LA “SIMULAZIONE IMMERSIVA”: UN SEMINARIO DEL CERT STAR DELLO SCORSO LUGLIO HA APERTO UN DIBATTITO CON LE AZIENDE TOP DEL SETTORE
Intervista VIP a Iljana Mari
Il Cert Star che si è tenuto nello scorso mese di luglio, curato da Obiectivo Technology Srl, ha avuto come focus la gestione di un incidente di cyber security attraverso la realizzazione di una “simulazione digitale immersiva”applicata al delicato ambito della cyber security. Ne abbiamo parlato con Iljana Mari, Sales e Operation Manager della stessa azienda.
Quali sono le peculiarità di questo servizio che ha riscosso l’interesse di aziende “top”, che si muovono in svariati ambiti di business?
Il servizio proposto da Obiectivo in occasione dell’evento Cert Star è basato sulla piattaforma di simulazione digitale immersiva Cyber Jumanji. Cyber Jumanji consente di raggiungere molteplici obiettivi, come esercitare il personale coinvolto nella gestione delle emergenze di information e cyber security (ma non limitatamente a queste), verificare completezza ed adeguatezza delle procedure definite, verificare nuove procedure prima di renderle operative. La caratteristica della piattaforma è di mettere alla prova le capacità decisionali e di reazione in emergenza, riuscendo a simulare la pressione e lo stress a cui si è sottoposti nella realtà. La piattaforma consente inoltre di simulare l’interazione con ruoli aziendali e con persone esterne all’organizzazione 
che non possono essere coinvolti in sistemi di simulazione più tradizionali. Ad esempio, è possibile simulare la presenza con organi di stampa, top management, forze dell’ordine, enti regolatori che possono inviare richieste, fornire informazioni, mettere stress…. Esattamente come accade nella realtà!
Le imprese hanno sempre più bisogno di migliorare le loro capacità di risposta rispetto ad attacchi cyber che mettono sotto scacco reti e sistemi e che, come l’attualità dimostra ampiamente, molto spesso sono in grado di insinuarsi in ambiti molto delicati per la vita collettiva: sanità, infrastrutture critiche, TLC, vertici istituzionali, fino ai partiti politici. La piattaforma che avete presentato può aiutare ad affrontare queste situazioni che potremmo definire al “limite”?
Una piattaforma di simulazione immersiva è una vera innovazione rispetto all’approccio standard utilizzato oggi per la gestione di questi temi, poiché permette non soltanto di simulare la realtà in maniera veramente realistica, ma anche verificare quegli aspetti che sono tipicamente trascurati in questi casi, come ad esempio la parte organizzativa e di processo che sono invece fondamentali per l’organizzazione nella corretta gestione di un evento di crisi.
Per architettare e realizzare simulazioni così sofisticate, quali competenze avete messo in campo?
Il team di gestione delle simulazioni è costituito da nostri consulenti senior che hanno lunga esperienza in ambito information & cyber security e nella definizione dei piani di emergenza basati sugli standard di riferimento di settore. Il team collabora con il Cliente per l’implementazione del processo di gestione delle emergenze. La collaborazione con il Cliente viene richiesta anche per la definizione delle caratteristiche specifiche dello scenario (ad esempio: attacco DDOS ad un sistema, attacco ransomware ma anche terremoti, incendi, allagamenti totali o parziali, ecc) da simulare che non deve essere reso noto ai partecipanti alla simulazione per non perdere “l’effetto sorpresa”.
Possiamo soffermarci sui benefici procedurali e organizzativi che le aziende possono trarre dalla pratica razionale e sistematica della simulazione?
Come detto precedentemente questo servizio è una vera rivoluzione ed il progetto si pone un triplice obiettivo. In prima battuta quello di verificare l’adeguatezza della procedura end to end e la sua applicabilità in contesto operativo e definirne un’eventuale ottimizzazione della stessa. In secondo luogo, la possibilità di evidenziare eventuali criticità operative ed organizzative e definire piani di remediation puntuali e customizzati. Infine, aspetto non meno importante, la creazione di un’esperienza di apprendimento dinamica che tenga costantemente formato il team operativo.
La capacità decisionale fa la differenza. Lo si sta vedendo nei contesti più difficili, basti pensare alla guerra che è arrivata nel cuore dell’Europa, alle porte di casa nostra, una gravissima “social war” che, come ha detto molto bene il Garante della privacy, si è ben presto trasformata in “cyber war”. La simulazione immersiva, genera “stress reale” riesce ad “allenare” il management nell’assunzione delle responsabilità e nel corretto dosaggio di tutte quelle relazioni con attori terzi, che sono indispensabili se si vogliono governare le situazioni di emergenza?
