Introduzione 

Il World Economic Forum (WEF) redige ogni anno un Report (World Economic Forum Global Risk Report) relativo ai rischi a cui il mondo economico è esposto; fra questi compaiono anche quelli legati al mondo cyber. In particolare, uno dei rischi con classificazione più elevata, in termini di probabilità ed impatto, ha conseguenza sulla continuità del business aziendale: parliamo degli attacchi di tipo cyber. 

 

 

Valutazione dei rischi 

La valutazione del WEF è influenzata da diversi fattori: per quanto riguarda l’impatto economico di un attacco, questo varia per industry con un minimo di 2 mln $ per il settore pubblico fino a oltre 9 mln $ per il settore sanitario (Report IBM Security). Tali cifre rappresentano il costo medio sostenuto dalle varie aziende per la gestione di attacchi cyber. 

Per quanto riguarda la probabilità, i fattori che la influenzano sono molteplici. In primis, l’elevata disponibilità di tool e servizi di hacking e di attacco, reperibili online anche gratuitamente, ampliano la platea dei cyber criminali, raggiungendo anche quelle fasce di popolazione che hanno competenze tecniche nella media. A questi si aggiungono vere e proprie società nate con lo scopo di attaccare e colpire le varie industrie a livello planetario con un unico intento: il guadagno. Il volume di affari di queste aziende del crimine è infatti vertiginoso (milioni e milioni di dollari), in costante crescita e con ritorni sugli investimenti da capogiro. 

Oltre agli attacchi deliberati, un altro grande rischio per la continuità operativa aziendale è dato da eventi naturali oltre che da azioni compiute da personale interno di origine dolosa o accidentale. 

 

Gli eventi citati hanno tutti la caratteristica di essere potenzialmente estremamente dannosi per la prosecuzione del business aziendale, fattore che si somma ai costi ingenti di gestione e di rimedio al disastro; costi che non sono solo legati al danno da mancato business, ma che annoverano anche costi derivanti dal dover ripristinare sistemi, far fronte ad azioni legali, sanzioni, danno di immagine, ecc. 

 

 

Gestione dei rischi 

In questo contesto, per ogni azienda, risulta quindi vitale essere preparati e pronti a gestire situazioni di crisi. 

La preparazione parte dagli aspetti formali, che prevedono la presenza di piani di continuità del business e di disaster recovery formalizzati e tenuti aggiornati, che devono essere definiti in base alle reali esigenze di business.  

Essere pronti a gestire un disastro è invece questione di competenze (conoscenza delle procedure) e test (verifica ed esercizio alla gestione delle emergenze), entrambi alimentati vicendevolmente in un circolo virtuoso che ha al centro l’esercizio pratico delle procedure. 

Molto spesso le aziende concentrano però la loro attenzione sul test delle componenti tecniche delle procedure; si verifica ad esempio che la sequenza di restart dei sistemi funzioni, così come il ripristino dei sistemi o degli applicativi. 

Sebbene tali verifiche siano ovviamente importanti, c’è una parte delle procedure che di rado viene verificata, pur essendo altrettanto rilevante, e riguarda gli aspetti organizzativi e decisionali; ossia la verifica della conoscenza dei processi di gestione della continuità, della capacità di prendere decisioni come da procedura in situazioni di stress, della gestione delle comunicazioni con enti esterni (stampa/media, clienti, fornitori, forze dell’ordine, enti regolatori, ecc.). 

 

Per indirizzare questo tema, mettiamo a disposizione dei nostri clienti una soluzione innovativa basata su una piattaforma di simulazione immersiva, denominata Cyber Jumanji. 

Cyber Jumanji consente di simulare qualunque situazione di crisi in modo realistico al fine di: 

  • verificare la completezza e la correttezza delle procedure;
  • verificare la conoscenza delle procedure da parte dei ruoli coinvolti;
  • esercitare i team di gestione delle emergenze alla gestione di situazioni avverse.

 

Cyber Jumanji è una piattaforma di uso facile ed intuitivo, fruibile totalmente online in modo da consentire a tutti i partecipanti di svolgere le proprie mansioni dalla propria sede o da ovunque ci sia la possibilità di utilizzare un browser. 

Cyber Jumanji consente la simulazione di una situazione di crisi in cui ogni componente e/o ogni team coinvolto viene impegnato in un role play, nel quale può svolgere il proprio ruolo professionale o un altro assegnato in fase di configurazione (quale – ad esempio – clienti, competitor, stakeholder, autorità, altri ruoli interni, ecc.) con lo scopo di risolvere in modo collaborativo delle sfide strategiche. 

Come nella realtà, tutti i partecipanti agiscono in modo concorrente e contemporaneo, senza avere tutte le informazioni di cui necessiterebbero per comprendere appieno cosa in realtà stia accadendo e per governare i fattori esterni solitamente non controllabili. 

Solo al termine di un ciclo di simulazione ogni componente del team coinvolto nella simulazione potrà verificare e valutare gli effetti che le proprie decisioni e azioni hanno avuto in combinazione con quelle degli altri membri del team. 

Come funziona Cyber Jumanji? 

