Le esercitazioni tabletop consentono di simulare la risposta di un’organizzazione a diversi scenari di minaccia rilevanti e sono, dunque, uno strumento utile per preparare diverse funzioni aziendali alla gestione di crisi cyber.
A seguito delle recenti evoluzioni normative, infatti, diverse organizzazioni, trasversalmente rispetto all’industry, si sono adoperate per potenziare l’awareness delle risorse e la resilienza operativa in risposta a scenari di minaccia rilevanti.
All’interno di questo scenario, emergono diversi interrogativi che portano a domandarsi come bisogna attivarsi rispetto a queste esigenze, senza impattare negativamente l’operatività aziendale e trovando dei modelli di razionalizzazione e calendarizzazione dei training rispetto agli stakeholder coinvolti.
Vediamo, dunque, come efficientare lo svolgimento delle esercitazioni tabletop per aumentarne la frequenza, analizzando le principali fasi che caratterizzano l’organizzazione, ponendo un’enfasi sulla fase di preparazione che, in considerazione degli ecosistemi complessi dei ruoli e responsabilità aziendali, costituisce un key success factor.
Infine, secondo quanto osservato sul mercato e nelle best practice, vengono ipotizzati alcuni suggerimenti per massimizzare l’efficienza delle esercitazioni, mitigando l’impatto sull’operatività aziendale.
Indice degli argomenti
Ruolo delle esercitazioni tabletop nel potenziamento della resilience
Inizialmente, le esercitazioni tabletop venivano utilizzate nell’ambito militare; oggi è stata trovata un’utile applicazione di questo tipo di simulazioni anche nell’ambito ambito privato.
In realtà, le tabletop possono essere organizzate per coprire diversi scenari che potenzialmente esulano da quelli strettamente cyber. Ad esempio, per quanto riguarda i piani di Disaster Recovery, queste possono essere implementate per simulare l’impatto di calamità naturali sulle infrastrutture di un’organizzazione.
Il comune denominatore delle tabletop rispetto agli ambiti di applicazione, informatici e no, sta nel potenziare la readiness degli stakeholder coinvolti nella gestione delle crisi. Infatti, a prescindere da quale sia lo scenario di riferimento, risulta essenziale garantire una risposta sinergica e in linea con le tempistiche dettate dalla normativa, rispetto alla comunicazione e risoluzione degli incidenti.
Per quanto riguarda l’ambito cyber nello specifico, le tabletop possono perdere di valore se si limitano ad un esercizio puramente formale.
Sulla base dell’analisi delle best practice e dell’applicazione da parte delle aziende, quali sono le lesson learnt rispetto a come organizzare al meglio le tabletop, basandosi su un modello di engagement degli stakeholder che consenta una partecipazione proattiva da parte di tutti i livelli aziendali?
Come si sviluppano le esercitazioni tabletop
Le tabletop si sviluppano, solitamente, in una simulazione in cui i partecipanti si riuniscono in un ambiente controllato per rispondere collaborativamente a un possibile scenario di incidente cyber, progettato per emulare gli impatti sull’organizzazione.
Possono essere coinvolti diversi stakeholder su più livelli aziendali: funzioni specialistiche, top management, consulenti legali e rappresentanti delle public relations, che sono depositari del know-how aziendale fondamentale per guidare la risposta agli incidenti, oltre che essere owner dei processi aziendali di riferimento.
Come si vedrà in seguito l’engagement dei giusti stakeholder è spesso oggetto di piani strategici ad-hoc, che prevedono una chiara declinazione delle matrici RACI per individuare puntualmente chi, per ogni azione strategica, tattica e operativa, debba essere coinvolto.
Un ruolo centrale nello sviluppo delle tabletop riguarda l’identificazione di un moderatore che, idealmente, coincide con chi è responsabile della gestione e coordinamento delle azioni di risposta in caso di crisi.
