De-a lungul timpului am cititi/revizuit cîteva BCP/DRP/IRP. Am mai și scris unele. Aproape toate aveau și teste documentate, dar majoritatea doar despre componenta IT (DRP).

Spun că un astfel de test nu trebuie să fie anunțat iar scenariul trebuie să fie unul cît mai real posibil. Inclusiv exercițiile de evacuare din clădiri în caz de incendiu sau cutremur trebuie să fie neanunțate. Recunosc că abordarea mea este una militară. Alarmele din timpul stagiului militar erau de două feluri: anunțate și neanunțate. Iar ”scenariul” cel mai greu de testat în timpul unei ”alarme” presupunea că unitatea militară este atacată de inamic. ”Alarmele” se exersau în realitate, nu doar pe hartă.

Lucrurile nu ar trebui să fie prea mult diferite în cazul incidentelor de securitate. Exercițiile la masă (table top) sînt bune. Se învață foarte mult din ele dar nu sînt suficiente. Este nevoie de exerciții funcționale. Pentru că doar așa se poate observa cum funcționează lucrurile în realitate, cine și cum reacționează în condiții de stres, cum și cît de bune sînt deciziile luate într-un timp limitat. Pentru că abordarea în cazul unor atacuri este de tip ”pompieristic”: nu este timp de stat în ”call” și ”meeting” ci trebuie acționat. Acționezi sau aștepți răspunsul de la colega de la departamentul juridic care este în concediu?

Abordarea din zona militară este preluată și în IT: OODA Loop 

În timpul unui incident timpul este critic și prin urmare vreau și trebuie să iau decizii (poate nu cele mai bune/corecte) în cel mai scurt timp posibil. Deciziile se iau atunci, pe loc, fără a mai fi timp de căzut de acord asupra ”procedurilor” (care de multe ori sînt scrise la birou fără a ține cont de context). Greșelile/erorile fac parte din sistemul nostru de învățare a lucrurilor noi. Bucla OODA ne spune că nicio decizie nu ar trebui privită ca una din cele 10 Porunci și că eșecurile mici sunt mai bune decât nici o acțiune. Nimeni din management nu ar trebui să se aștepte ca în timpul unei crize „cineva„ să aibă la îndemână o soluție completă și corectă. 

Doar cu ajutorul unui exercițiu funcțional testezi oamenii, procesele și echipamentele în condițiile neobișnuite de lucru. Necesită mai mult timp și efort și întrerupe operațiunile normale ale organizației? DA. Dar cît costă o astfel de întrerupere versus întreruperea cauzată de un ransomware? Un exercițiu funcțional în cazul securității IT relevă că, în multe situații, de la un punct în colo nu te mai poți descurca cu ceea ce deja ai în organizație.

Amăgeala este cel mai mare dușman al securității IT!