La differenza tra una crisi gestita e una subita si misura sulla reazione. Il tempo di ripresa (RTO) deve contarsi in ore, non in giorni
Tutti parlano di prevenzione, ma il momento della verità arriva dopo, quando l’attacco è già riuscito. È in quel limbo di ore, che separa il collasso dalla rinascita che si misura la vera resilienza. «Noi partiamo dal presupposto che l’attacco ci sarà» – spiega Lavinia Rossi, managing director di Code Blue Italy. «Le aziende devono accettare questa realtà ed essere preparate. Il nostro compito è aiutarle a rialzarsi in fretta per tornare operative». La filiale italiana, operativa da un anno, una joint venture tra Code Blue Cyber, nata dall’esperienza di Refael Franco, già deputy director dell’Agenzia nazionale israeliana per la cybersecurity, e il gruppo Dussmann, ha un mandato preciso: aiutare le aziende a costruire una resilienza incorporata nei processi aziendali, capace di garantire continuità anche durante l’attacco.
«La resilienza non si crea in emergenza ma si allena ogni giorno» – spiega Lavinia Rossi. «È un esercizio quotidiano che deve entrare nella cultura aziendale. Per questo il nostro motto è Resilience Everyday. Non solo difendersi, ma prepararsi a ripartire». Il percorso di Code Blue Italy si fonda su competenze complementari e leadership operative: Riccardo Ricciotti, head of sales, guida lo sviluppo delle relazioni strategiche con clienti e partner, mentre Emanuele Balsamo, cyber resilience technical director, assicura l’eccellenza tecnica e metodologica nei nostri programmi di resilienza.
IL CUORE OPERATIVO
Nuovo approccio e metodo rigoroso. «Il nostro protocollo Code Blue parte con un assessment di oltre duecento controlli. Analizziamo governance, procedure, comunicazione, ruoli e responsabilità. Molte aziende scoprono di essere forti sui tool ma deboli nella catena decisionale». Una vulnerabilità che, quando l’attacco detona, può costare giorni di fermo, danni reputazionali e tensioni interne. «Una crisi cyber non è un problema tecnico, ma organizzativo» – continua Lavinia Rossi. «Cinque minuti dopo coinvolge tutti: funzione IT, legale, comunicazione, HR e investitori. Tutta l’azienda deve sapere cosa fare, in quale ordine e con quali responsabilità». Il cuore operativo del modello Code Blue è la figura del cyber crisis manager: il regista della war room, che coordina le diverse funzioni e aiuta il CEO a prendere decisioni rapide e coerenti».
Per guidare questa complessità, Code Blue ha sviluppato Blue Castle, un tool proprietario per la gestione strutturata della crisi, capace di «orchestrarne la gestione come una cabina di regia digitale». Naturalmente, la tecnologia da sola non basta. Le prime ore di una crisi sono un concentrato di stress e caos informativo. «Il fattore umano è il rischio più grande, sia prima che durante l’attacco» – sottolinea Lavinia Rossi. «Momenti in cui bisogna prendere decisioni sotto pressione, spesso senza avere tutti gli elementi. È lì che interveniamo come trusted advisor, per aiutare i team a mantenere la lucidità e a basare le scelte sui fatti, non sulle emozioni. Abbiamo visto aziende paralizzarsi davanti a messaggi di estorsione o presunte fughe di dati pubblicate su Telegram, che poi si sono rivelate false. In quei momenti, la preparazione psicologica fa la differenza tra reagire e crollare».
LA SPINTA AL CAMBIAMENTO
Code Blue promuove simulazioni e stress test che coinvolgono l’area tecnica e il top management. «Le nostre esercitazioni Table Top richiedono settimane di preparazione, ma permettono al board di vivere in sicurezza un’esperienza di crisi reale» – spiega Lavinia Rossi. «Lo scopo è testare le reazioni e la capacità delle aree aziendali di parlarsi e prendere decisioni». In molti casi, il risultato è un cambio di mentalità. «Dopo una simulazione, i manager capiscono davvero cosa significa essere pronti».
La spinta al cambiamento arriva anche dalla NIS2, che ha introdotto l’obbligo di valutare e documentare la capacità di risposta agli incidenti. «La direttiva assegnando una responsabilità diretta al management aiuta a superare l’idea che la cybersecurity sia solo un problema del CISO». Anche se molto rimane da fare. «Nelle grandi aziende la consapevolezza è già alta, ma nelle PMI c’è ancora resistenza» – ammette Lavinia Rossi. «Per questo lavoriamo tanto sulla cultura della fiducia». Alla fine, la differenza tra una crisi gestita e una subita si misura sui tempi di reazione. «Chi ha fatto i test, chi ha scritto i playbook e li ha provati davvero, sa che può rialzarsi in tempi certi. E saperlo è la forma più concreta di resilienza».
 deve contarsi in ore, non in giorni){kind=link}