Ovviamente, secondo il grado di impatto dello scenario e la categorizzazione fornita in sede di triage, il responsabile ultimo potrebbe essere identificato in una figura apicale come l’Amministratore Delegato. Tuttavia, per quanto riguarda il perimetro cyber è ragionevole supporre che, al netto di scenari specifici, il CIO o il CISO (Chief Information Security Officer) siano responsabili della gestione della crisi e quindi possano essere identificati come moderatori nel caso di tabletop.
Un ulteriore obiettivo delle esercitazioni tabletop è incrementare la readiness del personale e fornire una valutazione rispetto all’efficienza dei processi di gestione delle crisi.
Questo comporta che possano essere identificate tre fasi per uno sviluppo efficace delle esercitazioni: la preparazione, lo svolgimento e l’acquisizione delle lesson learnt.
Quest’ultima fase è funzionale a potenziare gli aspetti di miglioramento continuo della resilienza operativa, particolarmente di rilievo secondo gli ultimi sviluppi normativi, come ad esempio il Digital Operational Resilience Act.
Riferimenti normativi e best practice per le esercitazioni tabletop
Le tabletop costituiscono un investimento per le aziende che non solo si trovano ad allocare un budget specifico per una corretta realizzazione, ma devono anche prevedere quale possa essere l’impatto dell’esercitazione sulle agende degli stakeholder coinvolti, soprattutto nel caso del coinvolgimento di figure all’interno top management.
Di seguito, i riferimenti normativi e best practice utili.
Standard | Requisito/Raccomandazione |
|---|---|
Digital Operational Resilience Act -DORA | L’Art. 12 prevede programmi di formazione del personale per incremento della readiness rispetto agli incidenti cyber. |
NIST SP 800-53 | Richiede alle agenzie federali degli Stati Uniti di condurre esercitazioni o test per le loro capacità di risposta agli incidenti almeno annualmente. |
NIST SP 800-61 | Richiede che la politica e le procedure di risposta agli incidenti siano testate per validare la loro implementazione e utilità. |
Standard di Sicurezza Dati PCI (DSS) 3.2 | Definisce l’implementazione di un piano di risposta agli incidenti, includendo una revisione e un test del piano almeno annualmente. |
Istituto SANS | Raccomanda esercitazioni a intervalli regolari per assicurare che tutti gli individui nel team di risposta agli incidenti possano svolgere i loro compiti durante un incidente. |
ISO/IEC 27035 | Raccomanda test periodici delle capacità di gestione degli incidenti di sicurezza informatica del team di risposta. |
ISACA – Cybersecurity IR Exercise Guidance | Raccomanda esercitazioni comprensive che coinvolgano tutti i fattori chiave: comunicazione, coordinazione, disponibilità delle risorse e risposta. |
I tipi di esercitazioni tabletop
La preparazione delle esercitazioni tabletop richiede un’attenta analisi degli scenari applicabili al contesto aziendale e un effort di identificazione dei principali fattori di rischio, le vulnerabilità delle tecnologie connesse ai servizi core e le caratteristiche in termini di motivazione, risorse e TTPs dei threat actor rilevanti per l’organizzazione.
A seconda dello scenario in scope e degli obiettivi strategici, possono essere disposti 3 diversi tipi di esercitazioni tabletop:
- Scripted Tabletop. Questo formato prevede una preparazione preventiva di tutti gli stakeholder rispetto allo scenario selezionato ed è funzionale a incrementare la readiness aziendale potenziando le sinergie e la comunicazione dei partecipanti. In questo caso i eventuali criticità nei processi aziendali di crisis management vengono identificate ex-ante rispetto allo svolgimento dell’esercitazione dando modo agli stakeholder coinvolti di testare eventuali azioni di workaround o di mitigazione. L’esercitazione non prevede la simulazione di attacchi cyber verso le infrastrutture aziendali, ma viene adottato un approccio prevalentemente teorico e documentale, funzionale al tuning delle procedure di crisis management oltre al potenziamento della readiness dei partecipanti.
