuale segnalazione del Data Breach al Garante.

Sebbene le ultime due procedure citate siano ovvie e le informazioni siano facilmente recuperabili con una veloce ricerca su Internet, le persone sotto stress potrebbero dimenticare dettagli, fare considerazioni errate o impiegare molto tempo per reagire. Capita spesso di notare infatti che, al verificarsi di uno scenario di crisi, le persone si comportino in modo confuso, disordinato e dimenticando le più elementari nozioni di base: le persone non ricordano nemmeno la topologia di rete, dove sono i dispositivi, come ci si accede… Non è una questione di “esperienza” ma di capacità di lavorare in situazioni di forte stress.

Torniamo quindi al concetto di addestramento: se il piano di emergenza definisce chi fa cosa e come, e le persone sono addestrate in questo senso, allora è probabile che il team riesca ad operare in modo efficace.

Gli addestramenti realistici mirano anche a simulare scenari di stress per capire se le persone coinvolte reagiscono positivamente anche in situazioni di crisi. L’importante non è avere il 100% delle persone che riescono a reagire lucidamente, l’importante è che board, line management, team leader sappiano guidare le persone e infondere loro la tranquillità anche in un momento di crisi.

Una cosa che si evidenzia nella trasmissione di Report è che le linee di comando devono funzionare, perchè le persone hanno bisogno di un punto di riferimento che sia organizzato.

Esaustivo negli scenari analizzati

Sebbene sia impossibile prevedere tutti gli scenari possibili, un buon risk assessment può portare ad evidenziare le criticità maggiori. Il risk assessment è quindi il punto di partenza per sviluppare gli scenari di attacco e, di conseguenza, il piano di emergenza. Oggi gli scenari di attacchi di tipo Cyber sono quasi tutti focalizzati su minacce ransomware: dopo aver esfiltrato dati essenziali dell’azienda bersaglio, gli aggressori cercano di rendere inservibile la maggior parte dell’infrastruttura.

Appare chiaro quindi che un attacco lanciato contro una infrastruttura telefonica è molto diverso di un attacco ad un impianto ICS/OT, o database, o ancora un sistema di file sharing dove sono contenuti i cataloghi della prossima collezione. E come sono diversi gli attacchi, sono diversi i piani di azione, perchè reagire ad un attacco verso un sistema di depurazione acque con possibile avvelenamento della popolazione richiede azioni differenti rispetto al blocco di un impianto telefonico di un call center.

Disponibilità di attrezzature

Chiaramente l’approvigionamento dipende dagli scenari impotizzati nel piano di crisi: se gli scenari non ci sono o sono sbagliati, ci si ritrova a dover improvvisare soluzioni.

Sempre in riferimento all’esperienza COVID19, appare chiaro che per operare in modo efficace servono delle attrezzature collaudate e pulite: se un piano di emergenza sanitaria richiede appunto di avere attrezzature mediche e medicinali stoccati in posti sicuri, un piano per reagire a situazioni di emergenza Cyber richiede che siano disponibili stazioni pulite, funzionanti, cariche, dotate di tutti gli accessori necessari (banalmente cavi di rete, seriali, accesso WiFi/4G…).

Se manca un piano per fronteggiare l’emergenza sanitaria, succede che ci si affretti ad acquistare dispositivi medici nel pieno dell’emergenza, e in parallelo le aziende fanno razzia di portatili per improvvisare il lavoro da remoto.

Affidabilità della supply chain

Quello che non si può notare nella trasmissione di Report riguarda ciò che stiamo vedendo nelle ultime settimane: l’approvigionamento dei vaccini estremamente scarso rispetto alle aspettative.

L’attuale scenario globale ha mostrato che i fornitori non sempre sono in grado di reggere l’urto della crisi, e, in generale, fornitori di paesi terzi potrebbero essere costretti a fare scelte tali da favorire prima altre entità . Nella scelta dei fornitori, occorre quindi tenere conto, oggi più che mai, della legislazione a cui fanno riferimento, riflettendo ad esempio se, in uno stato di crisi globale, decisioni politiche possano influenzare il servizio contrattualizzato, magari favorendo prima le nazioni più vicine, rispetto a quelle che si sono rivelate meno interessanti commercialmente, economicamente, politicamente.

Conclusioni

L’osservazione è la caratteristica principe per comprendere il mondo che ci sta attorno, ma per essere efficace deve essere distaccata. In questo modo impariamo a vedere l’esistenza di infiniti parallelismi tra il mondo fisico e il mondo digitale. Nel caso specifico di questo articolo abbiamo visto come l’esperienza COVID19 possa in reatà portare preziosi miglioramenti alla gestione delle crisi in ambito aziendale, rendendole più resilienti agli inevitabili cambiamenti che ci aspettano.

Lo scopo ultimo non è solo quello di avere un’azienda più sicura, ma anche quello di aumentare la competitività. Ci stiamo accorgendo che essere fornitori affidabili è un differenziante nel mercato, e in questo periodo può fare la differenza.

Sopravvivere con successo ad un attacco Cyber è un ottimo biglietto da visita, migliore di chi l’attacco Cyber non l’ha ancora vissuto.