È costituito da tre elementi principali: 

  1. Il configuratore della procedura da simulare: l’attività di configurazione è in carico al team di consulenti Innovery e viene svolta a seguito di accordi con il Cliente finalizzati alla definizione della procedura da testare ed alla definizione delle caratteristiche dello scenario specifico di test (ad esempio, l’attivazione di un piano di Disaster Recovery può essere indifferentemente scatenata da un incendio, un terremoto, un allagamento, ecc. – situazioni diverse che devono essere affrontate in modo specifico, ma che portano all’attivazione del medesimo piano);
  2. Il simulatore: è la componente che operativamente gestisce la simulazione; ogni partecipante deve accedere al sistema e reagire agli input proposti in base al proprio ruolo, alle proprie competenze ed alla conoscenza della procedura aziendalmente prevista;
  3. Gli analytics: tale componente – utilizzata dal team di Innovery – raccoglie le informazioni relative alla simulazione e le organizza in diverse rappresentazioni grafiche, che mettono in evidenza i punti di forza e di debolezza rilevati durante la simulazione. Gli elementi riscontrati vengono interpretati quindi condivisi sia con il team che ha partecipato alla simulazione sia con il committente, ognuno per la parte di proprio interesse.

 

Durante la simulazione la piattaforma sottopone i partecipanti a situazioni da gestire e/o eventi inaspettati, così come accade normalmente nella realtà durante le situazioni di crisi, per valutare l’adeguatezza della procedura, la reattività delle persone e la loro capacità di gestire situazioni di stress. 

Inoltre, è possibile sottoporre questionari o richieste di analisi e decisioni che mettono in evidenza il grado di conoscenza e di governo della situazione di emergenza, oltre che la capacità di svolgere analisi puntuali per individuare soluzioni a situazioni impreviste. 

La possibilità di simulare la presenza di ruoli comunemente non coinvolti nei test di continuità (quali giornalisti, forze dell’ordine, enti regolatori oltre al top management aziendale) consente di avanzare richieste che inducono pressione e stress ai partecipanti, esattamente come accade nella realtà. Questa caratteristica rende la simulazione alquanto reale. 

 

 

I ruoli previsti 

La simulazione prevede la partecipazione di tre ruoli di seguito descritti: 

  1. Ruoli attivi: sono i ruoli che attivamente partecipano alla simulazione, sono chiamati ad esaminare situazioni, prendere decisioni, interagire fra di loro e con i ruoli rappresentati. Ogni ruolo attivo rappresenta una funzione della procedura e può essere interpretato dalla persona che realmente in azienda svolge quella funzione oppure da un’altra persona. Ogni ruolo attivo viene fornito di credenziali di accesso da utilizzare per la simulazione; il profilo associato alle credenziali corrisponde al ruolo da svolgere.
  2. Ruoli rappresentati: sono i ruoli per i quali non è possibile coinvolgere una persona reale, ma che sono necessari per il corretto svolgimento della procedura; ad esempio, sono solitamente ruoli rappresentati: la stampa, le forze dell’ordine, gli enti regolatori (Banca d’Italia, IVASS, ecc.), persone di alto livello aziendale che non possono essere coinvolti nell’attività, ecc. I ruoli rappresentati sono governati dal gestore della simulazione.
  3. Gestore della simulazione: è un ruolo operativo di gestione del processo di simulazione. Invia le comunicazioni iniziali e finali, interpreta i ruoli rappresentati, innesca e gestisce elementi a simulazione di situazioni di stress. Questo ruolo viene svolto dal personale del team Innovery.

 

 

Obiettivi e risultati 

Indipendentemente dall’interesse specifico verso un singolo scenario, lo svolgimento di una simulazione di una crisi fornisce informazioni preziose sulla solidità, completezza ed applicabilità della procedura simulata e sulla piena conoscenza della stessa da parte del team. 

Inoltre, i partecipanti alle simulazioni sviluppano competenze, capacità di reazione ed intuizioni rilevanti ai fini del raggiungimento dell’obiettivo; questo risultato sarebbe difficilmente traguardabile con altre metodologie più convenzionali. 

 

A seguito della simulazione viene prodotto un report di analisi relativamente a: 

  • la valutazione della completezza e correttezza della procedura simulata;  
  • la valutazione della conoscenza e del rispetto delle procedure da parte del team coinvolto. 

 

Oltre all’esercitazione in sé, la simulazione si conclude con la stesura di un rapporto che rappresenta in modo puntuale le caratteristiche della simulazione oltre ai risultati ottenuti. L’analisi viene supportata dalle osservazioni svolte durante la simulazione e dalla reportistica generata da Cyber Jumanji che è in grado di evidenziare in modo oggettivo le problematiche riscontrate. 

 

La relazione viene quindi completata da una proposta di remediation plan utile ad indirizzare le problematiche riscontrate. 

 

 

La simulazione 

La simulazione viene costruita a partire dalle politiche/procedure operative definite; in mancanza di queste è necessario avere una descrizione anche verbale del modus operandi in emergenza. 

Successivamente è necessario definire puntualmente lo scenario da simulare; ad esempio: attacco ransomware al PC di un dipendente, attacco DDOS ad un sito, terremoto che inibisce l’accesso ad un edificio/ufficio, ecc. unitamente ai partecipanti reali e rappresentati. Lo scenario si suggerisce non venga condiviso con i partecipanti per avere l’effetto sorpresa che c’è anche nella realtà. 

 

Le simulazioni hanno una durata che varia mediamente dalle 2 alle 3 ore, che corrisponde quindi all’impegno richiesto ai partecipanti. 

Simona Costa
Senior Security Advisor, Innovery