Esercitazione incident response: provare che il piano funziona
Un piano di incident response vale quando il team sa usarlo. Una breve esercitazione mostra se le persone sanno chi decide, dove sono i contatti e come documentare l'impatto su dati o servizi.
Autor: Marco Zoratto, fondatore di Splnit.eu
Scegliete uno scenario realistico
Non serve una simulazione di crisi di un'intera giornata. Scegliete uno scenario coerente con le operazioni: account admin compromesso, fuga dati da support tool, ransomware su storage condiviso o downtime di un SaaS critico.
L'obiettivo non è mettere in difficoltà il team. È trovare gap in contatti, ruoli, decisioni ed evidenze. L'esercitazione deve chiudersi con azioni concrete, non solo con la sensazione di aver discusso il tema.
- chi guida l'incidente e chi comunica con i clienti
- dove sono i log tecnici e chi può accedervi
- chi decide se notificare autorità o clienti
- come vengono salvati decisioni, timeline e azioni successive
Cosa registrare durante l'esercitazione
Mantenete una timeline semplice: quando è stato rilevato l'incidente, chi è stato coinvolto, quali informazioni mancavano e quali decisioni sono state prese. Per dati personali, registrate come il team ha valutato obbligo di notifica e rischio per gli interessati.
Dopo, salvate note, action item, owner e prossima data di review. Queste sono evidenze che il piano esiste ed è stato testato.
Come appare un buon risultato
Un buon esercizio non significa zero finding. Deve far emergere punti deboli prima di un incidente reale. La parte importante è che ogni gap abbia owner, scadenza e controllo successivo.
Panoramica normativa correlata
Apri panoramica: GDPR →Trasforma incident response in processo verificato
Splnit.eu tiene insieme ruoli, scenari, decisioni, evidenze e azioni successive, così il piano non resta solo un documento in una cartella.
Apri la panoramica GDPR