- Hybrid Tabletop. Queste esercitazioni uniscono le scripted tabletop con una serie di attività di tipo specialistico, che possiamo ipoteticamente racchiudere nell’ambito delle attività di red teaming implementate per testare il perimetro di sicurezza aziendale. Questo approccio consente all’organizzazione di valutare le proprie capacità tecniche, nonché i piani di risposta agli incidenti, i canali di comunicazione e il coordinamento tra le diverse funzioni. Le hybrid tabletop consentono una valutazione più approfondita rispetto alla readiness aziendale attraverso l’adozione di un approccio blended di crisis management e red teaming.
- Full Live Tabletop. Le esercitazioni full live prevedono una simulazione integrale rispetto all’intera infrastruttura ICT in perimetro rispetto allo scenario selezionato. L’ingerenza e l’effort previsto da questo tipo di esercitazioni determina un’implementazione accurata rispetto ad eventuali scenari critici, la cui probabilità aumenti significativamente a seguito, ad esempio, di eventi geopolitici rilevanti.
Preparazione di un’esercitazione tabletop
Per potenziare la readiness e la resilience aziendale, attraverso le esercitazioni tabletop è cruciale definire preliminarmente i processi, gli stakeholder e le tecnologie coinvolte nel crisis management.
Tuttavia, la complessità degli ecosistemi aziendali può determinare che si verifichi un overlap di responsabilità rispetto allo stack dei processi e delle policy. Risulta dunque indispensabile mappare le attività strategiche, tattiche e operative definendo i ruoli e le responsabilità, attraverso delle matrici RACI, strumenti utili a definire gli stakeholder: Responsible, Accountable, Consulted e Informed.
In seguito, è necessaria la scelta dello scenario applicabile al contesto aziendale, considerando ad esempio i dati della Threat Intelligence e filtrando i worst-case meno probabili, di modo da concentrarsi su un’area di scenari la cui probabilità di accadimento sia significativa.
Una volta acquisita una short-list degli scenari potenzialmente adottabili e sulla base delle caratteristiche intrinseche, è necessario identificare gli stakeholder che sulla base delle matrici RACI devono essere coinvolti per la gestione della crisi.
Tendenzialmente, i partecipanti sono figure direzionali o comunque a coordinamento di funzioni aziendali, comportando un elemento di rilievo da considerare al fine di coordinare l’esercitazione.
Infatti, per mitigare eventuali impatti sull’operatività aziendale è essenziale adottare un approccio di project management strutturato nell’organizzazione delle esercitazioni, identificando delle disponibilità congruenti agli impegni degli stakeholder da coinvolgere.
In considerazione dei vari punti di attenzione che potrebbero emergere nel corso di un’esercitazione tabletop, rispetto agli scenari applicati, è necessario individuare delle figure di data collection con la responsabilità di acquisire i dati rilevanti e qualificarli rispetto alla mappatura RACI definita nella fase di preparazione.
Il ruolo del data collector risulta quindi di particolare interesse per supportare il miglioramento continuo dei processi e delle policy di crisis management.
In aggiunta, rispetto al data collector è necessario identificare un facilitator, ossia una figura che si occupi in coordinamento rispetto al responsabile della gestione della crisi di supportare i partecipanti sulle varie tematiche di dettaglio legate allo scenario selezionato o alle funzioni aziendali impattate.
Infine, è necessario redigere la documentazione a corredo anche secondo i template forniti dalle best practice (es. NIST) per la formalizzazione dei ruoli, la definizione dello scenario, l’agenda della sessione e le varie informazioni logistiche che siano di rilievo per il perimetro incluso nell’esercitazione tabletop.
A seguito di questa breve sintesi delle attività di preparazione, si può passare ad analizzare lo svolgimento dell’esercitazione tabletop.
Svolgimento di una esercitazione tabletop
Nel corso dello svolgimento dell’esercitazione tabletop, il facilitator fornisce ai partecipanti un briefing, poi li introduce allo scenario e si avvia la round table.
Gli stakeholder attivano le procedure aziendali previste per gestire lo scenario selezionato, mentre il data collector viene indirizzato rispetto ai punti di rilievo di miglioramento dei processi applicati.
