Micro-esecuzioni. L’obiettivo delle esercitazioni è quello di costruire e migliorare costantemente la memoria organizzativa di come rispondere ad eventi o crisi. È necessario un esercizio costante non occasionale Si possono usare piccoli test in genere meno di 1 ora che coinvolgono sottoinsiemi dell’organizzazione per assicurare la risposta a vari tipi di eventi o scenari più ampi, ad esempio: lanciare una chiamata di risposta alle crisi esecutiva, aumentare la capacità di DDoS(Distributed Denial of Service) , coordinare una riunione di leadership con breve preavviso da un luogo di back-up, chiedendo alle persone da dove avrebbero lavorato se un evento di crisi si fosse verificato, rotazione delle persone a lavorare da casa periodicamente, completamente non riuscendo a back-sistemi in caso di guasto IT. Infatti, ottenere “trigger happy” nell’invocare risposte di crisi a qualsiasi e molti eventi è una pratica utile.
Raggio di esplosione. Ridurre al minimo il raggio di esplosione di potenziali eventi e aumentare l’accoppiamento allentato di sistemi e processi (compresi quelli nella catena di fornitura) in modo tale che la risposta a qualsiasi evento è più facile da affrontare. Applicare i principi di ingegneria della resilienza alla progettazione dei sistemi, alla manutenzione e ai processi operativi – comprese le tecniche di ingegneria del caos.
Guarda dietro gli angoli. Amplia il tuo modo di pensare alla threat intelligence per includere i dati di sourcing sugli incidenti e chiudere le chiamate in tutta la gamma di rischi di tutti i tipi di organizzazione in tutti i settori. Usa questo feed per sfidare le ipotesi e, con il tuo catalogo di scenari, fai il lavoro per valutare le prestazioni delle tue capacità. Utilizzare questi come fonti per le esercitazioni future. Pensa al caso peggiore combinando scenari nei modi più estremi. Un esercizio di pianificazione WOW (Worst of the Worst) in cui valuti in che misura puoi essere resiliente di fronte a diversi scenari negativi che accadono contemporaneamente può davvero mettere alla prova il tuo coraggio.
Playbook e liste di controllo. Ora, dopo aver detto che ci si dovrebbe concentrare sulle capacità non sui piani, è necessario un po’ di documentazione operativa sotto forma di libretti o liste di controllo per l’uso delle capacità (ad es. come attivare un albero delle chiamate di crisi), attività legate al tempo mentre le persone stanno formando risposta (ad es. 8 cose da fare nei primi 30 minuti di un incidente di sicurezza)o piani d’azione basati sul trigger (ad es. cosa mettere in atto quando l’Organizzazione mondiale della sanità dichiara una pandemia di Fase 5).
Stabilire strutture di leadership crisi efficaci. Gran parte del successo nell’affrontare eventi gravi dipende da come la leadership gestisce la risposta. Avere forum di risposta separati ma altamente collegati / chiamate per dirigenti (gestione delle crisi aziendali) e operatori/ ingegneri (team di risposta agli incidenti) è fondamentale per garantire che le persone rimangano concentrate. Quante volte sei stato coinvolto in una chiamata di risposta agli incidenti, quando numerosi VP senior senior executives si uniscono in momenti casuali e chiedono un aggiornamento immediato? Questo può far deragliare il processo di risposta. Invece, ci dovrebbero essere protocolli di comunicazione testati, risposte preparate (pensate a questo come una capacità toolkit di comunicazione). Nel corso di un’esercitazione o di una risposta ad un evento critico reale è importante coinvolgere il team di lavoro in modo efficace, ricordando che a volte i migliori leader nelle crisi non sono quelli è posizioni di massima autorità in situazioni regolari.
Bottom line: le organizzazioni più resilienti sono così perché hanno un enorme insieme di capacità di base (persone, processo e tecnologia) già stabilito, hanno sostenuto la memoria di gestione delle organizzazioni (3 fine.I precedenti articoli sono stati pubblicati il 2 e 3 aprile)
*Vice Presidente e Chief Information Security Officer di Google Cloud
