Dots
Dots
Gartner Report
/ news / SICUREZZA_INFORMATICA:_SIMULAZIONE_DI_PROCESSI_CRITICI

Sicurezza informatica: simulazione di processi critici

Published on April 16, 2025

Introduzione

Ogni anno, il Forum Economico Mondiale (WEF) redige un rapporto (World Economic Forum Global Risk Report) sui rischi a cui è esposto il mondo degli affari; questi includono anche rischi legati alla cybersicurezza. In particolare, uno dei rischi con la maggiore rilevanza, sia in termini di probabilità che di impatto, ha conseguenze sulla continuità aziendale: si parla di attacchi informatici.

Valutazione dei rischi

La valutazione del WEF è influenzata da diversi fattori: per quanto riguarda l’impatto economico di un attacco, questo varia a seconda del settore, con un minimo di 2 milioni di dollari per il settore pubblico e oltre 9 milioni per il settore sanitario (IBM Security Report). Queste cifre rappresentano il costo medio sostenuto da varie aziende per gestire gli attacchi informatici.

Per quanto concerne la probabilità, numerosi fattori vi contribuiscono. Innanzitutto, l’elevata disponibilità di strumenti e servizi di hacking e attacco, reperibili online anche gratuitamente, amplia il ventaglio dei cybercriminali, raggiungendo persino segmenti della popolazione con competenze tecniche medie. Inoltre, esistono aziende reali create con lo scopo di attaccare e violare vari settori a livello globale, con un obiettivo principale: il profitto. Infatti, il fatturato di queste organizzazioni criminali è esorbitante (milioni e milioni di dollari), in costante crescita e con ritorni sugli investimenti notevolmente elevati.

Oltre agli attacchi intenzionali, un altro rischio significativo per la continuità aziendale deriva da eventi naturali nonché da azioni malevoli o accidentali del personale interno.

Tutti questi eventi hanno la caratteristica di poter compromettere in modo estremamente pericoloso la continuità delle attività aziendali, comportando costi enormi non solo dovuti alla perdita di attività, ma anche alla necessità di ripristinare i sistemi, gestire azioni legali, sanzioni, danni d’immagine, ecc.

Gestione dei rischi

In questo contesto, è fondamentale per ogni azienda essere preparata e pronta a gestire situazioni di crisi.

La preparazione inizia dagli aspetti formali, che includono piani formalizzati e aggiornati di business continuity e disaster recovery, da definire in base alle reali esigenze aziendali.

Tuttavia, essere pronti a gestire un disastro richiede sia competenze (conoscenza delle procedure) sia esercitazioni (simulazioni e test per la gestione delle emergenze), aspetti che si rafforzano reciprocamente in un circolo virtuoso centrato sulla pratica operativa delle procedure.

Molte aziende, però, tendono a concentrarsi sul testare gli aspetti tecnici delle procedure, per esempio verificando che la sequenza di riavvio dei sistemi funzioni correttamente e che il ripristino di sistemi o applicazioni sia efficace.

Seppure questi controlli siano fondamentali, una parte delle procedure, altrettanto rilevante, viene raramente testata: si tratta degli aspetti organizzativi e decisionali, ovvero della verifica della conoscenza dei processi di gestione della continuità, della capacità di prendere decisioni seguendo la procedura in situazioni di stress, e della gestione delle comunicazioni con enti esterni (stampa/media, clienti, fornitori, forze dell’ordine, autorità di regolamentazione, ecc.).

Per affrontare tale problematica, offriamo ai nostri clienti una soluzione innovativa basata su una piattaforma di simulazione immersiva, denominata Cyber Jumanji.

Cyber Jumanji consente di simulare in maniera realistica qualsiasi situazione di crisi al fine di

  1. verificare la completezza e la correttezza delle procedure;
  2. accertare la conoscenza delle procedure da parte dei ruoli coinvolti;
  3. formare le squadre di gestione delle emergenze nella conduzione di situazioni avverse.

Cyber Jumanji è una piattaforma semplice e intuitiva, accessibile interamente online, in modo che tutti i partecipanti possano svolgere le proprie mansioni dal proprio ufficio o da qualsiasi luogo dotato di browser.

Cyber Jumanji permette la simulazione di una situazione di crisi nella quale ogni componente e/o team coinvolto prende parte a un gioco di ruolo, dove possono interpretare il proprio ruolo professionale o un altro ruolo assegnato durante la fase di configurazione (ad esempio, clienti, concorrenti, stakeholder, autorità, altri ruoli interni, ecc.) con l’obiettivo di risolvere sfide strategiche in maniera collaborativa.

Come nella vita reale, tutti i partecipanti agiscono in modo simultaneo e concorrente, senza disporre di tutte le informazioni necessarie per comprendere appieno quanto stia accadendo e per gestire fattori esterni solitamente al di fuori del loro controllo.

Solo al termine di un ciclo di simulazione ogni membro del team potrà verificare e valutare l’impatto combinato delle proprie decisioni e azioni insieme a quelle degli altri partecipanti.