È essenziale che l’esercitazione non venga dilungato o articolata secondo un approccio che eccessivamente tende a concentrarsi sui what-if in quanto è importante attenersi al grado di probabilità dello scenario definito in prima istanza.
Secondo quanto osservato sul mercato, le esercitazioni tabletop vengono sempre più condotte su base regolare, riducendo quello che è il tempo di svolgimento, in modo da mantenere costante la readiness degli stakeholder.
Ulteriormente viene osservato che è utile svolgere le esercitazioni, in risposta a cambiamenti organizzativi come nuove iniziative di business o rispetto ad eventuali adeguamenti della strategia di cyber security rispetto al rilascio di normative o best practice.
Cosa imparare dalle simulazioni
Al termine dell’esercitazione, viene condotto un debriefing che coinvolge prevalentemente il facilitator e il data collector a livello operativo, per identificare quali azioni implementare rispetto ai punti di attenzione emersi.
Viene quindi redatto un after action report che include le lesosn learnt e le declina in azioni di miglioramento della resilienza aziendale.
Il report costituisce un’importante evidenza documentale rispetto al livello di readiness dell’azienda sugli scenari di minaccia in scope e può essere utilizzato al fine di sostanziare eventuali iniziative e progetti evolutivi.
Suggerimenti per efficientare le esercitazioni tabletop
Sulla base di quanto osservato vengono ipotizzati di seguito alcuni spunti per una corretta esecuzione delle esercitazioni tabletop:
- Un primo elemento chiave, che secondo le testimonianze di varie aziende consente di incrementare il valore delle esercitazioni tabletop, è la presenza di obiettivi chiari e raggiungibili espressi se possibile sotto forma di Key Performance Objective. La definizione di tali indicatori permette di fornire ai partecipanti un quadro di riferimento per la valutazione degli outcome e le performance dei partecipanti dell’esercitazione.
- Un secondo elemento che è emerso riguarda la pianificazione dello scenario e, in particolare, la natura delle domande condotte dal facilitatore durante l’esercitazione. Infatti, l’inclusione di domande mirate alle specifiche funzioni presenti nell’esercitazione favorisca il coinvolgimento di tutti i partecipanti.
- È essenziale concentrarsi su scenari plausibili che possano avere un impatto sull’organizzazione tale da generare una crisi e quindi da giustificare il coinvolgimento degli stakeholder di diverse funzioni aziendali anche al di fuori delle funzioni cyber realistici.
- È importante che le attività di preparazione garantiscano un project management efficace durante l’esercitazione in modo da impattare il meno possibile sulle attività operative degli stakeholder coinvolti.
- Risulta, infine, essenziale identificare gli stakeholder rilevanti da coinvolgere per ogni scenario in scope, garantendo in questo modo che i depositari del know-how aziendale specialistico e i responsabili delle attività funzionali alla gestione della crisi siano costantemente aggiornati rispetto allo svolgimento delle attività di crisis management.
Conclusioni
La necessità e il ruolo delle esercitazioni tabletop per potenziare la readiness aziendale è un tema largamente affrontato dalle best practice e che può essere verificato su diverse organizzazioni trasversalmente all’industry.
Il focus principale che si voleva proporre è l’efficientamento delle esercitazioni per consentire uno svolgimento eventualmente più frequente e meno impattante rispetto all’operatività aziendale.
Come riportato, è essenziale determinare in fase di preparazione l’articolazione delle procedure di crisis management e lo stato di aggiornamento rispetto all’evoluzione del contesto di minaccia.
Un ulteriore elemento di rilievo riguarda l’assegnazione dei ruoli e delle responsabilità per garantire che la formalizzazione delle matrici RACI rifletta efficacemente le prassi aziendali.
Una preparazione adeguata garantirebbe la scalabilità delle esercitazioni per cui gli stakeholder coinvolti non verrebbero impattati nelle attività operative garantendo uno scheduling periodico delle esercitazioni in modo da favorire un allineamento costante con l’evoluzione degli scenari di minaccia rilevanti per il contesto aziendale.