Uno degli ambiti maggiormente coinvolti in questo tipo di attività è proprio quello del processo decisionale. La simulazione immersiva consente di rinforzare il livello di preparazione e la capacità reattiva perché è in grado di valutare la capacità di risposta e quella decisionale degli attori coinvolti, il livello della conoscenza che hanno delle procedure interne e la loro capacità di esercirle correttamente, nonché la capacità di reagire sotto stress. In questo modo i partecipanti alle simulazioni sviluppano competenze, capacità di reazione ed intuizioni rilevanti ai fini del raggiungimento dell’obiettivo, risultato questo che sarebbe difficilmente raggiungibile con altre metodologie più convenzionali.
Punto di forza è la possibilità di testare la capacità decisionale e di reazione in quelle situazioni dove lo scenario non è immediatamente classificabile. Ad esempio, nel caso in cui si verifichi il crollo di un immobile a seguito di un terremoto, la situazione si presenta alquanto chiara: è necessario trovare una sede alternativa. Ma cosa succede in caso magari di allagamento di una parte dell’immobile? Il piano di emergenza deve essere attivato oppure no? In questi casi la capacità di analisi e di decisione è fondamentale per il business aziendale, ma troppo spesso i comitati di gestione non sono addestrati a fare le valutazioni del caso. Con Cyber Jumanji invece questa cosa è possibile e viene molto apprezzata.
Proliferano i test dedicati alla business continuity presenti sul mercato. Il modello progettato da Obiectivo presenta canoni di indubbia originalità. Possiamo spiegare perché?
L’originalità del servizio sta proprio nella sua caratteristica principale e cioè la possibilità di simulare potenziali situazioni di disastro, in un contesto che possiamo definire “real time – simulato” al fine di preparare l’organizzazione ad affrontare il “real time – reale”. Questa è appunto come già precisato in precedenza una vera “rivoluzione” in questo settore rispetto alle attività convenzionali, perché permette non soltanto di simulare la realtà in maniera veramente realistica ed offre la possibilità dello sviluppo delle competenze a cui facevo riferimento poc’anzi, ma permette anche di oggettivare i risultati della simulazione e quindi di definire puntuali remediation plan.
Tra i benefici attesi dalla pratica della simulazione, viene indicata la comunicazione. Sicurezza e comunicazione in che rapporto stanno?
La comunicazione è fondamentale in questo tipo di situazioni. Deve essere tempestiva, esaustiva, ma soprattutto efficace e coordinata per permettere un corretto flusso delle informazioni all’interno ma anche all’esterno dell’organizzazione. Un coretto flusso di informazioni può velocizzare il ripristino dello stato di normalità e può sicuramente prevenire fuga di informazioni scorrette verso l’esterno che possono creare significanti danni d’immagine all’azienda. La tempestività d’altro canto è sicuramente un elemento altrettanto rilevante nel gestire la situazione e l’emergenza nel miglior modo possibile e ove possibile anticipare possibili reazioni a catena disastrose mettendo in campo le azioni correttive in tempi brevi.
In questo frastagliato orizzonte, i giornalisti che ruolo devono svolgere quando c’è da affrontare e raccontare uno scenario critico?
Per quanto riguarda il rapporto con la stampa, questo di solito è un punto dolente delle simulazioni…. Abbiamo infatti notato che molte aziende non hanno piani di comunicazione verso l’esterno in situazioni di disastro, e spesso i partecipanti rispondono senza avere titolo a giornalisti (simulati) che richiedono notizie. Questo è scorretto oltre che pericoloso. In caso di disastro/emergenza la comunicazione verso l’esterno deve essere chiara e coordinata: spargere notizie in modo non coordinato né controllato può generare più danni dell’incidente stesso.
Sappiamo che la sicurezza assoluta non esiste, è piuttosto un “tendere verso…”. Il rischio è, infatti, contessuto al nostro percorso esistenziale, risultando percepibile sia nella prospettiva umana che lavorativa. Di quali strumenti e conoscenze dovremo dotarci per rendere se non altro “sostenibile” quel senso di paura che attraversa le nostre vite, che è poi, come ha osservato Ulrich Beck, un tratto distintivo della contemporaneità?
La risposta sintetica potrebbe essere “consapevolezza”. Consapevolezza vuol dire essere formati ed informati circa i rischi che si corrono nel “mondo virtuale” che virtuale ormai non è più tanto. Se le persone sapessero che una password come “qwerty” può essere indovinata in millesimi di secondo probabilmente la cambierebbero, salvaguardando la sicurezza dei propri conti online, dell’accesso alla propria email e – più in generale – della propria identità digitale. Sembrano banalità, ma ancora nel 2022 ci troviamo a combattere con gli stessi problemi che avevamo 20 anni fa, e 
questo a causa della scarsa preparazione e formazione all’uso della tecnologia. Dal punto di vista aziendale, la questione cambia poco: manca consapevolezza! Lo abbiamo visto più volte nel corso della nostra attività nelle aziende: i collaboratori consapevoli sono di grande aiuto nel creare una barriera forte rispetto ai rischi cyber ed accettano più volentieri di modificare la propria prassi lavorativa per cambiare, ad esempio, una password più spesso.
Autore: Massimiliano Cannata
