Aumentare la resilienza con un adeguato processo di risposta e gestione degli incidenti di sicurezza

La maggior parte delle organizzazioni ha sicuramente definito e impostato un piano per la gestione degli incidenti di sicurezza fisica, ma queste realtà hanno un piano di risposta ai databreach o più in generale agli incidenti di sicurezza logica?

Considerando che ormai la perdita media di un furto di natura fisica è assai inferiore a quello di un furto di natura logica, è essenziale per tutte le aziende dotarsi di un valido piano di Incident Response.

La letteratura in merito propone dei  passi fondamentali da seguire per impostare un processo corretto, ma l’esperienza insegna che questi passi fondamentali devono essere integrati da azioni aggiuntive che rendono il processo effettivamente utile ed efficace. Solo così si arriva veramente ad avere un sistema resiliente.

• Analysis: l’analisi iniziale di un incidente è fondamentale per eliminare i falsi positivi, classificare l’evento e determinarne l’impatto.
• Addon: integrare le informazioni raccolte con informazioni di cyber threat intelligence aiuta gli analisti ad effettuare un triage molto più efficace e tempestivo.
• Containment: organizzare le risposte tecniche ad ogni tipologia di attacco è importante per arginare l’impatto.
• Addon: avere un processo definito di escalation con un’aggiornata contact list aiuta nel risolvere nel più breve tempo possibile la fatidica domanda del “chi deve fare cosa e in che tempi”.
• Communication: la comunicazione di quanto subito e di cosa si sta facendo per contrastare e risolvere l’incidente è imprescindibile oltre che obbligatorio in certi contesti.
• Addon: occorre definire a priori le modalità da tenere e i contenuti da divulgare, distinguendo fra comunicazione interna, comunicazione ai media, comunicazione alle Forze dell’Ordine e comunicazione agli interessati (Crisis Communication Plan).
• Eradication: ripulire il sistema informativo e riconfigurare al meglio i dispositivi e gli account garantisce una ripresa sicura delle attività.
• Addon: avere costantemente aggiornata la documentazione dei sistemi e dei servizi e i backup di dati e server, velocizza tali operazioni.
• Recovery: fase che si preoccupa di ripristinare il corretto funzionamento del sistema e dei servizi.
• Addon: avere costantemente aggiornato il database degli asset critici aiuta nel dare la giusta priorità ed attenzione alle operazioni di ripristino.
• Post-event analysis: passo che chiude l’incidente “imparando dagli errori” e aiutando il processo ad evolversi e migliorare.
• Addon: il caos del day-by-day fa spesso in modo di non effettuare questo passo in realtà fondamentale per evitare errori una seconda volta e per velocizzare le successive risposte di incidenti simili.

E’ inoltre importante documentare adeguatamente l’accaduto in maniera chiara e condivisa. Infine, è basilare – e quasi mai effettuato-  testare l’intero processo periodicamente per capire se si è pronti nel seguirlo e se tutte le azioni contemplate sono realmente fattibili e in che tempi.