Come gestire un attacco informatico: l’importanza di un buon Incident Response Plan

Una crisi cibernetica è un evento che può mettere in pericolo l’esistenza e la reputazione di un’azienda. Per affrontarla al meglio, occorre avere una visione globale della situazione e un team operativo competente e supportato dal management. Una crisi cibernetica, infatti, non riguarda solo l’aspetto tecnologico, ma coinvolge anche altri ambiti, come quello finanziario, legale e operativo. Inoltre, richiede di prendere decisioni rapide e complesse, che possono generare incertezza e conflitti tra i vari attori coinvolti. Uno degli strumenti fondamentali in quest’ottica è l’Incident Response Plan. Ma di cosa si tratta precisamente? Come si struttura?

Per rispondere a queste domande ci siamo affidati a Stefano Brusaferro, Sales & Marketing Director di HWG, che ci ha fornito un quadro più chiaro della situazione.

Cos’è l’Incident Response Plan?

Come lascia intuire il nome, l’Incident Response Plan è una sorta di piano di azione emergenziale. Si tratta di un processo strutturato e ripetibile che permette alle organizzazioni di prevenire, prioritizzare e risolvere gli incidenti informatici nel minor tempo possibile.

Il piano si pone tre obiettivi principali: garantire la continuità operativa delle organizzazioni colpite; fornire una difesa efficace; servire come strumento utile nelle indagini finalizzate a identificare la causa dell’incidente.

Come proteggere i tuoi dati? Scopri Bitdefender qui, Leader mondiale in Cybersecurity

Come crearlo in modo efficiente

L’Incident Response Plan si basa sulla definizione di standard, politiche e procedure appropriate, implementate da team dedicati. Il processo si suddivide in diverse fasi che consentono di prevenire o ridurre i danni grazie a una valutazione anticipata della capacità dell’organizzazione di gestire problemi di sicurezza. Ciò richiede l’implementazione di strumenti e conoscenze necessarie per prevenire le violazioni. 

Nella fisiologia dell’Incident Response, l’aspetto preventivo basato sulla valutazione del rischio informatico riveste un ruolo davvero cruciale, anche in considerazione del costante aumento degli attacchi e delle attività cibercriminali. Pertanto, è fondamentale identificare e analizzare costantemente le minacce, che sono elementi in continua evoluzione. La condivisione delle informazioni, sia all’interno della stessa organizzazione che tra diverse entità, rappresenta una delle pratiche più efficaci per difendersi.

Per prima cosa è essenziale che ogni azienda nomini un responsabile della sicurezza informatica. Questo avrà il compito di supervisionare tutti i processi di gestione della sicurezza. Il responsabile della cybersecurity farà anche da punto di contatto con il Computer Emergency Response Team (CERT), responsabile del monitoraggio degli incidenti a livello nazionale.

Come organizzare un team dedicato all’Incident Response Plan

Per affrontare gli incidenti informatici in modo efficace, è importante che l’azienda abbia un team dedicato all’Incident Response Plan. Un team che sia in grado di gestire il processo in tutte le sue fasi. Esistono diversi modelli organizzativi, a seconda della dimensione e della struttura delle organizzazioni. Nello specifico il NIST (National Institute of Standards and Technology) ne suggerisce tre:

• Central Incident Response Team: si tratta di un team unico che si occupa di tutti gli incidenti. Questo modello è adatto alle piccole imprese con risorse IT limitate o assenti.
• Distributed Incident Response Teams: in questo modello, ci sono più team che gestiscono gli incidenti, ognuno responsabile di una parte specifica dell’organizzazione. Questo modello è efficace per le grandi organizzazioni e per quelle che hanno risorse distribuite sul territorio. I team dovrebbero essere coordinati da un’entità superiore, in modo da garantire una risposta coesa agli incidenti e la condivisione delle informazioni all’interno dell’organizzazione.
• Coordinating Team: questo modello prevede l’esistenza di un team per l’Incident Response che fornisce consulenza alle altre squadre senza avere un’autorità diretta su di esse, limitandosi a un ruolo di assistenza. È un modello pensato per lavorare in collaborazione con strutture come i CSIRT.