Come funziona Cyber Jumanji? Consiste in tre elementi principali:

  1. Il configuratore della procedura da simulare: questa attività è affidata al team di consulenti di Neverhack e viene eseguita in base ad accordi con il cliente, con l’obiettivo di definire la procedura da testare e le caratteristiche specifiche dello scenario (ad esempio, l’attivazione di un piano di disaster recovery che può essere innescata da un incendio, un terremoto, un’alluvione, ecc. – situazioni differenti che devono essere gestite in modo specifico, ma che portano all’attivazione dello stesso piano);
  2. Il Simulatore: rappresenta il componente che gestisce effettivamente la simulazione; ogni partecipante deve accedere al sistema e reagire agli input proposti in base al proprio ruolo, alle proprie competenze e alla conoscenza della procedura fornita dall’azienda;
  3. Analytics: questo componente, utilizzato dal team di Neverhack, raccoglie le informazioni relative alla simulazione e le organizza in varie rappresentazioni grafiche, evidenziando i punti di forza e le criticità riscontrate. Gli elementi identificati vengono quindi interpretati e condivisi sia con il team partecipante che con il cliente, in base agli interessi di ciascuno.

Durante la simulazione, la piattaforma sottopone i partecipanti a situazioni da gestire e a eventi imprevisti, come avviene normalmente nella realtà in situazioni di crisi, per valutare l’adeguatezza della procedura, la reattività del personale e la capacità di gestire situazioni di stress.

Inoltre, è possibile inviare questionari o richieste di analisi e decisione che evidenziano il livello di conoscenza e la gestione della situazione d’emergenza, nonché la capacità di condurre analisi precise per identificare soluzioni a situazioni inattese.

La possibilità di simulare la presenza di ruoli solitamente non coinvolti nei test di continuità (come giornalisti, forze dell’ordine, autorità di regolamentazione, nonché la direzione aziendale) consente di generare situazioni che inducono pressione e stress sui partecipanti, proprio come nella realtà. Questa caratteristica rende la simulazione particolarmente realistica.

I ruoli previsti

La simulazione prevede la partecipazione di tre ruoli, descritti di seguito:

  1. Ruoli attivi: sono i ruoli che partecipano attivamente alla simulazione, incaricati di analizzare le situazioni, prendere decisioni, interagire fra loro e con i ruoli rappresentati. Ogni ruolo attivo corrisponde a una funzione della procedura e può essere interpretato dalla persona che effettivamente svolge quel compito in azienda o da un’altra persona. A ciascun ruolo attivo vengono fornite delle credenziali di accesso per la simulazione, e il profilo associato corrisponde al ruolo da svolgere.
  2. Ruoli rappresentati: sono quei ruoli per i quali non è possibile coinvolgere una persona reale, ma che sono necessari per l’esecuzione corretta della procedura; ad esempio, solitamente si rappresentano la stampa, le forze dell’ordine, le autorità di regolamentazione (Banca d’Italia, IVASS, ecc.) o dirigenti che non possono partecipare direttamente all’attività. La gestione dei ruoli rappresentati è affidata al responsabile della simulazione.
  3. Responsabile della simulazione: è un ruolo operativo incaricato della gestione dell’intero processo di simulazione. Invia le comunicazioni iniziali e finali, interpreta i ruoli rappresentati e innesca e gestisce gli elementi della simulazione relativi a situazioni di stress. Questo ruolo è affidato al personale del team di Neverhack.

Obiettivi e Risultati

Indipendentemente dall’interesse specifico di un singolo scenario, condurre una simulazione di crisi fornisce informazioni preziose sulla solidità, completezza e applicabilità della procedura simulata, nonché sul grado di conoscenza che il team possiede in merito.

Inoltre, i partecipanti sviluppano competenze, capacità di reazione e intuizioni fondamentali per raggiungere gli obiettivi, risultati difficilmente ottenibili con metodologie più convenzionali.

Al termine della simulazione viene redatto un report di analisi che concerne:

  1. la valutazione della completezza e della correttezza della procedura simulata;
  2. l’analisi della conoscenza e dell’aderenza alle procedure da parte del team coinvolto.

Oltre all’esercizio stesso, la simulazione porta alla stesura di un report che descrive fedelmente le caratteristiche della simulazione e i risultati ottenuti. L’analisi è supportata dalle osservazioni effettuate durante la simulazione e dai report generati da Cyber Jumanji, che evidenziano in modo obiettivo le criticità riscontrate.

Il report è completato da una proposta di piano di rimedio, utile ad affrontare i problemi identificati.

Simulazione

La simulazione è realizzata sulla base di politiche e procedure operative definite; in assenza di tali strumenti, è necessario disporre almeno di una descrizione verbale del modus operandi in caso di emergenza.

Successivamente, occorre definire con precisione lo scenario da simulare, ad esempio: un attacco ransomware al PC di un dipendente, un attacco DDoS a un sito web, un terremoto che impedisca l’accesso a un edificio o a un ufficio, ecc., insieme all’individuazione dei partecipanti reali e rappresentati. Si consiglia di non condividere lo scenario con i partecipanti per mantenere l’effetto sorpresa tipico della realtà.

Le simulazioni hanno una durata media di 2-3 ore, in linea con l’impegno richiesto ai partecipanti.

You can also read

All the latest news