tabletop exercise (esercitazione di crisi a tavolino)

Tabletop exercise: provare la risposta a un incidente prima che accada

Il tabletop exercise è un’esercitazione di crisi basata sulla discussione, in cui le persone che avrebbero un ruolo durante un incidente si riuniscono attorno a un tavolo e ragionano, passo dopo passo, su come reagirebbero a uno scenario d’attacco realistico. Niente sistemi reali, niente tastiere, niente codice: soltanto uno scenario, un facilitatore e le domande giuste. Il suo scopo è scoprire i punti deboli di un piano di risposta quando costa poco scoprirli, cioè in una sala riunioni, e non al momento peggiore, quando un attacco vero li rivela mentre i sistemi sono già fermi e l’orologio corre.

È uno degli strumenti più sottovalutati della preparazione alla crisi, proprio perché sembra troppo semplice per essere utile. Eppure un piano di risposta scritto e mai messo alla prova è poco più di un documento di buone intenzioni: nessuno sa davvero se funziona finché non lo si percorre con persone vere che prendono decisioni vere. Il tabletop exercise è il modo più economico per sottoporlo a stress, e quasi sempre fa emergere ciò che sulla carta sembrava ovvio e nella pratica non lo è affatto.

Che cos’è, e cosa non è, un tabletop exercise

La definizione di riferimento viene dalle linee guida del NIST dedicate ai programmi di test ed esercitazione: un tabletop exercise è un’esercitazione basata sulla discussione, in cui il personale con ruoli e responsabilità in un determinato piano si riunisce in un contesto di tipo seminariale per validarne il contenuto, discutendo il proprio ruolo e le proprie risposte di fronte a una specifica situazione di emergenza. La parola chiave è “discussione”: non si esegue nulla, si ragiona insieme.

Questo distingue il tabletop da altre forme di addestramento. Le esercitazioni funzionali, sempre secondo il NIST, fanno mettere mano agli strumenti e simulano l’esecuzione concreta delle procedure; in pratica si svolgono in ambienti operativi simulati, come un cyber range, dove i team tecnici si difendono sotto pressione in uno scenario realistico. Il tabletop sta a monte di tutto questo: non verifica se il SOC sa bloccare un attacco, ma se l’organizzazione, nel suo insieme, sa decidere mentre l’attacco è in corso. Per questo il tavolo non è popolato solo da tecnici, ma da chi quelle decisioni dovrà prenderle davvero.

Come si svolge

Il meccanismo è semplice e proprio per questo efficace. Un facilitatore presenta uno scenario, in genere un incidente plausibile e calato sulla realtà dell’organizzazione, e lo fa evolvere a tappe, introducendo nuovi elementi man mano che la discussione procede: prima la segnalazione di un’anomalia, poi la conferma di una compromissione, poi la richiesta di riscatto, poi la telefonata di un giornalista. A ogni svolta, i partecipanti devono dire cosa farebbero, chi deciderebbe, chi avviserebbe e in quanto tempo.

Non serve inventare tutto da zero. La CISA mette a disposizione pacchetti di esercitazione già pronti, con scenari, domande di discussione e materiali per chi organizza, su minacce come ransomware, minaccia interna, phishing e compromissione dei sistemi di controllo industriale. Il prodotto finale di un buon tabletop non è la sensazione di aver fatto un esercizio, ma un elenco onesto di ciò che non ha funzionato: ruoli ambigui, contatti non aggiornati, decisioni di cui nessuno si sentiva titolare, assunzioni che si sono rivelate sbagliate. Quei punti confluiscono in un rapporto e, soprattutto, in azioni concrete con un responsabile e una scadenza.

Perché è uno strumento di governance, non solo tecnico

La ragione per cui il tabletop exercise appartiene alla governance, e non solo all’ufficio tecnico, è che le decisioni più difficili durante una crisi non sono quasi mai tecniche. Quando dichiarare formalmente lo stato di crisi, chi ha l’autorità di farlo, come e cosa comunicare ai clienti e alla stampa, se e quando notificare alle autorità entro i termini di legge, come comportarsi di fronte a una richiesta di riscatto: sono tutte scelte che spettano al management e, in ultima istanza, ai vertici aziendali, non agli analisti.

Un esempio rende concreta la cosa. Uno scenario introduce, alle tre di notte, la necessità di staccare dalla rete un sistema di produzione per contenere la propagazione di un ransomware: chi ha l’autorità di autorizzare un fermo che blocca la fabbrica, e come lo si raggiunge a quell’ora? Poco dopo, un secondo elemento rivela che l’incidente comporta una probabile violazione di dati personali: entro quante ore va notificata, e chi tiene il conto di quella scadenza mentre tutti sono concentrati sul contenimento? Sono proprio domande così, banali sulla carta, a far emergere durante un tabletop le crepe che in una crisi reale costano ore preziose.

Un tabletop ben costruito è il luogo in cui quei vertici scoprono, in anticipo e senza danni, se sono pronti a decidere sotto pressione, con informazioni incomplete e in poco tempo. È un’esperienza spesso spiazzante, perché mette a nudo quanto le risposte “ovvie” si complichino quando bisogna darle davvero. Con le normative che hanno reso i vertici responsabili in prima persona della gestione del rischio cyber, questa prova generale ha smesso di essere un esercizio facoltativo ed è diventata una componente naturale di una governance che voglia dirsi preparata.

Gli errori che lo rendono inutile

Un tabletop può però trasformarsi in una recita a vuoto, e capita più spesso di quanto si creda. Il primo errore è costruirlo per essere superato: uno scenario blando, senza vere complicazioni, in cui tutto fila liscio e tutti si congratulano, non insegna nulla. Un buon scenario deve mettere in difficoltà, introdurre ambiguità e decisioni scomode, perché è lì che si nascondono i problemi veri.

Il secondo errore è invitare le persone sbagliate: se al tavolo siede solo il reparto tecnico, mancano proprio coloro che in una crisi reale dovrebbero decidere, dall’ufficio legale alla comunicazione fino ai vertici, e l’esercizio perde gran parte del suo valore. Il terzo, il più frequente, è non dare seguito ai risultati: individuare le lacune e poi archiviarle equivale a non aver fatto l’esercizio, perché il valore non sta nello svolgerlo ma nel correggere ciò che ha rivelato. Lo strumento che dovrebbe impedirlo è il rapporto conclusivo, l’after-action report con il relativo piano di miglioramento, previsto dagli stessi pacchetti della CISA: senza quel documento, che assegna a ciascuna lacuna un’azione e un responsabile, le criticità emerse svaniscono con la fine della riunione. Un tabletop fatto una volta sola per spuntare una casella di conformità, e mai più ripetuto, dà solo l’illusione di essere preparati. Ripeterlo a cadenza regolare, variando gli scenari e ruotando i partecipanti, è ciò che trasforma l’esercizio da adempimento in vera capacità di reazione.

Il tabletop exercise, in fondo, vende una merce rara: la possibilità di sbagliare senza conseguenze. Provare la risposta a un incidente attorno a un tavolo, scoprire dove il piano si rompe e aggiustarlo prima che serva, costa poche ore e qualche imbarazzo. Scoprire le stesse cose durante un attacco vero costa molto di più, e il conto, quella volta, lo paga l’intera organizzazione.

Condividi sui Social Network:

Ultimi Articoli