Una delle attività rilevanti per gestire una crisi cibernetica - incidenti informatici sistemici che coinvolgono diversi parti di un’azienda, dall’IT alle operation – è l'Incident Response Plan.
Per affrontare una crisi cibernetica, i fattori cruciali da considerare sono due: assumere un sguardo ampio, non focalizzato sul singolo problema e disporre di un nucleo operativo adeguato, ben supportato del management.
Stefano Brusaferro, Sales & Marketing Director di Hwg suggerisce alcune best practice per gestire gli incidenti informatici e garantire una risposta efficace agli attacchi.
L’Incident Response Plan, uno strumento indispensabile
Il Nist (National Institute of Standards and Technology) considera l’Incident Response Plan uno degli strumenti più efficaci per la gestione e la mitigazione degli incidenti di sicurezza informatica.
La capacità di risposta agli incidenti misura l’abilità nel ridurre al minimo l’impatto delle violazioni e nel ripristinare le normali operazioni nel minor tempo possibile. L'obiettivo è triplice:
- garantire la continuità operativa delle organizzazioni colpite;
- fornire una difesa efficace;
- servire come strumento utile nelle indagini finalizzate a identificare la causa dell'incidente.
Come agisce l'Incident Response Plan
L'Incident Response Plan è un processo strutturato e ripetibile che aiuta le organizzazioni a prevedere, assegnare priorità e rispondere in modo tempestivo ed efficace agli incidenti informatici.
La sua base consiste nella definizione di standard, politiche e procedure appropriate, implementate da team dedicati e si suddivide in diverse fasi che consentono di prevenire o ridurre i danni grazie a una valutazione anticipata della capacità dell'organizzazione di gestire problemi di sicurezza.
È essenziale che ogni organizzazione designi un responsabile della sicurezza informatica, che funga da punto di contatto con il Computer Emergency Response Team (Cert), responsabile del monitoraggio degli incidenti a livello nazionale.
I modelli di team per l’Incident Response
Esistono diversi modelli sui quali costituire i gruppi dedicati all’attuazione dell'Incident Response Plan, a seconda della struttura interna di ciascuna organizzazione. Secondo il Nist, la maggiore efficacia è garantita tra tre modelli:
- Central Incident Response Team: un unico team gestisce tutti gli incidenti. Questo modello è adatto alle piccole imprese con risorse IT limitate o assenti.
- Distributed Incident Response Teams: in questo modello, la gestione degli incidenti è affidata a più squadre, ognuna responsabile di un segmento fisico o logico specifico, più è efficace per le grandi organizzazioni
- Coordinating Team: prevede l’esistenza di un gruppo per l’Incident Response che fornisce consulenza alle altre squadre senza esercitare su di esse un'autorità diretta, limitandosi a un ruolo di assistenza. È un modello pensato per lavorare in collaborazione con strutture come i Csirt.
Best practice per l’Incident Response Plan
La gestione degli incidenti informatici richiede l’adozione di diverse fasi e l'applicazione di best practice per garantire una risposta efficace agli attacchi.
1) Preparazione. In questa fase è fondamentale muoversi in anticipo individuando e catalogando tutti gli asset sensibili e le possibili minacce.
Best practice. Durante questa fase si raccomanda di mettere a disposizione tutte le risorse necessarie per la gestione dell’eventuale incidente, dal software di crittografia e analisi all’hardware per la mitigazione degli incidenti e il ripristino, fino alla comunicazione e ai software forensi e dispositivi di archiviazione sicura.
2) Rilevamento e Analisi. La fase di rilevamento e analisi si concentra sull’individuazione degli incidenti informatici. Quest’attività può essere facilitata dall’identificazione di due elementi: i precursori, cioè quei segnali che indicano la possibile presenza di un incidente, e gli indicatori, segnali di un incidente in corso o già accaduto.
Best practice. Draurante l’analisi degli incidenti è essenziale dedicare all’attività il tempo e le energie necessarie poiché le informazioni potrebbero essere ambigue o incomplete.
È consigliabile avere un team di esperti che segua le procedure operative standard e utilizzi strumenti tecnici come sistemi di rilevamento delle intrusioni (Ids/Ips), sniffer di pacchetti, analizzatori di log, software di verifica degli hash crittografici e sistemi di gestione delle informazioni di sicurezza (Siem).
La comunicazione è un punto cruciale
Un incidente informatico ha profonde ripercussioni sulla brand reputation dell’organizzazione che lo subisce. All’interno dell’Incident Response Plan è cruciale individuare anche il miglior modo di comunicare l’accaduto-
Ciò va fatto con un’informazione precisa e accurata ai dipendenti, per chiarire loro quel che devono fare; all’ufficio legale per ogni questione che sia di loro pertinenza; ai media, per evitare speculazioni.
Dichiarare, inoltre, di essere stati colpiti e di essere al lavoro per gestire l’attacco è una scelta opportuna: rivela quanto l’organizzazione fosse preparata all’evento e avesse predisposto un team e delle azioni per una risposta efficace. Nascondere l’accaduto può sortire effetti ancor più dannosi dell’incidente stesso.