Le singole fasi di un piano che risulti efficace

Volendo entrare più nello specifico, l’Incident Response Plan si articola in diverse fasi e richiede l’applicazione di best practice per garantire una risposta efficace agli attacchi. Vediamone alcune:

La preparazione: prevenire è meglio che curare

In questa fase è fondamentale prepararsi in anticipo identificando e catalogando tutti gli asset sensibili e le possibili minacce. È importante anche stabilire una strategia che definisca le priorità in base all’impatto potenziale sugli obiettivi dell’organizzazione. La protezione dell’infrastruttura IT avviene attraverso valutazioni periodiche del rischio, l’adozione di politiche adeguate, l’applicazione di patch di sicurezza e la protezione della rete in conformità agli standard di sicurezza.

Best practice: durante questa fase si raccomanda di mettere a disposizione tutte le risorse necessarie per la gestione dell’eventuale incidente. Queste risorse possono includere software di crittografia e analisi, hardware per la mitigazione degli incidenti e il ripristino, documentazione sugli incidenti, piani di comunicazione interna ed esterna, elenchi di contatti utili, software forensi e dispositivi di archiviazione sicura. 

Rilevamento e Analisi

La fase di rilevamento e analisi si concentra sull’individuazione degli incidenti informatici. Quest’attività può essere facilitata dall’identificazione di due elementi: i precursori, cioè quei segnali che indicano la possibile presenza di un incidente, e gli indicatori, segnali di un incidente in corso o già accaduto. È sempre importante condurre un’analisi accurata per determinare se effettivamente si è verificato un incidente, dato che molti segnali possono essere falsi positivi.

Best practice: durante l’analisi degli incidenti è essenziale dedicare all’attività il tempo e le energie necessarie poiché le informazioni potrebbero essere ambigue o incomplete. È consigliabile avere un team di esperti che segua le procedure operative standard e utilizzi strumenti tecnici come sistemi di rilevamento delle intrusioni (IDS/IPS), sniffer di pacchetti, analizzatori di log, software di verifica degli hash crittografici e sistemi di gestione delle informazioni di sicurezza (SIEM). Questi strumenti aiutano a ottenere informazioni più accurate sull’incidente e a prendere decisioni appropriate.

La comunicazione

Un punto cruciale: la comunicazione. Un incidente informatico ha profonde ripercussioni sulla brand reputation dell’organizzazione che lo subisce. All’interno dell’Incident Response Plan è cruciale individuare anche il miglior modo di comunicare l’accaduto, sia ai dipendenti che allo studio legale della società.

Best practice: essere sempre trasparenti riguardo agli attacchi informatici. Nascondere l’evento può essere non solo inutile, ma persino controproducente. Subire un attacco vuol dire anche dimostrare capacità di gestione dell’incidente e, paradossalmente, può addirittura rafforzare la brand reputation.

Offerta

Phomemo M08F Stampante Termica A4, Stampante Portatile, Stampante Tattoo Supporta Carta Termica A4, Stampante Wireless Portatile Bluetooth per Ufficio Viaggiare Famiglia, Compatibile Con Phones&PC

• Ideale per una stampa semplice: la stampante termica A4 è adatta per tutti gli scenari che richiedono la stampa mobile in negozio, in viaggio, in auto, in ufficio, a scuola. Ideale per la stampa di file PDF, documenti di prova, pagine Web, contratti, foto, immagini, ecc. Un eccellente assistente per lo studio e il lavoro d'ufficio.
• Elevata compatibilità: la stampante portatile M08F supporta telefoni cellulari iOS e Android tramite una connessione BT wireless (scarica l'app "phomemo") e supporta anche una connessione USB per Mac OS, Windows e Chrome. (SOLO PC supporta la connessione tramite cavo USB, sito di unità: https://phomemo.com/pages/m08f)
• Stampa portatile: Phomemo M08F è una stampante portatile, compatta e portatile, l'80% più piccola in dimensioni e peso rispetto alle stampanti tradizionali. Stampante portatile M08F con 10 fogli di carta termica A4.
• Qualità di stampa premium: la stampante da viaggio Phomemo M08F utilizza una testina di stampa di alta qualità e tecnologia di stampa termica, che non richiede più inchiostro o toner, e il nastro è più ecologico e facile da stampare ovunque ne abbiate bisogno. (Consigliato di cercare "carta termica Phomemo A4" per aggiungerlo al carrello, utilizzare i materiali di consumo originali per stampare in modo più chiaro.)
• Grande capacità della batteria: stampante wireless portatile Phomemo M08F con batteria da 1200 mAh integrata. Può stampare continuamente 120 fogli di carta termica A4. (Input: 5V 2A)

159,98 EUR

Acquista su Amazon